Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: eb_scrooge en 13 de Abril de 2004, 05:34:07 pm
-
holas, vengo en busca de un poco de luz :idea: sobre un asunto q me trae mu mosqueado desde ayer y sobretodo xq realmente no se desde cuando esta sucediendo. ademas el tema me tiene mu desconcertao xq no se a q s puede deber. entrando en materia, ayer me puse a logear absolutamente todo el trafico d mi pc, tanto entrante como saliente, y m encuentro con esto:
NETBIOS SALIENTE
[13/Apr/2004 16:52:23] DROP "Default traffic rule" packet to INTERNET, proto:UDP, len:78, ip/port:192.168.0.1:137 -> 66.102.xxx.xxx:137, udplen:50
[13/Apr/2004 16:52:29] Last message repeated 4 times
[13/Apr/2004 16:52:29] DROP "Default traffic rule" packet to INTERNET, proto:UDP, len:78, ip/port:192.168.0.1:137 -> 66.102..xxx.xxx:137, udplen:50
[13/Apr/2004 16:52:35] DROP "Default traffic rule" packet to INTERNET, proto:UDP, len:78, ip/port:192.168.0.1:137 -> 66.102..xxx.xxx:137, udplen:50
[13/Apr/2004 16:53:08] DROP "Default traffic rule" packet to INTERNET, proto:UDP, len:78, ip/port:192.168.0.1:137 -> 66.102..xxx.xxx:137, udplen:50
[13/Apr/2004 16:53:11] DROP "Default traffic rule" packet to INTERNET, proto:UDP, len:78, ip/port:192.168.0.1:137 -> 66.102..xxx.xxx:137, udplen:50
[13/Apr/2004 16:53:11] DROP "Default traffic rule" packet to INTERNET, proto:UDP, len:78, ip/port:192.168.0.1:137 -> 66.102..xxx.xxx:137, udplen:50
[13/Apr/2004 16:53:17] Last message repeated 4 times
[13/Apr/2004 16:53:51] DROP "Default traffic rule" packet to INTERNET, proto:UDP, len:78, ip/port:192.168.0.1:137 -> 66.102..xxx.xxx:137, udplen:50
[13/Apr/2004 16:53:59] Last message repeated 4 times
esto lo hace constantemente, intenta conectarse a ip's arbitrarias, hace un numero indeterminado d intentos a una ip y tras un periodo tambien indeterminado d tiempo cambia a otra ip totalmente diferente. he pasado antivirus (nod) y aparentemente tampoco hay ningun proceso extraño ejecutandose.
NETBIOS ENTRANTE
el caso es q tiene cierta similitud con la gran cantidad de accesos q bloquea en sentido contrario, de otros pc's a mi netbios, a los q termine acostumbrandome y no dandoles muxa importancia (deje d logear el netbios xq me generaba logs d megas diarios):
[13/Apr/2004 16:54:34] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:229, ip/port:80.24.183.164:138 -> 80.24.xxx.xxx:138, udplen:201
[13/Apr/2004 16:54:35] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:202, ip/port:80.24.183.135:138 -> 80.24.xxx.xxx:138, udplen:174
[13/Apr/2004 16:54:35] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:78, ip/port:80.24.183.135:137 -> 80.24.xxx.xxx:137, udplen:50
[13/Apr/2004 16:54:39] Last message repeated 3 times
[13/Apr/2004 16:54:39] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:202, ip/port:80.24.183.135:138 -> 80.24.xxx.xxx:138, udplen:174
[13/Apr/2004 16:54:39] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:78, ip/port:80.24.183.135:137 -> 80.24.xxx.xxx:137, udplen:50
[13/Apr/2004 16:54:44] Last message repeated 3 times
[13/Apr/2004 16:54:44] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:202, ip/port:80.24.183.135:138 -> 80.24.xxx.xxx:138, udplen:174
[13/Apr/2004 16:54:44] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:78, ip/port:80.24.183.135:137 -> 80.24.xxx.xxx:137, udplen:50
[13/Apr/2004 16:54:48] Last message repeated 3 times
[13/Apr/2004 16:54:48] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:211, ip/port:80.24.183.135:138 -> 80.24.xxx.xxx:138, udplen:183
[13/Apr/2004 16:55:26] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:233, ip/port:80.24.183.164:138 -> 80.24.xxx.xxx:138, udplen:205
[13/Apr/2004 16:56:17] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:202, ip/port:80.24.183.164:138 -> 80.24.xxx.xxx:138, udplen:174
[13/Apr/2004 16:56:18] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:78, ip/port:80.24.183.164:137 -> 80.24.xxx.xxx:137, udplen:50
[13/Apr/2004 16:56:22] Last message repeated 3 times
[13/Apr/2004 16:56:22] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:202, ip/port:80.24.183.164:138 -> 80.24.xxx.xxx:138, udplen:174
[13/Apr/2004 16:56:22] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:78, ip/port:80.24.183.164:137 -> 80.24.xxx.xxx:137, udplen:50
[13/Apr/2004 16:56:26] Last message repeated 3 times
[13/Apr/2004 16:56:26] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:202, ip/port:80.24.183.164:138 -> 80.24.xxx.xxx:138, udplen:174
[13/Apr/2004 16:56:26] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:78, ip/port:80.24.183.164:137 -> 80.24.xxx.xxx:137, udplen:50
[13/Apr/2004 16:56:30] Last message repeated 3 times
esta es una muestra de los bloqueos d netbios entrante q tampoco s hasta q punto es normal. sobretodo lo q m mosquea en lo q s refiere a netbios entrante son estas dos ip's del log y alguna mas q llevan meses asi. los intentos de estas ip's son constantes, ciclos como el del log s repiten 2 o 3 veces x hora y x ip. ademas todas estas ip's son de mi mismo proveedor y muy cercanas a la mia.
en fin, q si alguien me puede dar una idea sobre q puede estar ocurriendo con el maldito netbios :evil:, sobretodo el saliente, le estaria agradecido.
SALU2
-
Yo te recomendaría que si el netbios no lo utilizas, mejor lo desconectes.
Conexiones de red-(entras en propiedades de tu conexión)-Propiedades de Protocolo Internet TCP/IP-Opciones avanzadas-WINS- y aqui deshabilitar NetBios sobre TCP/IP
creo que es lo mejor que puedes hacer, y si se da el caso de que ya lo tenías desactivado, pues no tengo ni idea.
Saludos
-
hola amigo, estoy buscando info sobre el tema, por casualidad y porque mi experiencia me dice que suele ser un caso a veces de spyware, hice esta busqueda sobre la IP en cuestion, (netbios saliente) y veo mucho follon con ella
http://www.google.es/search?num=20&hl=es&lr=&ie=UTF-8&oe=UTF-8&q=%22192.168.0.1:137%22
sigo mirando ok?? si estas online te podria hacer un escaneo de puertos para salir de dudas o al menos hacerme una idea mas clara
saludos :!:
-
en cuanto al tema de deshabilitar netbios lo he hexo en alguna ocasion xo si q lo necesito. la ip q has buscado es la ip interna d la lan, q es la ip q m saca como origen del intento d conexion a ip's publicas. ambas en el udp 137. cosa q m tiene mu desconcertao :?
lo del escaneo no m vendria mal, he cambiado el kerio personal x su hermano y aun estoy trasteandolo. tu m diras como lo hacemos, tienes la ip?como t la paso?en cualquier caso avisame antes de empezar,ok?
-
si te viene bien le doy ahora, desactivame el firewall para no falsear datos ok???
-
todo tuyo
-
ok, ya te aviso cuando acabe y te lo posteo (ocultando la IP) procurare que sean lo mas fiables posibles asi que voy a saco, scann TCP y UDP "a pelo" , osea buscando la maxima veracidad, de esos que solo les haces a los amigos porque si no cualquier firewall se los comeria con patatas :wink: :lol:
empiezo :!:
-
ahora te lo comento amigo pero no te va gustar mucho, dame unos 20 min ok???
saludos
-
tomate tu tiempo, xo avisame pa cerrar puertas y ventanas q x lo q auguras no sera como pa tenerlo todo al aire.
-
ok, te voy a meter un informe de lo mas completo pero te adelanto una "null session" , me temo que te estan entrando a saco por netbios, espera un momento y cuando te postee todo ya tomas medidas ok???
saludos y tranquilo que hoy queda resuelto
-
de entrada no le des muxas vueltas a los puertos extraños q esten abiertos q hay 4 o 5 a parte d los habituales q s lo q son.
-
bueno amigo, ademas de postearte algo del NMAP, he querido que lo veas graficamente para que lo comprendas mejor, fijate en todo lo que tienes compartido a traves de Netbios, mira los puertos abiertos y revisa los UDP que te pongo debajo, los del NMAP
creo que no tendras problemas para comprenderlo, hay que desactivar esos servicios, cerrar puertos, cambiar todas las contraseñas que tengas activas, en el PC , las que uses via web y cerrarlo todo bien con un firewall
aqui va la captura del SSS
(http://www.daboweb.com/gifs/scann.gif)
-
connect scan nmap
Starting nmap V. 3.00 ( www.insecure.org/nmap )
Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
Insufficient responses for TCP sequencing (0), OS detection may be less accurate
Insufficient responses for TCP sequencing (0), OS detection may be less accurate
Insufficient responses for TCP sequencing (0), OS detection may be less accurate
Interesting ports on xxx.Red-80-xxxxx.pooles.rima-tde.net (80.xxxxx):
(The 1596 ports scanned but not shown below are in state: filtered)
Port State Service
25/tcp open smtp
110/tcp open pop-3
135/tcp open loc-srv
445/tcp open microsoft-ds
1025/tcp open NFS-or-IIS
No exact OS matches for host (test conditions non-ideal).
TCP/IP fingerprint:
SInfo(V=3.00%P=i686-pc-windows-windows%D=4/13%Time=407C5029%O=25%C=-1)
T1(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=)
T3(Res
p=Y%DF=N%W=0%ACK=O%Flags=AR%Ops=)
T4(Resp=Y%DF=N%W=0%ACK=O%Flags=R%Ops=)
T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=Y%DF=N%W=0%ACK=O%Flags=R%Ops=)
T7(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
PU(Resp=Y%DF=N%TOS=0%IPLEN=38%RIPTL=148%RIPCK=E%UCK=E%ULEN=134%DAT=E)
WARNING: RST from port 25 -- is this port really open?
WARNING: RST from port 25 -- is this port really open?
WARNING: RST from port 25 -- is this port really open?
WARNING: RST from port 25 -- is this port really open?
WARNING: RST from port 25 -- is this port really open?
WARNING: RST from port 25 -- is this port really open?
WARNING: RST from port 25 -- is this port really open?
WARNING: RST from port 25 -- is this port really open?
WARNING: RST from port 25 -- is this port really open?
WARNING: RST from port 25 -- is this port really open?
WARNING: RST from port 25 -- is this port really open?
WARNING: RST from port 25 -- is this port really open?
WARNING: RST from port 25 -- is this port really open?
WARNING: RST from port 25 -- is this port really open?
WARNING: RST from port 25 -- is this port really open?
WARNING: RST from port 25 -- is this port really open?
WARNING: RST from port 25 -- is this port really open?
WARNING: RST from port 25 -- is this port really open?
Nmap run completed -- 1 IP address (1 host up) scanned in 655 seconds
-----------------------------------------------
udp scan
Starting nmap V. 3.00 ( www.insecure.org/nmap )
Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
Interesting ports on xxx.Red-80-xxxx.pooles.rima-tde.net (80.xxxx):
(The 1463 ports scanned but not shown below are in state: closed)
Port State Service
67/udp open dhcpserver
68/udp open dhcpclient
445/udp open microsoft-ds
500/udp open isakmp
4500/udp open sae-urn
Too many fingerprints match this host for me to give an accurate OS guess
Nmap run completed -- 1 IP address (1 host up) scanned in 26 seconds
------------------------------------------------------
saludos y ya me cuentas ok???
-
la cuenta invitado nunca me ha gustado. A la horca con ella jejejeje.
Si se puede preguntar, para que utilizas el netbios?
-
weno, vayamos x partes. q es lo de null session? lo primero q m sorprende q aparezcan el 25 y 110 abiertos. de hexo juraria q no lo estan. referente al resto de servicios q puedo cerrar?de todos modos tras el firewall qdan protegidos, se supone... sobre netbios q era x lo q empezaba todo esto, estamos en las mismas, con el firewall qda cerrado a internet. xo el tema esta en esas conexiones salientes al puerto 137 q hace.
x lo de las contraseñas, pese a visualizar los recursos compartidos no habras podido acceder a ellos(pregunto)?
el netbios lo uso pa compartir arxivos en la lan. las veces q lo he desactivado he estado pasando los arxivos x ftp y con el total commander s hace mas o menos soportable xo es un palo.
pos eso, s m pasa algo?
plis. edita la sexta linea del log del nmap, la primera terna de numeros.
-
hola amigo, anduve liado, ya edite la linea, bien, no te preocupes por el puerto 110 y 25, son los jodidos falsos positivos del SSS
realmente una null session es la configuracion que tienes actualmente en tu PC compartiendo carpetas, archivos y un disco con el exterior, la cosa se complicaria mas si ademas de ello no hiciese falta autentificacion, mira, no te puedes fiar del firewall, si por lo que sea lo franquean pueden intentar romper los pass por fuerza bruta o algo parecido
tienes que revisar los servicios activos y puertos udp abiertos que suelen ser usados por troyanos por ejemplo, haz busquedas sobre ellos en google, ando mal de tiempo y ahora te queda a ti trabajar sobre ello
ademas, en el caso de netbios, si hay una entrada no se considera un delito informatico si no hay manipulacion de archivos, es como si tu compartieras tu disco con el exterior, la ley de delitos informaticos no lo contempla, otra cosa es la etica pero...no esperes demasiada en ciertas ocasiones, tienes mucha info de hacking de netbios en los foros de hacking, de todos modos, dale un look a esto
http://www.ginerdavid.net/hacking/textos/general_netbios.txt
lo entenderas bien, otra cosa es que necesites netbios para funcionar entre la red pero yo intentaria algo mas seguro porque comprometes toda la red y lo unico que puede hacer es que ademas de asegurar servicios y equipos con sus respectivos pass lo mas potentes posibles (ojo con los puestos de usuario) es filtrarlo todo bien con un buen firewall que permita unas extrictas normas de filtrado
ver los archivos???
hermano, mi curiosidad la sacie hace tiempo ya, ni lo intenté, hay miles de maquinas por ahi con el netbios Open, sigue siendo un metodo de hack efectivo pero andamos en otras movidas
un abrazo :!:
-
he estado pegando una vistazo xo antes de nada aclarar una cosilla.cuando t pregunte si habias podido ver los arxivos compartidos no lo hacia "recriminandote" (ni nada parecido) q lo hubieses hexo. si me hubieses dixo "tienes una contraseña q da pena" o "t he visto hasta los arxivos de la papelera" tampoco hubiese pasado nada, ibamos a lo q ibamos. encima d q t tomas la molestia y d tener mi consentimiento ni se me paso x la cabeza reprocharte nada, en todo caso darte las gracias. en cuanto a la curiosidad, aprendemos y las cosas evolucionan gracias a ella, no? asi q espero q no hayas saciado completamente la tuya :wink:
simplemente t lo preguntaba x saber hasta q punto son vulnerables las contraseñas de los recursos compartidos. despues d leer el link de tu ultimo post ya me ha qdado bastante mas claro el tema de las intrusiones x netbios. de todos modos no s si confio demasiado en el firewall, xo realmente detras del firewall y con unas contraseñas decentes sigue siendo tan vulnerable? vale la pena quitarse d encima netbios? visto lo visto me direis q si, y si alguien tiene alguna sugerencia alternativa para la gestion d arxivos en la lan tambien lo agradeceria. de momento hasta q tenga un poco d tiempo mantengo netbios, lo q he hexo ha sido cambiar la conexion de pc xq el d ayer es el unico q hace la movida de lanzar conexiones netbios el solito. lo formatearemos a ver q pasa :D
en cuanto a los servicios, solo m qdan un par de dudas. por una lado estan el 500 y 4500 udp q no tengo muy claro xa q sirven y por otro lado como puede afectar (si afecta) el desactivar bajo xp el dcom y el upnp. en algun momento "los hexaria en falta"?
SALU2
-
tranquilo Eb, no me lo tome a mal, para nada, me alegro de que te interesara la informacion, a ver si mañana con mas tiempo te posteo algo porque apago
un abrazote amigo :wink: :lol:
(la curiosidad no se pierde, se va saciando poco a poco, tranquilo que algo me queda jaja :lol: , abrazeizersssssss :wink: )