Re: Sasser e iptables
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Yo pienso que es algo parecido. La duda que tengo es si activando el firewall
(o servidor de seguridad que llaman ellos) que lleva incorporado el xp, se
evita esto, aunque estés conectado a través de un módem en vez de un router.
El viernes estuve instalando un xp con una conexión adsl de timofónica por
módem USB y el antivirus detectó el sasser y el Wrandex intentando entrar en
la máquina. Cuando activé el firewall parece que los ataques cesaron. Mirando
el registro del windoze según especifican en http://www.symantec.es no
parecía que el pc hubiera sido infectado. De hecho, con el antivirus
actualizado hice varios escaneos de la totalidad de los discos y no encontró
nada.
No sé si esto aclara algo el tema o lo lía más :P
Gotzon Astondoa kirjoitti:
> Hola a todos:
>
> No es que yo entienda mucho del tema pero cuando estuve leyendo me
> pareció entender que la infección sólo puede darse en caso de que la
> máquina tenga una IP púbica, nunca a través de un router.
>
> Es decir, la máquina que ya está infectada y quiere infectar a otra,
> intenta establecer un comunicación contra una IP de una máquina (que ha de
> tener W2000 o XP instalado y con el correspondiente bug para aceptar la
> llamada). Intenta establecer la comunicación. Lo cual no es lo normal,
> puesto que cuando nosotros accedemos a internet somos nosotros los que
> establecemos la comunicación y no al revés.
> Por tanto, la infección puede ocurrir si:
> - se usa un módem y nuesto ISP nos de una IP fija al
> conectarnos Por ejemplo Telefónica lo hace así, pero creo que Euskaltel no
> lo hace así porque usa otro método (tiene un pull de direcciones IP o algo
> así).
> - Se tiene un PC en internet con IP fija y W200 XP y este PC
> puede contactar de algún modo con la red interna.
>
> Y ahora, espero que alguien que sepa de verdad del tema me saque los
> colores por las barbaridades que he podido decir.
>
> ----- Original Message -----
> From: "Angel Vicente Perez" <angel.vicente@knipping.es>
> To: <debian-user-spanish@lists.debian.org>
> Sent: Tuesday, May 11, 2004 9:55 AM
> Subject: RE: Sasser e iptables
>
> > > Por lo que tengo entendido, no deberías forwardear nada (ni
> > > desde afuera hacia adentro, ni desde adentro hacia afuera)
> > > con el puerto 445 y el puerto 5554. Luego, quitar el virus. :(
> > >
> > > Saludos
> > > Marcelo
> >
> > Bien, por la falta de sintomas (reseteos), diria que no hay ninguna
>
> maquina
>
> > infectada.
> >
> > Tengo una duda: todas estas maquinas son filtradas a traves de la maquina
> > con iptables, y despues salen a traves de un router, que es el que
>
> realmente
>
> > tiene la IP publica.
> >
> > La intrusion efectuada por el Sasser, se efectuaria a la interface con IP
> > publica de mi router, o lo traspasaria.
> >
> > Por otro lado, tengo en mi firewall :
> >
> > iptables -P FORWARD DROP como politica por defecto
> >
> > luego tengo todas las lineas correspondientes a los PC que pueden hacer
> > FORWARD al exterior, y despues tengo
> >
> > iptables -i eth1 -d 192.168.0/24 -m state --state ESTABLISHED, RELATED -j
> > ACCEPT
> >
> > siendo eth1 la tarjeta que une la maquina con iptables y el router.
>
> Entiendo
>
> > que lo que hace esta regla, es comprobar que los paquetes dirigidos a mis
> > PCs, y con origen exterior, son consecuencia de conexiones originadas en
>
> mis
>
> > PCs. Si es asi, no se si seria una proteccion suficiente.
> >
> > Saludos
- --
Einar Matveinen
Vitoð ér enn eða hvat
var der mere I ville vide
Vitoð ér enn eða hvat
vil I mere før jeg forsvinder
under solen
Rekisteröitynyt Linux käyttäjä nro 221083
Katso http://barrapunto.com/index.pl?section=mbp-einarmatveinen
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org
iD8DBQFAoJ9bWskLvsnDTo0RAnnwAJ9i3FMGEdcU6ZqxsTEb4HA1bm/60QCeN9lt
XRtjfjvoPFt+Q32ffLMW9Ag=
=3UlK
-----END PGP SIGNATURE-----
Reply to: