Debe estar conectado para participar
Buscar en los foros:


 






Uso de Comodín:
*    coincide cualquier número de caracteres
%    coincide exactamente un caracter

me atacan el modem!! se denuncia esto?

No hay Etiquetas
Entrada
Entry Level

feborojo

San Miguel de Tucumán

entradas: 87

01:55 23/11/2007

1

hola gente!!

me dí cuenta a través de log del mdm ke toy siendo atacado y escaneado los puertos!!!

llegue a esto xke desde hace días se me colgaba el mdm echolife 520, no sabía ke pasaba!! empece a usar el ad-ware y encontró algunos gusanos!! también se había desactivado el firewall de windows!! encontré 2 archivitos raros en el raiz del rigido (ya los borre) y tambien en las excepciones ke hace firewall había encontrado una entrada ke decía "joey_PC", no se de ke sería!!

la cosa ke active el firewall, borre esa entrada, borre los archivitos, y seguía colgandose el mdm!!, pense ke podía ser el utorrent ke saturaba de conexiones al mdm, tonces no lo use y seguía colgandose!!

pense ke era telecom, pero consulte a varios amigos y taba bien la conexion (milagro jeje) tonces se me dió x mirar el log del modem y encontre algo raro relacionado con SYN FLOOD o algo asi, también la palabra suspected(1), además vi que tenía desactivado el firewalll!!

tonces, active el firewall, luego de un rato se me da x ver el log y encontre esto:

y esto es lo ultimo y parece ke va a haber más también

ustedes ke opinan? ke se hace en estos casos? se denuncia? a kien?

me kedo en el molde y espero ke dejen de joder? es grave?

hasta antes de activar el firewall del mdm me tuvo repodrido ke tenga ke apagar y reencender el mdm!!! todos los días y cada tantos minutos!!

salu2 y gracias

Moderador

DJ_Rufa

Argentina

entradas: 5191

08:36 23/11/2007

2

Mira, como denunciar a alguien, calculo que se debe poder, ahora a quien, ahi me mataste! No se quien se encargara de estas cosas. Saludos.

High End Level

WeeDv2

NZ

entradas: 785

08:59 23/11/2007

3

tendrias que ver de quien es la ip… en un principio de que proveedor, 2do si es dinamica, si es asi… tenes que hablar con el proveedor, para explicarle la situacin… y que te den que usuario tenia esa ip ese dia a esa hora… igual que te den esa info tiene ciertos requerimientos que la verdad no recuerdo…

Registry Whois

OrgName: Latin American and Caribbean IP address Regional Registry
OrgID: LACNIC
Address: Rambla Republica de Mexico 6125
City: Montevideo
StateProv:
PostalCode: 11400
Country: UY

ReferralServer: whois://whois.lacnic.net

NetRange: 200.0.0.0 – 200.255.255.255
CIDR: 200.0.0.0/8
NetName: LACNIC-200
NetHandle: NET-200-0-0-0-1
Parent:
NetType: Allocated to LACNIC
NameServer: NS.LACNIC.NET
NameServer: TINNIE.ARIN.NET
NameServer: NS-SEC.RIPE.NET
NameServer: SEC3.APNIC.NET
NameServer: NS2.DNS.BR
NameServer: NS3.AFRINIC.NET
Comment: This IP address range is under LACNIC responsibility for further
Comment: allocations to users in LACNIC region.
Comment: Please see http://www.lacnic.net/ for further details, or check the
Comment: WHOIS server located at whois.lacnic.net
RegDate: 2002-07-27
Updated: 2006-10-23

OrgTechHandle: LACNIC-ARIN
OrgTechName: LACNIC Whois Info
OrgTechPhone:
OrgTechEmail: 200.126.231.232&email=0' border='0' align='middle'>

esa es la informacion sobre esa ip…

nose de uqe sona sos, y si lacnic-arin o algo de eso te sirve como dato… sinedo que sea un proveedor de internet de tus zona o algo por el estilo, sino habria que averiguar quien es lacnic que hace etc…
bueno creo que con eso te das una idea..

una saludo cualqueir cosa pregunta… que si no estoy yo aca esta lleno de gente que sabe mas que yo y muchisimo

High End Level

WeeDv2

NZ

entradas: 785

09:00 23/11/2007

4

Estos son los datos que dan lacnic sobre esa ip:

% Copyright LACNIC lacnic.net
% The data below is provided for information purposes
% and to assist persons in obtaining information about or
% related to AS and IP numbers registrations
% By submitting a whois query, you agree to use this data
% only for lawful purposes.
% 2007-11-23 10:00:15 (BRST -02:00)

inetnum: 200.126.192/18
status: allocated
owner: CABLEVISION S.A.
ownerid: AR-CASA10-LACNIC
responsible: Rodolfo Alvarez
address: Aguero, 3440,
address: 1605 – Munro – BA
country: AR
phone: +54 11 4778-6000 []
owner-c: NEA
tech-c: NEA
inetrev: 200.126.192/18
nserver: DNS1.CVTCI.COM.AR
nsstat: 20071122 AA
nslastaa: 20071122
nserver: DNS2.CVTCI.COM.AR
nsstat: 20071122 AA
nslastaa: 20071122
created: 20040715
changed: 20040715

nic-hdl: NEA
person: Network Administrator – Noc Fibertel
e-mail: noc@FIBERTEL.COM.AR
address: Aguero, 3440, 2 Piso
address: 1605 – Munro – BA
country: AR
phone: +54 11 4778-6569 []
created: 20030204
changed: 20070423

% whois.lacnic.net accepts only direct match queries.
% Types of queries are: POCs, ownerid, CIDR blocks, IP
% and AS numbers.

Hardcore Extreme Level

Chilanpi

entradas: 3553

09:06 23/11/2007

5

Primero asegurate que dentro de tu red no haya alguna PC que te exponga y sea un backdoor, no solamente la tuya, fijate en el wireless y si no lo usas, desactivalo. La mayoría de estos "ataques" son porque alguien de "adentro" los invita.

Salu2

Hardcore Extreme Level

jack

a

entradas: 6358

09:08 23/11/2007

6

Master, aparte del firewall del modem instalás uno basado en soft y bloqueás cualquier ataque ICMP (cualquier tipo) e IGMP tanto de entrada como salida.

. - . - .-

 

Cita Iniciado por MatiiBE
los negros juntan honor x frags.. como nosotros los gamers.. pero ellos lo hacen de verdad…
Extreme Level

Dark-Link

entradas: 2864

09:15 23/11/2007

7

No te guies por esos datos, son cualquiera… Puse mi ip y salio cualquier verdura… Vivo en Mendoza y no conozco a nadie llamado Agustin Gomez Dhers.

% Copyright LACNIC lacnic.net
% The data below is provided for information purposes
% and to assist persons in obtaining information about or
% related to AS and IP numbers registrations
% By submitting a whois query, you agree to use this data
% only for lawful purposes.
% 2007-11-23 10:13:37 (BRST -02:00)

inetnum: 190.48/16
status: allocated
owner: Telefonica de Argentina
ownerid: AR-TEAR7-LACNIC
responsible: Agustín Gomez Dhers
address: AV. ING. HUERGO – OBS. JUDICIALES, 723,
address: 1065 – Buenos Aires – CF
country: AR
phone: +54 11 4332-2220 []
owner-c: TEA
tech-c: TEA
inetrev: 190.48/16
nserver: DNS1.MRSE.COM.AR
nsstat: 20071119 AA
nslastaa: 20071119
nserver: DNS2.MRSE.COM.AR
nsstat: 20071119 AA
nslastaa: 20071119
nserver: DNS3.MRSE.COM.AR
nsstat: 20071119 AA
nslastaa: 20071119
created: 20051118
changed: 20051118

nic-hdl: TEA
person: TELEFONICA DE ARGENTINA
e-mail: tasamail@TELEFONICA.COM.AR
address: Defensa, 390, 5to piso
address: C1065AAF – Capital Federal – BA
country: AR
phone: +54 11 4332-5305 []
created: 20030618
changed: 20050928

% whois.lacnic.net accepts only direct match queries.
% Types of queries are: POCs, ownerid, CIDR blocks, IP
% and AS numbers.

High End Level

WeeDv2

NZ

entradas: 785

10:12 23/11/2007

8

dark te pido que la proxima no asgures que los datos son cualquiera o no, si no sabes de lo que estas hablando porque confundis a los usuarios…

claro que no lo vas a conocer… porque agustin gomez, es el responsable de telefonica, los datos no son cualquiera, vos los mal interpretaste que es distinto…es obvio que no te va a decir tu nombre y apellido te dice quien es dueño de esa ip, en ese caso telefonica…en el de feborojo cablevision.

fijate dark que el tuyo dice
owner: Telefonica de Argentina
ownerid: AR-TEAR7-LACNIC
responsible: Agustín Gomez Dhers
address: AV. ING. HUERGO – OBS. JUDICIALES, 723,
address: 1065 – Buenos Aires – CF
country: AR

BUENOS AIRES osea que no es de cordoba… y 2do no creo que conoscas a todo cordoba… de onda… igualmente te repito, ahi te dice el responsable de las lindeas… en este caso telefonica a nombre de agustin gomez dherz … entonces si tubieras que prguntar quien tubo esa ip se lo tendrias que hacer a Telefonica…

en el caso de feborojo, tendria que hablar con cablevicion, ellos le van a dar la respuesta de quien es el consumudir que a nombre del consumidor final que tiene esa linea o que tubo esa linea en esos horarios…

y febo, si es de cablevision, seguramente tenga ip fija, y este 24hs online su router… ahora me fijo con un ping y le hago un scaneo de puertos yo XD

EDIT: efectivamente responde el ping… voy a ver que mas averiguo

Extreme Level

Dark-Link

entradas: 2864

10:41 23/11/2007

9

Disculpame, pero para mejor, la proxima vez, explica concretamente que significan los datos que posteas en el mismo momento. Gracias por la explicacion.

Saludos!

High End Level

WeeDv2

NZ

entradas: 785

11:03 23/11/2007

10

Bueno aqui te traigo mas detalles luego de un scaneo…

quien te ataca es de Fibertel
usa alguna distro de linux y tiene estos puertos abiertos

PORT STATE SERVICE VERSION
21/tcp open ftp ProFTPD 1.3.0
22/tcp open ssh OpenSSH 4.3p2 Debian 9 (protocol 2.0)
53/tcp open domain
80/tcp open http Apache httpd 2.2.3 ((Debian) PHP/5.2.0-8+etch7)
110/tcp open pop3 Courier pop3d
111/tcp open rpcbind 2 (rpc #100000)
113/tcp open ident OpenBSD identd
135/tcp filtered msrpc
137/tcp filtered netbios-ns
139/tcp filtered netbios-ssn
143/tcp open imap Courier Imapd (released 2005)
443/tcp open http Apache httpd 2.2.3 ((Debian) PHP/5.2.0-8+etch7)
445/tcp filtered microsoft-ds
993/tcp open ssl OpenSSL
995/tcp open ssl OpenSSL
1080/tcp filtered socks
3128/tcp filtered squid-http
3306/tcp open mysql MySQL 5.0.32-Debian_7etch1-log
4480/tcp filtered proxy-plus
6588/tcp filtered analogx
No OS matches for host
Service Info: OSs: Unix, Linux, OpenBSD

Entry Level

feborojo

San Miguel de Tucumán

entradas: 87

13:01 23/11/2007

11

gracias gente x sus respuestas!!
ke grosos ke son!!

tonces lo ke me keda es mandarles la captura a los de fibertel y me imagino, ke asi como en telecom tiene eso de condiciones de uso, ellos también lo tendran!!

hasta ke se tomen medidas en el asunto (si es ke lo hacen) lo unico ke me keda es esperar y seguir sufriendo hasta ke me dejen de tomar de punto??

les comento ke siguen los ataques!!

una pregunta si mi IP es dinámica, como sabe ke tiene ke atacar mi mdm? los ataques son aleatorios? esto es común ke se ataque a medio mundo?

salu2 y gracias

High End Level

WeeDv2

NZ

entradas: 785

15:00 23/11/2007

12

mira, podes tener algo en tu maquina que le diga tu ip.. y te tom de punt, pero si siempre los atacaques vienend e la misma ip…
si vienen de distintas lo mas probable es que sea un scaneo al azar para buscar vulnerabilidades en alguien… y atacar

High End Level

micronics

entradas: 888

15:13 23/11/2007

13

hacete un escaneo de virus y spywares con lo que tengas instalado, como alternativa hace un escaneo online aca http://www.pandasecurity.com/spain/h…ns/activescan/

.
.
.
.

[SIGPIC][/SIGPIC]
Midle End Level

Saimon-91

entradas: 267

15:22 23/11/2007

14

los escaneos de puertos no son nada nuevo.. se hacen todo el tiempo.. mas a la noche cuando gente deja bajando cosas.. entonces ahi son mas indefensas las maquinas

por el escaneo de puertos no te preocupes.. es algo comun..
lo que tenes que hacer es defenderte con un buen firewall

[SIGPIC][/SIGPIC]

http://www.todotuneles.com.ar/

Hardcore Extreme Level

jack

a

entradas: 6358

15:40 23/11/2007

15

Dejen de joder con andar reportando "abuses" sin pruebas concretas. Syn floods hay a cada rato y eso no es tenido en cuenta por practicamente ningún ISP serio.
Acá la posta es filtrar por medio de un firewall bien afinadito.

. - . - .-

 

Cita Iniciado por MatiiBE
los negros juntan honor x frags.. como nosotros los gamers.. pero ellos lo hacen de verdad…
Entry Level

feborojo

San Miguel de Tucumán

entradas: 87

15:44 23/11/2007

16

me pueden decir si esto esta bien!!

ke tendría ke desactivar?

Entry Level

feborojo

San Miguel de Tucumán

entradas: 87

15:56 23/11/2007

17
Cita Iniciado por JacK
Ver Mensaje
Dejen de joder con andar reportando "abuses" sin pruebas concretas. Syn floods hay a cada rato y eso no es tenido en cuenta por practicamente ningún ISP serio.
Acá la posta es filtrar por medio de un firewall bien afinadito.

ok, ta bien!!, pero tengo entendido ke al hacerle varios atakes al modem se lo deja fuera de servicio (por ejemplo: denegacion de servicio), tonces me esta jodiendo la conexión!! a mi no me dejo navegar durante 3 días practicamente, cada 2 x 3 se tildaba el modem!!, no se si me explico?

aparte no tengo nada en mi makina como para kerer meterse, pero si hago homebanking! cómo busco esos keyloggers?, ya pase el ad-ware y ya me tira ke no tengo nada y uso el nod32, todo actualizado!!

salu2