-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Yo pienso que es algo parecido. La duda que tengo es si activando el firewall (o servidor de seguridad que llaman ellos) que lleva incorporado el xp, se evita esto, aunque est�s conectado a trav�s de un m�dem en vez de un router. El viernes estuve instalando un xp con una conexi�n adsl de timof�nica por m�dem USB y el antivirus detect� el sasser y el Wrandex intentando entrar en la m�quina. Cuando activ� el firewall parece que los ataques cesaron. Mirando el registro del windoze seg�n especifican en http://www.symantec.es no parec�a que el pc hubiera sido infectado. De hecho, con el antivirus actualizado hice varios escaneos de la totalidad de los discos y no encontr� nada. No s� si esto aclara algo el tema o lo l�a m�s :P Gotzon Astondoa kirjoitti: > Hola a todos: > > No es que yo entienda mucho del tema pero cuando estuve leyendo me > pareci� entender que la infecci�n s�lo puede darse en caso de que la > m�quina tenga una IP p�bica, nunca a trav�s de un router. > > Es decir, la m�quina que ya est� infectada y quiere infectar a otra, > intenta establecer un comunicaci�n contra una IP de una m�quina (que ha de > tener W2000 o XP instalado y con el correspondiente bug para aceptar la > llamada). Intenta establecer la comunicaci�n. Lo cual no es lo normal, > puesto que cuando nosotros accedemos a internet somos nosotros los que > establecemos la comunicaci�n y no al rev�s. > Por tanto, la infecci�n puede ocurrir si: > - se usa un m�dem y nuesto ISP nos de una IP fija al > conectarnos Por ejemplo Telef�nica lo hace as�, pero creo que Euskaltel no > lo hace as� porque usa otro m�todo (tiene un pull de direcciones IP o algo > as�). > - Se tiene un PC en internet con IP fija y W200 XP y este PC > puede contactar de alg�n modo con la red interna. > > Y ahora, espero que alguien que sepa de verdad del tema me saque los > colores por las barbaridades que he podido decir. > > ----- Original Message ----- > From: "Angel Vicente Perez" <[EMAIL PROTECTED]> > To: <[email protected]> > Sent: Tuesday, May 11, 2004 9:55 AM > Subject: RE: Sasser e iptables > > > > Por lo que tengo entendido, no deber�as forwardear nada (ni > > > desde afuera hacia adentro, ni desde adentro hacia afuera) > > > con el puerto 445 y el puerto 5554. Luego, quitar el virus. :( > > > > > > Saludos > > > Marcelo > > > > Bien, por la falta de sintomas (reseteos), diria que no hay ninguna > > maquina > > > infectada. > > > > Tengo una duda: todas estas maquinas son filtradas a traves de la maquina > > con iptables, y despues salen a traves de un router, que es el que > > realmente > > > tiene la IP publica. > > > > La intrusion efectuada por el Sasser, se efectuaria a la interface con IP > > publica de mi router, o lo traspasaria. > > > > Por otro lado, tengo en mi firewall : > > > > iptables -P FORWARD DROP como politica por defecto > > > > luego tengo todas las lineas correspondientes a los PC que pueden hacer > > FORWARD al exterior, y despues tengo > > > > iptables -i eth1 -d 192.168.0/24 -m state --state ESTABLISHED, RELATED -j > > ACCEPT > > > > siendo eth1 la tarjeta que une la maquina con iptables y el router. > > Entiendo > > > que lo que hace esta regla, es comprobar que los paquetes dirigidos a mis > > PCs, y con origen exterior, son consecuencia de conexiones originadas en > > mis > > > PCs. Si es asi, no se si seria una proteccion suficiente. > > > > Saludos - -- Einar Matveinen Vito� �r enn e�a hvat var der mere I ville vide Vito� �r enn e�a hvat vil I mere f�r jeg forsvinder under solen Rekister�itynyt Linux k�ytt�j� nro 221083 Katso http://barrapunto.com/index.pl?section=mbp-einarmatveinen -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQFAoJ9bWskLvsnDTo0RAnnwAJ9i3FMGEdcU6ZqxsTEb4HA1bm/60QCeN9lt XRtjfjvoPFt+Q32ffLMW9Ag= =3UlK -----END PGP SIGNATURE-----
