[OFF TOPIC] Posible troyano ¿fallo de ipfwam? ¿donde lo reporto?

To: Lista Debian Castellano <debian-user-spanish@lists.debian.org>
Subject: [OFF TOPIC] Posible troyano ¿fallo de ipfwam? ¿donde lo reporto?
From: Manel Marin <manel3@apdo.com>
Date: Thu, 28 Dec 2000 23:36:21 +0100
Message-id: <[🔎] 20001228233621.A1546@sirius.local>
Mail-followup-to: Lista Debian Castellano <debian-user-spanish@lists.debian.org>

Hola a todos,

ESTO NO ES UNA INOCENTADA


Intentando montar cortafuegos en los clientes Linux me he encontrado esto :-(

Dec 28 12:12:21 host kernel: Packet log: input DENY eth0 PROTO=1 192.168.0.43:10 224.0.0.2:0 L=28 S=0x00 I=0 F=0x0000 T=128 (#6)
Dec 28 12:12:24 host kernel: Packet log: input DENY eth0 PROTO=1 192.168.0.43:10 224.0.0.2:0 L=28 S=0x00 I=3840 F=0x0000 T=128 (#6)
Dec 28 12:12:27 host kernel: Packet log: input DENY eth0 PROTO=1 192.168.0.43:10 224.0.0.2:0 L=28 S=0x00 I=5632 F=0x0000 T=128 (#6)
Dec 28 12:38:44 host -- MARK --
Dec 28 12:58:44 host -- MARK --
Dec 28 13:04:16 host kernel: Packet log: input DENY eth0 PROTO=1 192.168.0.43:10 224.0.0.2:0 L=28 S=0x00 I=0 F=0x0000 T=128 (#6)
Dec 28 13:04:19 host kernel: Packet log: input DENY eth0 PROTO=1 192.168.0.43:10 224.0.0.2:0 L=28 S=0x00 I=3840 F=0x0000 T=128 (#6)
Dec 28 13:04:22 host kernel: Packet log: input DENY eth0 PROTO=1 192.168.0.43:10 224.0.0.2:0 L=28 S=0x00 I=5632 F=0x0000 T=128 (#6)
Dec 28 13:13:52 host kernel: Packet log: input DENY eth0 PROTO=2 192.168.0.101:65535 224.0.0.2:65535 L=32 S=0x00 I=0 F=0x0000 T=1 O=0x00000494 (#6)
Dec 28 13:13:53 host kernel: Packet log: input DENY eth0 PROTO=1 192.168.0.101:10 224.0.0.2:0 L=28 S=0x00 I=256 F=0x0000 T=128 (#6)
Dec 28 13:13:56 host kernel: Packet log: input DENY eth0 PROTO=1 192.168.0.101:10 224.0.0.2:0 L=28 S=0x00 I=4352 F=0x0000 T=128 (#6)
Dec 28 13:13:59 host kernel: Packet log: input DENY eth0 PROTO=1 192.168.0.101:10 224.0.0.2:0 L=28 S=0x00 I=5632 F=0x0000 T=128 (#6)
Dec 28 13:13:59 host kernel: Packet log: input DENY eth0 PROTO=2 192.168.0.101:65535 224.0.0.2:65535 L=32 S=0x00 I=5888 F=0x0000 T=1 O=0x00000494 (#6)
Dec 28 13:38:44 host -- MARK --
Dec 28 13:58:44 host -- MARK --

Parece que tengo dos troyanos... Estos paquetes aparecen cada vez que enciendo
dos maquinas Win

!!!No tiene desperdicio... paquetes ICMP de tipo 10 (no existe) hacia la
Universidad de California!!!

!!!Y paquetes de protocolo IGMP (¿que es eso?) usando el puerto 65535!!!

Tiene mas guasa, le haces un nmap y no aparece nada raro, y los paquete los
veo en un cliente Linux, luego el troyano parece escanear la red buscando un
sistema para hacer forwarding...


Y lo preocupante es que no aparecen en el cortafuegos que tengo montado con
Slink y un kernel 2.0 y estoy seguro de que tengo prohibidos todos los ICMP
y todos los protocolos que no uso :-(((
¿Lo atraviesan sin más? ¡¡¡Ay que me cago!!!


¿Donde reporto el troyano? ¿Donde me entero de si ya es conocido y no hay que
 reportar nada?
¿Y donde reporto lo del ipfwadm?


Saludos,
-- 
-------------------------------------------------
Manel Marin   e-mail: manel3@apdo.com
Linux Powered (Debian 2.2 potato)  kernel 2.2.17

GnuPG keyID: F9BC34B5 en certserver.pgp.com
fingerprint: 2F60 43D5 A297 5458 9067  5A50 0029 9C8D F9BC 34B5

Mira mis chuletas de Linux en  http://perso.wanadoo.es/manel3
-------------------------------------------------
Mi petición de drivers para Linux es la nº 33126
 (Pasate por http://www.libranet.com/petition.html ;-)

Reply to:

Follow-Ups:
- Re: [OFF TOPIC] Posible troyano ¿fallo de ipfwam? ¿donde lo reporto?
  - From: Javier Fdz-Sanguino Pen~a <jfs@ieeesb.etsit.upm.es>

Prev by Date: Re: Shell script
Next by Date: Presentación de mi firewall-easy_0.30.deb
Previous by thread: Re: Postgresql no me indexa nada
Next by thread: Re: [OFF TOPIC] Posible troyano ¿fallo de ipfwam? ¿donde lo reporto?
Index(es):
- Date
- Thread