[HACK] Rastreo de ataques
Guillermo Mallén
mallen at chispa.com.mx
Sat Mar 10 01:24:48 CET 2001
Ultimamente he estado rastreando los ataques que con frecuencia hacen
sobre mi servidor.
Para ello se pueden usar los TCPwrappers fácilmente, lanzando de regreso
preguntas para sacar información del atacante. Podeis encontrar
información al respecto en: http://secinf.net/info/unix/lance/ids.html
Ese autor lanza de regreso un simple finger, que con frecuencia está
bloqueado y que no da demasiada información. El comando host con la IP
del atacante tampoco es muy efectivo ya que muchas veces responde que no
encuentra al host.
En adición he estado usando los puertos 25 y 80 que dan más datos. Así
por ejemplo, averigüé:
IP: 209.11.63.51
Nodo: eng.ksi.com
Programa de correo: sendmail 8.11.0
Hora: EST (costa este de EU)
IP: 203.226.252.210
Nodo: supercom.itouch017.com
Programa de correo: UPMgwd 4.1.1
Curiosamente, la IP principal de esta última máquina es 203.226.252.130,
lo que me hace pensar que se puede tratar de un host virtual.
Ejemplos tengo cientos y no les quiero aburrir.
Con mucha frecuencia no están abiertos los puertos 25 y 80, pero si está
abierto el 139. Seguramente en muchos casos son máquinas Windoze.
En algún lado leí que es fácil sacar información del puerto 139, como el
nombre de la máquina en la LAN y su dueño, pero no encuentro la
información. ¿podría alguien de la lista pasarme la receta para sacar
más datos?
Gracias de antemano
Guillermo
More information about the hacking
mailing list