El Sun 05 Feb 2006 09:20, Carlos M.S. escribió: > Hola gente, verán estoy recibiendo ataques constantemente de > internet. Sí, ya sé que no es una novedad, todos lo sufrimos. Tengo > un firewall linux con un NIDS que me proporciona la ip del > atacante, además permite hacer una consulta whois... Al final he > optado por realizar la búsqueda manualmente desde el shell: > > PASO 1: “whois 206.40.216.133” y se obtuvo como respuesta: [..] > PASO 2: whois -h whois.geektools.com NET-206-40-216-128-1 (ó > whois.arin.net) [..] > PASO 3: Viendo el tamaño de la red 206.40.216.128 - > 206.40.216.159, probablemente se trate de un empleado de esa > empresa y baste con enviar un correo al contacto suministrado... > Pero si me llega a contestar con que es un usuario de Telefónica > (por ejemplo), ¿no puedo saber a quién está asignada esa IP? ¿Sería > estrictamente necesario contactar con Telefónica e informarles de > lo que ocurre? >
Hola: Como tienen realmente pocas IPs seguramente es una empresa. Pero buscando encontré[0], y al parecer se dedican a la medicina. Pero me resulta raro porque haciendo un whois de la red donde está el dominio de ellos es otro segmento distinto, también asignado a ellos (figura la misma dirección legal). [0] http://www.wfi-inc.com/about.html No se exactamente que ataques puedan ser, pero hay muchos y muy variados. Y por sobre todo, al intentar contactar al que sea, deja en claro que tambíen puede ser un virus. Yo las veces que intenté hacer eso, siempre terminó en nada, y luego de un tiempo, me di cuenta que de lo más probable es que fuese un virus o algo parecido, por ejemplo lo del nimda, que duró varios años llenando logs (yo todaia tengo las reglas para evitar que se logueen los ataques de ese virus). -- Atentamente, yo <Matías> Y sin fumar desde (casi) el '1089515700' http://www.nnss.d7.be Let one walk alone, commit no sin, with few wishes, like an elephant in the forest
