Tema: ¿Ataque?

[Ernesto]

     Al revisar los logs. del firewall (Sygate) me he encontrado con lo siguiente:

TIME      REMOTE HOST   REMOTE PORT   LOCAL HOST   LOCAL PORT   DIRECTION   ACTION
02/03/06 20:25      213.252.216.XXX.   4532   212.142.214.XXX.   48165   Incoming   Blocked
02/03/06 20:25      213.252.216.XXX.   4532   212.142.214.XXX.   48165   Incoming   Blocked
02/03/06 20:25      213.252.216.XXX.   4532   212.142.214.XXX.   48165   Incoming   Blocked
02/03/06 20:25      213.252.216.XXX.   4613   212.142.214.XXX.   48165   Incoming   Blocked
02/03/06 20:25      213.252.216.XXX.   4613   212.142.214.XXX.   48165   Incoming   Blocked
02/03/06 20:26      213.252.216.XXX.   4613   212.142.214.XXX.   48165   Incoming   Blocked
02/03/06 20:26      213.252.216.XXX.   4718   212.142.214.XXX.   48165   Incoming   Blocked
02/03/06 20:26      213.252.216.XXX.   4718   212.142.214.XXX.   48165   Incoming   Blocked
02/03/06 20:27      213.252.216.XXX.   4718   212.142.214.XXX.   48165   Incoming   Blocked

En total son alrededor de 150 entradas de ese tipo procedentes de la misma IP y con el puerto 48165 como destino, producidas en una hora.

En el Packet log, me da la siguiente información:

Ethernet II (Packet Length: 62)
Destination:    00-00-01-00-00-00
Source:    70-8a-20-00-01-00
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
   .1.. = Don't fragment: Set
   ..0. = More fragments: Not set
Fragment offset:0
Time to live: 111
Protocol: 0x6 (TCP - Transmission Control Protocol)
Header checksum: 0xd58d (Correct)
Source: 213.252.216.XXX
Destination: 212.142.214.XXX
Transmission Control Protocol (TCP)
Source port: 4532
Destination port: 48165
Sequence number: 4161733167
Acknowledgment number: 0
Header length: 28
Flags:
      0... .... = Congestion Window Reduce (CWR): Not set
      .0.. .... = ECN-Echo: Not set
      ..0. .... = Urgent: Not set
      ...0 .... = Acknowledgment: Not set
      .... 0... = Push: Not set
      .... .0.. = Reset: Not set
      .... ..1. = Syn: Set
      .... ...0 = Fin: Not set
Checksum: 0xb661 (Correct)
Data (0 Bytes)

Supongo que se trata de un intento de intrusión, pero realmente no lo sé. ¿Alguien ha recibido ataques a través de ese puerto?

Un saludo.

Ernesto

[MClaud]

Los puertos usados por troyanos generalmente son puntuales, esto es que cada troyano usa un puerto especifico, y hay una lista conocida de ellos pero el puerto que mencionas no se encuentra en la lista, eso solo es referencial, pero si alguien quisiera hacer una intrusión dificilmente usaria un puerto bloqueado, dudo que se trate de un ataque
Respecto a la ip, el rango parece pertenecer a cable por tv quizas instalaste algun programa que conecta tv por internet y este está usando el puerto que está bloqueado
Estoy especulando con la información que pusiste pero creo que nadie mejor que tu para saber que estas haciendo con la pc
Corre un buen antivirus o uno en linea y revisa que programas tienes instalados.

Information related to '213.252.216.0 - 213.252.219.255'

inetnum:        213.252.216.0 - 213.252.219.255
netname:        TeleSat-BITE
descr:          UAB TeleSat
descr:          Cable TV and Internet provider
descr:          member of NTT group
descr:          Silute, Lithuania
country:        LT
admin-c:        EJ484-RIPE
tech-c:         EJ484-RIPE
status:         ASSIGNED PA
mnt-by:         BITE-NOC
remarks:        ----------------
remarks:        BI-20060101
remarks:        ----------------
notify:      ******@telesat.lt
changed:        ********@bi.lt 20060124
source:         RIPE

person:           Edvinas Juozaitis
address:        UAB "Telesat"
address:        Gudobeliu al. 2
address:        Silute
address:        Lithuania
phone:          +370 441 77488
nic-hdl:        EJ484-RIPE
phone:           +370 654 31716
e-mail:         ******@telesat.lt
notify:         ******@telesat.lt
changed:        ******@telesat.lt 20060124
source:         RIPE

% Information related to '213.252.192.0/18AS13194'

route:        213.252.192.0/18
descr:        BITE-INTERNET
origin:       AS13194
mnt-by:       BITE-NOC
changed:      ********@bi.lt 20030509
source:       RIPE

[Gepetto]

Yo más bien creo que ese proveedor ofrecerá Tv e internet (como Ono, por ejemplo). Personalmente lo veo más como un ataque por "fuerza bruta".

En todo caso, mientras el cortafuegos lo bloquee no hay problema.

[Ernesto]

No, no tengo instalado ningún programa que se conecte a TV. En realidad, no estaba haciendo nada del otro mundo: me bajé el correo, abrí el MSN, actualicé el AVAST y descargué la nueva versión del FIREFOX. El intento de intrusión comenzó a los tres segundos de conectarme, según veo en los logs. del firewall y duró todo el tiempo que estuve conectado.

Gracias MClaud y Gepetto por vuestros aportes.

Un saludo.

Ernesto.

[MClaud]

Un ataque brut force, suena razonable, en todo caso si fue un ataque aleatorio que por casualidad llegó a ti, no creo que se repita ya que fue infructuoso.
De todas formas revisa siempre las directivas de intrusión y mantente alerta, mientras que el firewall no le permita el paso no habra problema
Haz una limpieza de cookies, temporales y registros, puedes usar CCleaner, (muchos troyanos se instalan en los cookies y registros)
Corre un antispy como Spybot en modo seguro