Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: cliso en 31 de Diciembre de 2003, 02:10:00 am
-
bueno pues, esta noche me ha pasado una cosa que me he quedado alucinado, y seguramente me ha jodido el sistema, os cuento:
esta semana me encontraba de viaje y a mi mujer se le jodio el ordenata, teniendo ella que formatear y volver a poner el s.o. (win 2000), pues bien yo he llegado esta noche de viaje y no he mirado si estaba cerrado la entrada por netbios, cuando de repente estaba en otra habitacion y he oido un pitido extraño en el ordenata, me he asomado y era el essential nettools, que me ha avisado de una conexion entrante en mi ordenata, bueno pues por lo visto he llegado tarde y quien sea que se ha metido me ha colado algun cuerpo extraño que mi antivirus ha detectado, al parecer mi antivirus no podia desinfectarlos y ha borrado todos los archivos infectados (algo asi como uno 25) bueno resumiendo que he pillao la captura de la pantalla con la ip del susodicho que se me ha colao, y mi pregunta es?
que puedo hacer?, creo que me ha jodio el sistema, lo dejo que cuele otra vez por netbios para pillarlo mejor? algun consejo?
gracias y perdonar por hacerme tan largo en el post
saludos
-
Si tienes su IP no tienes más que hacerle un whois para ver cual es su ISP, llamar, mandar logs, y probablemente ellos ya le darán un toque.
-
ese es el problema solo tengo la captura de imagen de pantalla, y otra cosa, y perdona mi torpeza un whois lo hago desde alguna web?
gracias
-
cliso mandame la ip por un MP, mensaje privado
-
ouch! yo decía desde linux... claro, que viene incorporado... pero si, desde una web si no puedes, o si no , no busques, usa esta
http://www.freeke.org/cgi-bin/whois
Saludos.
Si no tienes logs... chungo lo veo, aunque al igual que los screenshots, también se pueden modificar... no sé yo, mejor olvidarse, no creo que haya mucho que hacer, como no sea devolverle el atake, pero eso no es de niños buenos.
-
el whois lo puedes hacer con el mismo essential , en la pestaña que pone nslookup mete la ip y ya saldra ,
yo intentaria saber algo mas de ese virus o lo que sea y mirar para desinfectarlo yo manualmente, lo debes tener en la cuatrentena, ahi mira cual es su nombre y en las web de antivirus suelen estas instrucciones para desinfectarlos tu mismo y probar asi para que no te joda otros archivos
no se que mas aconsejarte cliso :(
-
Aqui os dejo una pagina para hacer Whois, Trace route, es una mas pero... es la que yo manejo:
http://www.all-nettools.com/tools1.htm
Saluetes.
P/D: Esta tarde en casa de un amiguete le miro las conexiones y PLAM!!! otro enganchao por NetBIOS. Joder como esta el patio...
-
estoy en ello cliso, la movida que tienes es gorda, mucho movimiento en tu "host" te mando un privado ok???
-
buho y demas peña del junior team ir para alla rapido ok?????
os posteo algo alli
-
ok, creo que he pillado lo que me han colado se llama metalrock-is-gay y me lo han colado en system32,
gracias dabo
saludos
-
tienes un troyano, metal rock is gay exe, tengo al cabron logeeado y su ip, esta corriendo en el puerto 1146 y del cuatro mil y pico en adelante pero tengo al cabronazo
voy a jugar un poco
tengo su ip mira tus logs, es esta
empieza por...
TCP 62.151.??.?? 1146 66.98.?????? 6667 ESTABLISHED jesus.and.moses.are.super-jew.net
veras que risas
-
perdoname si es pregunta de novato pero es que es lo que soy, jejejej, donde miro los log que dice dabo, yo tambien quiero enterarme de la movida ;)
-
vamos a ver, mira el txt que me mandaste, arriba del todo estos terminos
Proto SE REFIERE AL PROTOCOLO, TCP, UDP
Loc. IP DIRECCION IP LOCAL, OSEA LA TUYA
Loc. Port PUERTO LOCAL, EL PUERTO DE TU PC
Rem. IP IP REMOTA, LA DEL CABRONAZO Y OTRAS NORMALES A LAS QUE ESTAS CONECTADO
Rem. Port PUERTO REMOTO, EL PUERTO DE LA IP REMOTA
State ESTADO DE LA CONEXION, ESTABLECIDA, CLOSED (CERRADA ETC) PUEDE SER WAIT, OSEA, A LA ESPERA, O LISTEN, ESCUCHANDO, TIPICO DE LOS TROYANOS
Hostname EL NOMBRE DEL HOST AJENO
Process SI TE FIJAS, CASI TODOS EN SYSTEM 32
un abrazo amigo, vaya putada, yo sigo en ello porque el tio no esta muy protegido, tengo una duda con algo pero ya te contare
-
ok dabo todo eso ya lo sabia, incluso se su isp, ahora lo que no puedo entender es como has dado con el tan pronto, seria interesante que no lo explicases a los novatillos no? :) aunque sea una explicacion para torpes jejejeje, bueno lo dicho gracias y estoy a la escucha
saludos
-
me fui fijando en las conexiones y vi el nombre netbios, al estar conectado salia y me di cuenta de que no era el troyano sino el cabronazo que estaba dentro de tu pc
cambia todas las contraseñas del pc cuando puedas ok?? con eso que me has mandado le tienes bien jodido
no se cliso, la experiencia ayuda y estoy acostumbrado a ver listas de logs muy largas, luego te das cuenta de lo que es valido o no
entre esos cientos de logs, aqui estaba la clave., fijate, me di cuenta tambien al ver el "process"
62.151.??? 1146 66.98.???? 6667 ESTABLISHED jesus.and.moses.are.super-jew.net metalrock-is-gay.exe ese proceso y con nombre netbios....
es el, sigue conectado
-
ok, me he podido dar cuenta de lo util que es ent, otra cosa la intrusion me la ha echo por netbios, y como ha podido colarme el troyano?, bueno espero que como tu dices la paciencia y la experiencia me guie por el buen camino, yo he echo intrusiones por netbios pero nunca he tocado nada, simplemente he visto los recursos compartidos y ya esta, bueno en la viña del señor hay de todo, lo malo de todo esto es que mi mujer se ha asustado al ver toda la movida, jejejeje nos ha jodido la peli que estabamos viendo, bueno y mi ultima pregunta, como puedo yo utilizar el log que te he mandado?
saludos
-
pues solo tienes que mandarle el txt y ya esta, otra cosa, solo te lo ha tenido que colar y hacer click, copiando al system 32 directamente o metiendotelo y jecutandolo, una cosa curiosa, tiene un Linux, con lo cual el no se infecta pero te ve :?: :!:
cabronazo el tio pero ya sabeis, esto no es un juego, a veces se gana y otras se pierde
estamos en ello
-
jejejeje, lo mismo te cansas ya de mi, perooooo, como le mado el txt?, jejjeje supongo que habra mas gente torpe como yo en este foro, por que sino creo que sobro :)
-
pues mira, si quieres denunciar la situacion, envias el txt a tu proveedor, supongo que para eso tendran la tipica cuenta que se llame "abuse@nombredetuproveedor" y les dices que esa ip te ha metido un troyano y ha hecho lo que haya hecho
un cosa, deshabilita Net bios pero ya amigo
-
me suponia que era asi, ok dabo lo hare en cuanto termine unas cosillas, es que no quiero reiniciar ahora, y perdona si he sido pesao esta noche
gracias por todo
-
cliso echale una ojeada a esto, es como explico buho para deshabilitar netbios http://www.daboweb.com/phpBB2/viewtopic.php?t=1547&postdays=0&postorder=asc&start=15
y pregunytas que como te lo ha metido pues con netbios abierto y recursos compartidos pues te sube el cualquier ejecutable y ya esta , o te puede borrar todo el hd etc....
-
no te preocupes Cliso , pregunta lo que necesites, muy acertado ese post, una cosa cliso, no le escaneees al tio ok??? pasate por
www.trojanscan.com y deja que te mire el disco duro
te digo que pases de el porque sabe lo que hace, tiene un sniffer corriendo, el Dsnif y algo mas
ya hablamos
-
ya tengo ese tuto leido gracias de todos modos
-
ok, otra cosa, pincha con el boton derecho en el ENT y dale a mostrar estadisticas detalladas, es que no sabia como era, ya estoy en windows
puedes ver icmp, tcp etc
-
probandolo estoy, ademas de leerme un manual que he encontrado de la version que tengo para win en español
-
cliso, otra mala noticia, creo que etas infectado con el gusano "netcaptor.exe" se llama como el browser
amigo, hay que limpiar ese pc `pero ya , el netcaptor sniffa contraseñas, hazlo rapido amigo, escaneate por el panda active scan aqui en foro lo tienes
-
UDP 127.0.0.1 1032 N/A N/A LISTEN iexplore.exe
UDP 127.0.0.1 1069 N/A N/A LISTEN ie6wzd.exe
UDP 127.0.0.1 1080 N/A N/A LISTEN NetCaptor.exe
mira esos proceso abajo de los logs y busca info, a veces aunque ponga iexplore.exe.....
seguro que son troyanos renombrados, fijate que estan "listen" a la escucha y ademas, los protocolos "UDP" rarito no :!:
-
ahora que lo dices, de todos los que me nombras aun me queda uno que esta LISTEN, netcaptor.exe que es mi navegador, y lo de UDP, lo dices por que es raro por que no necesita confirmación de entrega?
-
es que creo que ese troyano se conecta via http
por cierto, algun dato del cabronazo
Starting nmap V. 3.00 ( www.insecure.org/nmap )
Interesting ports on jesus.and.moses.are.super-jew.net (66.98.xxxxxx):
(The 1590 ports scanned but not shown below are in state: closed)
Port State Service
21/tcp open ftp
22/tcp open ssh
80/tcp open http
113/tcp open auth
135/tcp filtered loc-srv
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
539/tcp filtered apertus-ldp
6667/tcp filtered irc
6969/tcp open acmsoda
7000/tcp open afs3-fileserver
Remote operating system guess: Linux Kernel 2.4.0 - 2.5.20
Uptime 130.341 days (since Fri Aug 22 19:18:00 2003)
Nmap run completed -- 1 IP address (1 host up) scanned in 57 seconds
-
no tiene por qué estar infectado siempre que esos procesos sean identificados por el, quiero decir, los gusanos suelen renombrarse con nombres de programas reales, si el dice que netcaptor es su browser... seguramente no esté infectado, debería mirar si su PC se conecta a algun servidor de correo, que es lo que hacen casi todos los gusanos que roban passwords. No nos pongamos pesimistas que le va a dar un yuyu a cliso! :lol:
Pasate un antivirus actualizado, ponle un firewall, cierra netbios.. y punto.
-
correcto buho, igual el que esta paranoico soy yo pero es que pilla el nombre del browser y lo renombra
de todos modos haz caso a buho amigo, habra que dormir algo que mañana la fiesta sera gorda :D
-
gracias buho por el respiro, he puesto a logear el netstat cada vez que cambie algo, para observar precisamente eso, para ver si algun troyano tipo optix o assasin se conecta algun servidor de correo para mandarle mi ip, ademas he desconectado y he vuelto a conectar para ver si al cambiarme mi ip se activa alguna salida de correo, creo que lo he echo bien no? ademas he borrado todas las entradas del registro y el ejecutable que estaba en systen32
-
correcto, a ver si es solo un susto o algo mas serio, que no creo, y mira que yo soy paranoico... :wink:
enga, a dormir tranquilos.
-
enga, a dormir tranquilos.
ta mañana 8)
buen trabajo de todos :!:
-
Starting nmap V. 3.00 ( www.insecure.org/nmap )
Interesting ports on jesus.and.moses.are.super-jew.net (66.98.xxxxx):
(The 1590 ports scanned but not shown below are in state: closed)
Port State Service (RPC)
21/tcp open ftp
22/tcp open ssh
80/tcp open http
113/tcp open auth
135/tcp filtered loc-srv
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
539/tcp filtered apertus-ldp
6667/tcp filtered irc
6969/tcp open acmsoda
7000/tcp open afs3-fileserver
No exact OS matches for host (If you know what OS is running on it, see http://www.insecure.org/cgi-bin/nmap-submit.cgi).
TCP/IP fingerprint:
SInfo(V=3.00%P=i686-pc-windows-windows%D=12/31%Time=3FF22C29%O=21%C=1)
TSeq(Class=RI%gcd=1%SI=4B7844%IPID=Z%TS=100HZ)
TSeq(Class=RI%gcd=1%SI=4B7BFD%IPID=Z%TS=100
HZ)
TSeq(Class=RI%gcd=1%SI=4B7AD1%IPID=Z%TS=100HZ)
T1(Resp=Y%DF=Y%W=16A0%ACK=S++%Flags=AS%Ops=MNNTNW)
T2(Resp=N)
T3(Resp=N)
T4(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=)
T5(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=)
T7(Resp=N)
PU(Resp=Y%DF=N%TOS=0%IPLEN=164%RIPTL=148%RIPCK=E%UCK=E%ULEN=134%DAT=E)
Uptime 130.358 days (since Fri Aug 22 19:18:01 2003)
WARNING: RPC scan currently does not make use of decoys so don't count on that protection
Nmap run completed -- 1 IP address (1 host up) scanned in 66 seconds
WARNING: RPC scan currently does not make use of decoys so don't count on that protection
mirar lo que me dice el jodido jeje, que no me permite en el RPC scan señuelos :lol: ....ya lo sabemos ya, alarmista :lol:
ya sabeis, no lo podia evitar jeje, ahora si me duermo....
interesante info no????
por cierto, aqui no hay nada ilegal, solo lo del tio ese :!: