SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc > Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware
Mi pc esta poseido?
eb_scrooge:
holas, vengo en busca de un poco de luz :idea: sobre un asunto q me trae mu mosqueado desde ayer y sobretodo xq realmente no se desde cuando esta sucediendo. ademas el tema me tiene mu desconcertao xq no se a q s puede deber. entrando en materia, ayer me puse a logear absolutamente todo el trafico d mi pc, tanto entrante como saliente, y m encuentro con esto:
NETBIOS SALIENTE
[13/Apr/2004 16:52:23] DROP "Default traffic rule" packet to INTERNET, proto:UDP, len:78, ip/port:192.168.0.1:137 -> 66.102.xxx.xxx:137, udplen:50
[13/Apr/2004 16:52:29] Last message repeated 4 times
[13/Apr/2004 16:52:29] DROP "Default traffic rule" packet to INTERNET, proto:UDP, len:78, ip/port:192.168.0.1:137 -> 66.102..xxx.xxx:137, udplen:50
[13/Apr/2004 16:52:35] DROP "Default traffic rule" packet to INTERNET, proto:UDP, len:78, ip/port:192.168.0.1:137 -> 66.102..xxx.xxx:137, udplen:50
[13/Apr/2004 16:53:08] DROP "Default traffic rule" packet to INTERNET, proto:UDP, len:78, ip/port:192.168.0.1:137 -> 66.102..xxx.xxx:137, udplen:50
[13/Apr/2004 16:53:11] DROP "Default traffic rule" packet to INTERNET, proto:UDP, len:78, ip/port:192.168.0.1:137 -> 66.102..xxx.xxx:137, udplen:50
[13/Apr/2004 16:53:11] DROP "Default traffic rule" packet to INTERNET, proto:UDP, len:78, ip/port:192.168.0.1:137 -> 66.102..xxx.xxx:137, udplen:50
[13/Apr/2004 16:53:17] Last message repeated 4 times
[13/Apr/2004 16:53:51] DROP "Default traffic rule" packet to INTERNET, proto:UDP, len:78, ip/port:192.168.0.1:137 -> 66.102..xxx.xxx:137, udplen:50
[13/Apr/2004 16:53:59] Last message repeated 4 times
esto lo hace constantemente, intenta conectarse a ip's arbitrarias, hace un numero indeterminado d intentos a una ip y tras un periodo tambien indeterminado d tiempo cambia a otra ip totalmente diferente. he pasado antivirus (nod) y aparentemente tampoco hay ningun proceso extraño ejecutandose.
NETBIOS ENTRANTE
el caso es q tiene cierta similitud con la gran cantidad de accesos q bloquea en sentido contrario, de otros pc's a mi netbios, a los q termine acostumbrandome y no dandoles muxa importancia (deje d logear el netbios xq me generaba logs d megas diarios):
[13/Apr/2004 16:54:34] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:229, ip/port:80.24.183.164:138 -> 80.24.xxx.xxx:138, udplen:201
[13/Apr/2004 16:54:35] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:202, ip/port:80.24.183.135:138 -> 80.24.xxx.xxx:138, udplen:174
[13/Apr/2004 16:54:35] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:78, ip/port:80.24.183.135:137 -> 80.24.xxx.xxx:137, udplen:50
[13/Apr/2004 16:54:39] Last message repeated 3 times
[13/Apr/2004 16:54:39] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:202, ip/port:80.24.183.135:138 -> 80.24.xxx.xxx:138, udplen:174
[13/Apr/2004 16:54:39] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:78, ip/port:80.24.183.135:137 -> 80.24.xxx.xxx:137, udplen:50
[13/Apr/2004 16:54:44] Last message repeated 3 times
[13/Apr/2004 16:54:44] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:202, ip/port:80.24.183.135:138 -> 80.24.xxx.xxx:138, udplen:174
[13/Apr/2004 16:54:44] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:78, ip/port:80.24.183.135:137 -> 80.24.xxx.xxx:137, udplen:50
[13/Apr/2004 16:54:48] Last message repeated 3 times
[13/Apr/2004 16:54:48] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:211, ip/port:80.24.183.135:138 -> 80.24.xxx.xxx:138, udplen:183
[13/Apr/2004 16:55:26] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:233, ip/port:80.24.183.164:138 -> 80.24.xxx.xxx:138, udplen:205
[13/Apr/2004 16:56:17] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:202, ip/port:80.24.183.164:138 -> 80.24.xxx.xxx:138, udplen:174
[13/Apr/2004 16:56:18] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:78, ip/port:80.24.183.164:137 -> 80.24.xxx.xxx:137, udplen:50
[13/Apr/2004 16:56:22] Last message repeated 3 times
[13/Apr/2004 16:56:22] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:202, ip/port:80.24.183.164:138 -> 80.24.xxx.xxx:138, udplen:174
[13/Apr/2004 16:56:22] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:78, ip/port:80.24.183.164:137 -> 80.24.xxx.xxx:137, udplen:50
[13/Apr/2004 16:56:26] Last message repeated 3 times
[13/Apr/2004 16:56:26] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:202, ip/port:80.24.183.164:138 -> 80.24.xxx.xxx:138, udplen:174
[13/Apr/2004 16:56:26] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:78, ip/port:80.24.183.164:137 -> 80.24.xxx.xxx:137, udplen:50
[13/Apr/2004 16:56:30] Last message repeated 3 times
esta es una muestra de los bloqueos d netbios entrante q tampoco s hasta q punto es normal. sobretodo lo q m mosquea en lo q s refiere a netbios entrante son estas dos ip's del log y alguna mas q llevan meses asi. los intentos de estas ip's son constantes, ciclos como el del log s repiten 2 o 3 veces x hora y x ip. ademas todas estas ip's son de mi mismo proveedor y muy cercanas a la mia.
en fin, q si alguien me puede dar una idea sobre q puede estar ocurriendo con el maldito netbios :evil:, sobretodo el saliente, le estaria agradecido.
SALU2
Leandros:
Yo te recomendaría que si el netbios no lo utilizas, mejor lo desconectes.
Conexiones de red-(entras en propiedades de tu conexión)-Propiedades de Protocolo Internet TCP/IP-Opciones avanzadas-WINS- y aqui deshabilitar NetBios sobre TCP/IP
creo que es lo mejor que puedes hacer, y si se da el caso de que ya lo tenías desactivado, pues no tengo ni idea.
Saludos
Dabo:
hola amigo, estoy buscando info sobre el tema, por casualidad y porque mi experiencia me dice que suele ser un caso a veces de spyware, hice esta busqueda sobre la IP en cuestion, (netbios saliente) y veo mucho follon con ella
http://www.google.es/search?num=20&hl=es&lr=&ie=UTF-8&oe=UTF-8&q=%22192.168.0.1:137%22
sigo mirando ok?? si estas online te podria hacer un escaneo de puertos para salir de dudas o al menos hacerme una idea mas clara
saludos :!:
eb_scrooge:
en cuanto al tema de deshabilitar netbios lo he hexo en alguna ocasion xo si q lo necesito. la ip q has buscado es la ip interna d la lan, q es la ip q m saca como origen del intento d conexion a ip's publicas. ambas en el udp 137. cosa q m tiene mu desconcertao :?
lo del escaneo no m vendria mal, he cambiado el kerio personal x su hermano y aun estoy trasteandolo. tu m diras como lo hacemos, tienes la ip?como t la paso?en cualquier caso avisame antes de empezar,ok?
Dabo:
si te viene bien le doy ahora, desactivame el firewall para no falsear datos ok???
Navegación
[#] Página Siguiente
Ir a la versión completa