Re[2]: [HACK]¿Veis sentido en este log de mirouter?

focahclero focahclero at iespana.es
Tue Dec 9 22:17:22 CET 2003 

Pues todavía no tengo nada claro, sólo unos datos más:

-  antes  de  postear busqué en Google 127.0.0.1:80 y aparecen un montón de
referencias, pero por desgracia poco clarificadoras

- la primera vez que me aparece el log es el 03 de diciembre a las 19:12:13
(antes ni rastro, aunque puede que el router estuviese apagado desde el día
anterior, había tormenta ;-) , y desde entonces no me ha dejado)

- he forzado varias veces cambios de IP, y a los pocos instantes han vuelto
a aparecer estos paquetes

-  los  puertos  de destino están entre el 1000 y el 2000 y variados (no se
suelen repetir excepto con pocos segundos de diferencia): 1416, 1424, 1160,
1531, 1015, 1878, 1800, 1013, 1543, 1635, 1214, etc, etc.

-  no  he visto que haya una periodicidad: a veces aparecen con mintutos de
diferencia, otras veces en el mismo minuto, ...

Por  desgracia  el  router  no me deja ver los paquetes que descarga, o sea
que:

Tuesday, December 9, 2003, 3:33:44 PM, Juan wrote:
JGGM> Sería muy original salvo que si los routers están medianamente bien
JGGM> configurados no deben de enrutar paquetes de una IP inválida. Con iptraf he 
JGGM> estado viendo las conexiones y el paquete parece no estar bien construido.

Efectivamente  sería  interesante  saber  en  qué  consiste  exactamente el
paquete.

Tuesday, December 9, 2003, 5:07:05 PM, Hugo wrote:
HH> Los paquetes de la 127.0.0.1 llegan a los que no tenemos cable también ...

Yo pensaba que más bier era algo achacable al ISP o al propio router que de
un  ataque (¿cómo si no después de cada cambio de IP enseguida comenzaban a
aparecer los logs? ¿hay alguien escaneando a lo bestia?), pero entonces ¿de
qué se trata?

Me pregunto de nuevo ¿Qué sentido puede tener algo así? Para ser un DoS los
paquetes  llegan muy espaciados. Hay un montón de servicios en ese rango de
puertos, ¿se os ocurre alguna aplicación específica digna de ser atacada en
ellos?...

(La  verdad que es un c*ñazo: se multiplican los logs que tengo que revisar
al día)

-- 
Best regards,
focahclero


---Publicidad--------------------------------------------------------
Únete a los miles de sin pareja en Meetic... ¡te vas a enamorar!
http://www.iespana.es/_reloc/email.meetic

More information about the hacking mailing list