Extraos mensajes del kernel. Me atacan?
Estimados amigos: Os escribo esta vez algo preocupado por mi seguridad, la de mi máquina. Desde esta tarde vengo observando la salida de estos mensajes en xconsole (y en /var/log/messages): Dec 22 22:33:29 alpechin kernel: IN=eth0 OUT=eth0 SRC=66.220.98.32 DST=217.217.11.51 LEN=78 TOS=0x00 PREC=0x00 TTL=105 ID=58489 PROTO=UDP SPT=1027 DPT=137 LEN=58 Dec 22 22:38:28 alpechin kernel: IN=eth0 OUT=eth0 SRC=202.107.228.149 DST=217.217.11.51 LEN=40 TOS=0x00 PREC=0x00 TTL=103 ID=19361 PROTO=TCP SPT=80 DPT=22599 WINDOW=0 RES=0x00 ACK RST URGP=0 Dec 22 22:39:07 alpechin kernel: IN=eth0 OUT=eth0 SRC=66.61.85.109 DST=217.217.11.51 LEN=48 TOS=0x00 PREC=0x00 TTL=103 ID=52664 DF PROTO=TCP SPT=3704 DPT=6346 WINDOW=64240 RES=0x00 SYN URGP=0 ... Hay muchos más ... Bueno, lo que me extraña es que son paquetes que entran por mi interfaz externo (el conectado a internet) y se van por el mismo interfaz ¿? Son originados de diversas direcciones IP pero siempre buscan la misma: 217.217.11.51, la cual no es la mía (al menos en estos instantes porque la obtengo al conectarme por DHCP) como podéis observar (aunque sí es de mi misma red): eth0 Link encap:Ethernet HWaddr 00:30:84:3C:4D:A3 inet addr:217.217.9.135 Bcast:217.217.15.255 Mask:255.255.248.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:128742 errors:0 dropped:0 overruns:0 frame:0 TX packets:4851 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:10654069 (10.1 MiB) TX bytes:782968 (764.6 KiB) Interrupt:5 Base address:0xf00 En fin, que no tengo ni idea de que es lo que está sucediendo, y mi ignorancia me hace estar alerta. ¿Alguien me puede contar de que se trata, por favor? ¿Estoy invadido, infectado, ...? MUCHAS GRACIAS. SALUD. -- - --- Armando Paz [EMAIL PROTECTED] --- --- Debian (Woody) GNU/Linux 2.4.20 --- --- Usuario Linux Registrado #189304--- -
Re: ayuda (me atacan)
El Lunes, 29 Abril 2002, Matias [EMAIL PROTECTED] escribió: Hola: Me parece que me estan atacando (y que ya tomaron control del qmail). Instalé el netsaint para que me avise en estos casos, y los mails que me mandaba eran algunos errores (que la mayoría eran mios o de la gente con la cual estoy estudiando). Pero hace 4 horas empecé a recibir mails de 8 megas (solo texto); en estos mails sólo figuran cosas del qmail. Aunque ya pare el qmail, me fijé en los mensajes que estan en cola, y son aproximadamente 5, pertenecientes (los que me fijé) a una lista de pornografía. Yo diría que, efectivamente, alguien ha tomado el control de tu equipo para enviar SPAM. [...] * ¿Qué me aconsejan hacer en casos así? Yo opté por dar de baja todos los servicios que no uso, y dejar los que necesito (ssh y el squid -que uso para que los usuarios internos tengan acceso a internet-) Hay tres tareas que debes hacer: - Limpiar la cola de qmail y demás. En eso no te puedo ayudar. - Eliminar todo rastro de usuarios 'ilegales' de tu equipo usando: - chkrootkit (Te detecta los rootkit más habituales) - Mirando por ti mismo el fichero /etc/passwd y el cron. - Lo ideal sería reinstalar el equipo completo, pero si no puedes permitirlo al menos reinstala todos los paquetes base. - Usa log-analysis para intentar averiguar por donde se te han colado. - Cruza los dedos. - Nota: mientras estes haciendo estas operaciones desconecta todos los servicios. - Protegerte para el futuro: - Montar un firewall con iptables o ipchains (el que te corresponda por tu kernel). Yo te puedo pasar mi script de iptables, pero sólo te serviría como base para montar el tuyo, ya que mis necesidades son distintas: mi ordenador es sólo desktop, no da servicio a nadie. - Por supuesto desactivar todos los servicios desactivables. - Montar los servicios que necesites en chroot, de esta manera el daño que puede hacer un intruso estará limitado y podrás borrar y restaurar la jaula chroot con rapidez. Mucha suerte, -- Luis Arocha Data Islas Canarias, España -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ayuda (me atacan)
Si, efectivamente es eso. Pero ahora me queda una interrogante, como puede ser que se haya reconfigurado el qmail y permitir eso (aunque puede ser que se me haya pasado a mí). PD OT: Perdon a todo aquel que fue invadido por mensajes de [EMAIL PROTECTED] o de [EMAIL PROTECTED] (les aseguro que no tienen nada que ver con migo). On Tue, 30 Apr 2002 08:42:39 +0200 [EMAIL PROTECTED] wrote: Seguramente estan utilizando tu servidor de correo como remailer. Deberías configurarlo para que solo aceptase el reenvio de correo desde lás máquinas que tu decidas (seguramente las que estan en tu red). Un saludo ! -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
ayuda (me atacan)
Hola: Me parece que me estan atacando (y que ya tomaron control del qmail). Instalé el netsaint para que me avise en estos casos, y los mails que me mandaba eran algunos errores (que la mayoría eran mios o de la gente con la cual estoy estudiando). Pero hace 4 horas empecé a recibir mails de 8 megas (solo texto); en estos mails sólo figuran cosas del qmail. Aunque ya pare el qmail, me fijé en los mensajes que estan en cola, y son aproximadamente 5, pertenecientes (los que me fijé) a una lista de pornografía. Necesitaría saber algunas cosas: * ¿Cómo hago para que qmail elimine todos los mensajes que estan en cola? (estube viendo pero no encontré como hacerlo) * ¿Qué me aconsejan hacer en casos así? Yo opté por dar de baja todos los servicios que no uso, y dejar los que necesito (ssh y el squid -que uso para que los usuarios internos tengan acceso a internet-) * Alguien conoce un manual completo de qmail (preferentemente en castellano). Estoy leyendo lo que hay en www.es.qmail.org, pero prefiero tener material de sobra para que no me vuelva a pasar nada raro como lo que me acontece ahora. Estoy perdido con cosas como estas. Atentamente, yo Matías -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ayuda (me atacan)
On Mon, Apr 29, 2002 at 07:09:24AM -0300, Matias wrote: Hola: Me parece que me estan atacando (y que ya tomaron control del qmail). Instalé el netsaint para que me avise en estos casos, y los mails que me mandaba eran algunos errores (que la mayoría eran mios o de la gente con la cual estoy estudiando). Pero hace 4 horas empecé a recibir mails de 8 megas (solo texto); en estos mails sólo figuran cosas del qmail. Aunque ya pare el qmail, me fijé en los mensajes que estan en cola, y son aproximadamente 5, pertenecientes (los que me fijé) a una lista de pornografía. Necesitaría saber algunas cosas: * ¿Cómo hago para que qmail elimine todos los mensajes que estan en cola? (estube viendo pero no encontré como hacerlo) * ¿Qué me aconsejan hacer en casos así? Yo opté por dar de baja todos los servicios que no uso, y dejar los que necesito (ssh y el squid -que uso para que los usuarios internos tengan acceso a internet-) * Alguien conoce un manual completo de qmail (preferentemente en castellano). Estoy leyendo lo que hay en www.es.qmail.org, pero prefiero tener material de sobra para que no me vuelva a pasar nada raro como lo que me acontece ahora. Lo mejor que he visto (tampoco he mirado mucho) en castellano es Mi vida con qmail, traducido por Ivan Juanes. El PDF está en http://redes-linux.dyndns.org/manuales/Servidor_correo/mvq.pdf, la web en http://www.es.qmail.org/documentacion/usuarios/lwq/html/mvq.html Estoy perdido con cosas como estas. No sé mucho de qmail, pero por si no lo has hecho: utiliza SMTP-after-POP para evitar que te utilicen como relay por la cara. Esto requiere usar el POP3 de qmail, con lo que los correos hay que guardarlos en Maildirs, no mailboxes; pero con esto duermes un poco más tranquilo. Saludos y suerte :-) -- --==-- --==-- Miguel Ángel Vilela --==-- --==-- a.k.a miguev at fmat.ull.es, GULiC, Barrapunto IRC-Hispano GULiC - Grupo de Usuarios Linux de Canarias - http://www.gulic.org Facultad de Matemáticas, Universidad La Laguna --- www.fmat.ull.es Public GPG key at http://search.keyserver.net (search for: miguev) Linux Reg. User #184518 - Debian GNU/Linux SID - kernel 2.4.18 Linux Reg. Machines: #81674, #81677, #105478, #118020, #118022 -- Linux Driver Petition #73209 --- No ePatents Petition #80354 -- Mason's First Law of Synergism: The one day you'd sell your soul for something, souls are a glut. pgp8FzOmvLHnj.pgp Description: PGP signature
Re: ¿Me atacan?
Hola: On Sat, Nov 20, 1999 at 07:52:52PM +0100, Juanmi Mora wrote: On Tue, Nov 16, 1999 at 08:40:04PM +0100, Juan Leseduarte wrote: Nov 15 22:24:47 beta tcplogd: port 3717 connection attempt from ... Nov 15 22:24:48 beta tcplogd: port 3591 connection attempt from ... Nov 15 22:24:56 beta tcplogd: port 3782 connection attempt from ... Nov 15 22:25:02 beta tcplogd: port 3843 connection attempt from ... A mí si que me han intentado entrar... y por desconocimiento casi lo consiguen, al menos eso creo :-? Por lo visto, estuvo haciendo rlogins, rcd, finger, etc. Al final, parece que hizo un telnet :-( Atención todos los que vais al ierrecé es una caja de bombas!!! Bueno, yo hace mucho que no me conecto al irc, esto me pasó al hacer ftp a ftp.it.debian.org, y puedo asegurar que es el mismo sitio desde donde me escaneaban: $ host ftp.it.debian.org ftp.it.debian.org CNAME ftp3.linux.it ftp3.linux.it CNAME giano.com.dist.unige.it giano.com.dist.unige.it A 130.251.19.134 Saludos. -- [EMAIL PROTECTED] --- This message was sent by Mutt under Linux ---
Re: ¿Me atacan?
Hola: On Tue, Nov 16, 1999 at 08:20:47AM +0100, Tejada Lacaci, Antonio wrote: -Mensaje original- De: Juan Leseduarte [SMTP:[EMAIL PROTECTED] Enviado el: lunes 15 de noviembre de 1999 22:58 Para: debian-user-spanish@lists.debian.org Asunto: ¿Me atacan? Hola: Me he conectado a ftp.it.debian.org para bajarme un paquete .deb y me veo esto El ftp es un protocolo en el que se abren dos puertos, uno lo abre el servidor ftp (canal de control) y el otro lo abre el cliente (canal de datos). Nov 15 22:24:47 beta tcplogd: port 3717 connection attempt from ... Nov 15 22:24:48 beta tcplogd: port 3591 connection attempt from ... Nov 15 22:24:56 beta tcplogd: port 3782 connection attempt from ... Nov 15 22:25:02 beta tcplogd: port 3843 connection attempt from ... [...] De todas maneras, viendo la periodicidad de los mensajes (cada dos o tres segundos), sí que es bastante raro ¿al final conseguiste bajarte algún fichero? ¿cuántos? ¿tienes una conexión muy rápida? :-? ¿cómo es que tienes puesto que controle los puertos 1024? (puertos de usuario). Si, me bajé el fichero que quería. Todo normal. Me conecto con un módem a 33.6 Kb/s. En esa conexión en particular la velocidad se quedó un poco corta, 26400 b/s, pero repito que el fichero bajó bien y a una velocidad razonable. Tengo instalado un paquete (iplogger) que al iniciarse el sistema saca este mensaje: Starting IP paranoia daemons Así que registra absolutamente todo. Pero casos como éste no me pasan todos los días. Saludos. -- [EMAIL PROTECTED] --- This message was sent by Mutt under Linux ---
RE: ¿Me atacan?
-Mensaje original- De: Juan Leseduarte [SMTP:[EMAIL PROTECTED] Enviado el: lunes 15 de noviembre de 1999 22:58 Para: debian-user-spanish@lists.debian.org Asunto: ¿Me atacan? Hola: Me he conectado a ftp.it.debian.org para bajarme un paquete .deb y me veo esto en /var/log/daemon.log (tengo siempre una ventana monitorizándolo, paranoico que es uno): Nov 15 22:24:43 beta tcplogd: port 3652 connection attempt from [EMAIL PROTECTED] [130.251.XX.XXX] El ftp es un protocolo en el que se abren dos puertos, uno lo abre el servidor ftp (canal de control) y el otro lo abre el cliente (canal de datos). Nov 15 22:24:47 beta tcplogd: port 3717 connection attempt from ... Nov 15 22:24:48 beta tcplogd: port 3591 connection attempt from ... Nov 15 22:24:56 beta tcplogd: port 3782 connection attempt from ... Nov 15 22:25:02 beta tcplogd: port 3843 connection attempt from ... [...] ¿Este escaneado de puertos es normal? ¿Forma parte de la política de seguridad del servidor ftp? Cuando tú te conectas al ftp, se establece el canal de control del ftp, y cuando pides bajar algo, se establece el canal de datos (a menos que lo hagas estilo browser, en modo passive), en el que tu ordenador se queda escuchando en un puerto en concreto esperando una petición del servidor ftp al que te has conectado para empezar a recibir datos. Ese log podría ser de eso. De todas maneras, viendo la periodicidad de los mensajes (cada dos o tres segundos), sí que es bastante raro ¿al final conseguiste bajarte algún fichero? ¿cuántos? ¿tienes una conexión muy rápida? :-? ¿cómo es que tienes puesto que controle los puertos 1024? (puertos de usuario). Saludos. -- [EMAIL PROTECTED] --- This message was sent by Mutt under Linux --- Antonio Tejada Lacaci [EMAIL PROTECTED] Depto. Análisis y Programación Banca March S.A.
¿Me atacan?
Hola: Me he conectado a ftp.it.debian.org para bajarme un paquete .deb y me veo esto en /var/log/daemon.log (tengo siempre una ventana monitorizándolo, paranoico que es uno): Nov 15 22:24:43 beta tcplogd: port 3652 connection attempt from [EMAIL PROTECTED] [130.251.XX.XXX] Nov 15 22:24:47 beta tcplogd: port 3717 connection attempt from ... Nov 15 22:24:48 beta tcplogd: port 3591 connection attempt from ... Nov 15 22:24:56 beta tcplogd: port 3782 connection attempt from ... Nov 15 22:25:02 beta tcplogd: port 3843 connection attempt from ... Nov 15 22:25:11 beta tcplogd: port 3843 connection attempt from ... Nov 15 22:25:12 beta tcplogd: port 3909 connection attempt from ... Nov 15 22:25:15 beta tcplogd: port 3909 connection attempt from ... Nov 15 22:25:24 beta tcplogd: port 4095 connection attempt from ... Nov 15 22:25:34 beta tcplogd: port 4098 connection attempt from ... Nov 15 22:25:34 beta tcplogd: port 4100 connection attempt from ... Nov 15 22:25:37 beta tcplogd: port 4100 connection attempt from ... Nov 15 22:26:22 beta tcplogd: port 4104 connection attempt from ... Nov 15 22:26:38 beta tcplogd: port 4106 connection attempt from ... Nov 15 22:26:44 beta tcplogd: port 4106 connection attempt from ... Nov 15 22:27:19 beta tcplogd: port 4114 connection attempt from ... Nov 15 22:27:21 beta tcplogd: port 4109 connection attempt from ... Nov 15 22:27:21 beta tcplogd: port 4116 connection attempt from ... Nov 15 22:27:37 beta tcplogd: port 4121 connection attempt from ... Nov 15 22:27:40 beta tcplogd: port 4123 connection attempt from ... Nov 15 22:30:13 beta tcplogd: port 4126 connection attempt from ... Nov 15 22:30:17 beta tcplogd: port 4128 connection attempt from ... Nov 15 22:30:26 beta tcplogd: port 4130 connection attempt from ... ¿Este escaneado de puertos es normal? ¿Forma parte de la política de seguridad del servidor ftp? Saludos. -- [EMAIL PROTECTED] --- This message was sent by Mutt under Linux ---