Tema: Mi pc esta poseido?

[eb_scrooge]

de entrada no le des muxas vueltas a los puertos extraños q esten abiertos q hay 4 o 5 a parte d los habituales q s lo q son.

[Dabo]

bueno amigo, ademas de postearte algo del NMAP, he querido que lo veas graficamente para que lo comprendas mejor, fijate en todo lo que tienes compartido a traves de Netbios, mira los puertos abiertos y revisa los UDP que te pongo debajo, los del NMAP

creo que no tendras problemas para comprenderlo, hay que desactivar esos servicios, cerrar puertos, cambiar todas las contraseñas que tengas activas, en el PC , las que uses via web y cerrarlo todo bien con un firewall

aqui va la captura del SSS

[Dabo]

connect scan nmap

Starting nmap V. 3.00 ( www.insecure.org/nmap )
Warning:  OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
Insufficient responses for TCP sequencing (0), OS detection may be less accurate
Insufficient responses for TCP sequencing (0), OS detection may be less accurate
Insufficient responses for TCP sequencing (0), OS detection may be less accurate
Interesting ports on xxx.Red-80-xxxxx.pooles.rima-tde.net (80.xxxxx):
(The 1596 ports scanned but not shown below are in state: filtered)
Port       State       Service
25/tcp     open        smtp                    
110/tcp    open        pop-3                  
135/tcp    open        loc-srv                
445/tcp    open        microsoft-ds            
1025/tcp   open        NFS-or-IIS              
No exact OS matches for host (test conditions non-ideal).
TCP/IP fingerprint:
SInfo(V=3.00%P=i686-pc-windows-windows%D=4/13%Time=407C5029%O=25%C=-1)
T1(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=)
T3(Res
p=Y%DF=N%W=0%ACK=O%Flags=AR%Ops=)
T4(Resp=Y%DF=N%W=0%ACK=O%Flags=R%Ops=)
T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=Y%DF=N%W=0%ACK=O%Flags=R%Ops=)
T7(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
PU(Resp=Y%DF=N%TOS=0%IPLEN=38%RIPTL=148%RIPCK=E%UCK=E%ULEN=134%DAT=E)
WARNING:  RST from port 25 -- is this port really open?
WARNING:  RST from port 25 -- is this port really open?
WARNING:  RST from port 25 -- is this port really open?
WARNING:  RST from port 25 -- is this port really open?
WARNING:  RST from port 25 -- is this port really open?
WARNING:  RST from port 25 -- is this port really open?
WARNING:  RST from port 25 -- is this port really open?
WARNING:  RST from port 25 -- is this port really open?
WARNING:  RST from port 25 -- is this port really open?
WARNING:  RST from port 25 -- is this port really open?
WARNING:  RST from port 25 -- is this port really open?
WARNING:  RST from port 25 -- is this port really open?
WARNING:  RST from port 25 -- is this port really open?
WARNING:  RST from port 25 -- is this port really open?
WARNING:  RST from port 25 -- is this port really open?
WARNING:  RST from port 25 -- is this port really open?
WARNING:  RST from port 25 -- is this port really open?
WARNING:  RST from port 25 -- is this port really open?
Nmap run completed -- 1 IP address (1 host up) scanned in 655 seconds

-----------------------------------------------

udp scan

Starting nmap V. 3.00 ( www.insecure.org/nmap )
Warning:  OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
Interesting ports on xxx.Red-80-xxxx.pooles.rima-tde.net (80.xxxx):
(The 1463 ports scanned but not shown below are in state: closed)
Port       State       Service
67/udp     open        dhcpserver              
68/udp     open        dhcpclient              
445/udp    open        microsoft-ds            
500/udp    open        isakmp                  
4500/udp   open        sae-urn                
Too many fingerprints match this host for me to give an accurate OS guess
Nmap run completed -- 1 IP address (1 host up) scanned in 26 seconds

------------------------------------------------------

saludos y ya me cuentas ok???

[Leandros]

la cuenta invitado nunca me ha gustado. A la horca con ella jejejeje.

Si se puede preguntar, para que utilizas el netbios?

[eb_scrooge]

weno, vayamos x partes. q es lo de null session?  lo primero q m sorprende q aparezcan el 25 y 110 abiertos. de hexo juraria q no lo estan. referente al resto de servicios q puedo cerrar?de todos modos tras el firewall qdan protegidos, se supone... sobre netbios q era x lo q empezaba todo esto, estamos en las mismas, con el firewall qda cerrado a internet. xo el tema esta en esas conexiones salientes al puerto 137 q hace.
x lo de las contraseñas, pese a visualizar los recursos compartidos no habras podido acceder a ellos(pregunto)?
el netbios lo uso pa compartir arxivos en la lan. las veces q lo he desactivado he estado pasando los arxivos x ftp y con el total commander s hace mas o menos soportable xo es un palo.
pos eso, s m pasa algo?

plis. edita la sexta linea del log del nmap, la primera terna de numeros.

[Dabo]

hola amigo, anduve liado, ya edite la linea, bien, no te preocupes por el puerto 110 y 25, son los jodidos falsos positivos del SSS

realmente una null session es la configuracion que tienes actualmente en tu PC compartiendo carpetas, archivos y un disco con el exterior, la cosa se complicaria mas si ademas de ello no hiciese falta autentificacion, mira, no te puedes fiar del firewall, si por lo que sea lo franquean pueden intentar romper los pass por fuerza bruta o algo parecido

tienes que revisar los servicios activos y puertos udp abiertos que suelen ser usados por troyanos por ejemplo, haz busquedas sobre ellos en google, ando mal de tiempo y ahora te queda a ti trabajar sobre ello

ademas, en el caso de netbios, si hay una entrada no se considera un delito informatico si no hay manipulacion de archivos, es como si tu compartieras tu disco con el exterior, la ley de delitos informaticos no lo contempla, otra cosa es la etica pero...no esperes demasiada en ciertas ocasiones, tienes mucha info de hacking de netbios en los foros de hacking, de todos modos, dale un look a esto

http://www.ginerdavid.net/hacking/textos/general_netbios.txt

lo entenderas bien, otra cosa es que necesites netbios para funcionar entre la red pero yo intentaria algo mas seguro porque comprometes toda la red y lo unico que puede hacer es que ademas de asegurar servicios y equipos con sus respectivos pass lo mas potentes posibles (ojo con los puestos de usuario) es filtrarlo todo bien con un buen firewall que permita unas extrictas normas de filtrado

ver los archivos???


hermano, mi curiosidad la sacie hace tiempo ya, ni lo intenté, hay miles de maquinas por ahi con el netbios Open, sigue siendo un metodo de hack efectivo pero andamos en otras movidas

un abrazo  :!:

[eb_scrooge]

he estado pegando una vistazo xo antes de nada aclarar una cosilla.cuando t pregunte si habias podido ver los arxivos compartidos no lo hacia "recriminandote" (ni nada parecido) q lo hubieses hexo. si me hubieses dixo "tienes una contraseña q da pena" o "t he visto hasta los arxivos de la papelera" tampoco hubiese pasado nada, ibamos a lo q ibamos. encima d q t tomas la molestia y d tener mi consentimiento ni se me paso x la cabeza reprocharte nada, en todo caso darte las gracias. en cuanto a la curiosidad, aprendemos y las cosas evolucionan gracias a ella, no? asi q espero q no hayas saciado completamente la tuya :wink:
simplemente t lo preguntaba x saber hasta q punto son vulnerables las contraseñas de los recursos compartidos.  despues d leer el link de tu ultimo post ya me ha qdado bastante mas claro el tema de las intrusiones x netbios. de todos modos no s si confio demasiado en el firewall, xo realmente detras del firewall y con unas contraseñas decentes sigue siendo tan vulnerable? vale la pena quitarse d encima netbios? visto lo visto me direis q si, y si alguien tiene alguna sugerencia alternativa para la gestion d arxivos en la lan tambien lo agradeceria. de momento hasta q tenga un poco d tiempo mantengo netbios, lo q he hexo ha sido cambiar la conexion de pc xq el d ayer es el unico q hace la movida de lanzar conexiones netbios el solito. lo formatearemos a ver q pasa  :D

en cuanto a los servicios, solo m qdan un par de dudas. por una lado estan el 500 y 4500 udp q no tengo muy claro xa q sirven y por otro lado como puede afectar (si afecta) el desactivar bajo xp el dcom y el upnp. en algun momento "los hexaria en falta"?

SALU2

[Dabo]

tranquilo Eb, no me  lo tome a mal, para nada, me alegro de que te interesara la informacion, a ver si mañana con mas tiempo te posteo algo porque apago

un abrazote amigo  :wink:  :lol:


(la curiosidad no se pierde, se va saciando poco a poco, tranquilo que algo me queda jaja :lol: , abrazeizersssssss  :wink: )