[IRC-DEV] ips al descubierto.

GSi ircapsus at yahoo.es
Thu Feb 14 14:14:09 CET 2002 

Bueno, más que fallo, es una función que no está puesta al día. En su
día hice esos menús para simular una caida del irc. En esos tiempos,
cuando las ip's no estaban encriptadas, , los mensajes de quit mostraban
las ip's. Por esa razón los mensajes de quit la incluían, para hacerlos
más "auténticos".

Otros scripts de uso masivo llevan la misma función, desfasada, como el
X-cript. Por mi parte, para la próxima actualización del IRcap, que
sacaré en un par de días, corregiré el problema actualizando los
mensajes sin mostrar las ip's.

También quiero avisar de otro problema similar, aunque más grave, ya que
pone a la vista de todo el mundo las ip's de usuarios infectados con
troyanos, lo cual puede ser aprovechado por usuarios maliciosos para
"hackear" esos pc's gracias a la información suministrada por el server.
Por ejemplo, ahora mismo en irc-Hispano acabo de ver esto:

[13:51] sol.irc-hispano.org adding GLINE for *@213-96-108-207.uc.nombres.ttd.
es, expiring at 1013777360: Proxy abierto o Sub7 server, desinfectese

Esta información puede ser aprovechada por usuarios maliciosos, ya que
les pone en bandeja una lista de ip's infectadas por el troyano Sub 7,
con solo estar unos minutos viendo los notices del server. Así tienen a
huevo meterse en los discos de los infectados, o usarlos como servidores
proxy, etc.

Creo que debería corregirse, mostrando la ip virtual, o no mostrando la
ip, ya que, como dije, es una forma de publicar ip's, en muchas
ocasiones fijas, con el consiguiente perjuicio para los usuarios
infectados.

Un saludo

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 
GSi
http://www.ircap.com
http://www.ircap.net
===================================

En Thu, 14 Feb 2002 13:16:46 +0100
"Victor Roman" <daijo-ge at terra.es> escribió:

> Buenas,
> 
> mirando el codigo de IRCAP (fichero menu_status.mrc) encontramos lo
> siguiente:
> 
> ping timeout: quit Ping timeout for $me $+ $chr(91) $+
> $remove($address($me,2),*!*@) $+ $chr(93)
> protocol not available: quit Read error to $me $+ $chr(91) $+
> $remove($address($me,2),*!*@) $+ $chr(93) $+ : Protocol not available
> connection reset by peer: quit Read error to $me $+ $chr(91) $+
> $remove($address($me,2),*!*@) $+ $chr(93) $+ : Connection reset by peer
> connection refused: quit Read error to $me $+ $chr(91) $+
> $remove($address($me,2),*!*@) $+ $chr(93) $+ : Connection refused
> write error: quit Write error to $me $+ $chr(91) $+
> $remove($address($me,2),*!*@) $+ $chr(93) $+ , closing link
> 
> la salida de quit que producen es (En orden):
> Ping timeout for DaijoTEST[BSwPMh.AcxUD8.virtual]
> Read error to DaijoTEST[BSwPMh.AcxUD8.virtual]: Protocol not available
> Read error to DaijoTEST[BSwPMh.AcxUD8.virtual]: Connection reset by peer
> Read error to DaijoTEST[BSwPMh.AcxUD8.virtual]: Connection refused
> Write error to DaijoTEST[BSwPMh.AcxUD8.virtual], closing link
> 
> hasta ahi, lo comprobe insertando las lineas de codigo de IRCAP con
> 'echo -s' para mirar, sin embargo, al probar los quit's falsos en canales
> los resultados son estos muy distintos:
> 
> *** DaijoTEST ha dejado IRC (Ping timeout for
> DaijoTEST[213-98-95-213.uc.nombres.ttd.es])
> *** DaijoTEST ha dejado IRC (Read error to
> DaijoTEST[213-98-95-213.uc.nombres.ttd.es]: Protocol not available)
> *** DaijoTEST ha dejado IRC (Read error to
> DaijoTEST[213-98-95-213.uc.nombres.ttd.es]: Connection reset by peer)
> *** DaijoTEST ha dejado IRC (Read error to
> DaijoTEST[213-98-95-213.uc.nombres.ttd.es]: Connection refused)
> *** DaijoTEST ha dejado IRC (Write error to
> DaijoTEST[213-98-95-213.uc.nombres.ttd.es], closing link)
> 
> Por lo tanto, parece estar bastante claro que es un fallo de IRCap, lo que
> yo ahora me pregunto es: ¿por que al probarlo con 'echo -s' muestra la IP
> Virtual y sin embargo en el quit la real?.
> 
> 
> Un saludo, Victor Roman (aka Daijo)
> eDiv core group - daijo at softhome.net
> http://www.edivcentral.com
> 
> ----- Original Message -----
> From: "Jesus Cea Avion" <jcea at argo.es>
> To: <irc-dev at argo.es>
> Sent: Thursday, February 14, 2002 12:38 PM
> Subject: Re: [IRC-DEV] ips al descubierto.
> 
> 
> > Eso es un invento del ircap, que quiere simular una caida real y, lo
> > único que hace, es cagarla y enseñar la IP real :)
> 
> En primer lugar comentar que voy a acabar cargándome a la gente que
> manda mensajes HTML a la lista sin necesidad.
> 
> Sobre el tema que comentas, ¿puedes proporcionar información detallada
> sobre el asunto?. Tengo bastantes informes de IPs al descubierto, y
> quiero poder verificar el asunto sin lugar a dudas.
> 
> --
> Jesus Cea Avion                         _/_/      _/_/_/        _/_/_/
> jcea at argo.es http://www.argo.es/~jcea/ _/_/    _/_/  _/_/    _/_/  _/_/
>                                       _/_/    _/_/          _/_/_/_/_/
> PGP Key Available at KeyServ   _/_/  _/_/    _/_/          _/_/  _/_/
> "Things are not so easy"      _/_/  _/_/    _/_/  _/_/    _/_/  _/_/
> "My name is Dump, Core Dump"   _/_/_/        _/_/_/      _/_/  _/_/
> "El amor es poner tu felicidad en la felicidad de otro" - Leibniz
> _______________________________________________
> IRC-Dev mailing list
> IRC-Dev at argo.es
> http://mailman.argo.es/listinfo/irc-dev
> 
> _______________________________________________
> IRC-Dev mailing list
> IRC-Dev at argo.es
> http://mailman.argo.es/listinfo/irc-dev

Un saludo

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 
GSi
http://www.ircap.com
http://www.ircap.net
===================================

More information about the IRC-Dev mailing list