whois y ataques
l lun, 06-02-2006 a las 14:48 -0300, Ricardo Frydman Eureka! escribió:
-----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Carlos M.S. wrote:
> > Hola lista...
> >
> >
> >
> >>Carlos M.S. wrote:
> >>
> >>>Hola gente, verán estoy recibiendo ataques constantemente de
internet.
> >>
> >>Podrias definirnos tu concepto de ataque?
> >
> >
> > Síp, ... Mira, éstos son algunos:
>
> Bueno, sigues sin definirmelo ;)
>
Je, éste es de los míos... ¿Ataque?
- Intento de intrusión en mi servidor y acceder a recursos para los
cuales no está autorizado.
- Echar la máquina abajo.
- Cambiar el contenido del web
...
> mmmm personal....
> Veamos:
>
> a) de donde sacas este "reporte"?
>
> >
> > Date: 12/23 19:23:45
> > Name: WEB-PHP remote include path
> > Priority: 1
> > Type: Web Application Attack
> > IP Info: 206.40.216.133:59350 -> xx.xx.xx.xx:80
> > SID: 2002
>
De un NIDS, puede tener falsos positivos en su detección pero no todo
son falsos positivos... ;o)
> Tienes realmente plataforma web c/PHP corriendo? Que tan al dia? Que
tan
> bien esta diseñado eso en relacion a seguridad?
>
Sí, hombre, no la he diseñado yo pero parece que está mínimamente bien
diseñada aunque no respondo de ella...
> >
> > Date: 12/23 00:04:11
> > Name: MS-SQL version overflow attempt
> > Priority: 3
> > Type: Misc activity
> > IP Info: 206.40.216.133:1057 -> xx.xx.xx.xx:1434
> > SID: 2050
>
> Supongo eso no te importa, lo que te da la medida del cerebro de tu
> "atacante"...
>
Ya. Me reí cuando lo vi... Suena a ataque indiscriminado barriendo un
rango de IPs...
> >
> > ...
> >
> >
> >
> >>nunca le encontre ni utilidad ni sentido a whois. La informacion que
> >>brinda es totalmente distorsionada.
>
Jo, ¿tan claro lo tienes? La verdad es que da risa cuando sabes que tu
amigo "Pepe" que vive al lado de tu casa se conecta... Haces un whois y
te sale que se conecta desde no sé que sitio... ;o) Ahí te doy la
razón... ¿Por qué ocurre eso?
>
> >
> > No siempre, hombre.
>
> Siempre.
>
Lo dicho... ¿Siempre? A veces funciona...
> >Todo depende de la asociación entre IP y FQDN... Si
> > es una IP que da Telefónica o cualquier otro a un usuario concreto,
pues
> > no... Pero en este caso, sí.
> >
> >
> >>Pregunta: tu que quieres hacer?
> >>
> >>a) Saber el nombre, talle y peso de tu atacante?
> >
> >
> > No estaría mal... ;o)
>
> De que te serviria?Eso hace tu servidor mas seguro?
>
No, pero soy infinitamente curioso, no lo puedo evitar...
>
> >
> >>b) Saber si tu equipo es seguro?
> >
> >
> > Eso es difícil. "Yo sólo sé que no sé nada" ¡Qué cierta!
> > En serio, me encanta la seguridad, probablemente sea el tema que más
me
> > atrae...
>
> Es apasionante.
>
Ni que lo digas. Echo de menos tener gente con la que aprender... Uno se
lía mucho con el trabajo y queda poco tiempo para lo que realmente te
gusta...
> >
> >
> >>c) Evitar que te hagan daño?
> >>
> >>Con lo que estas haciendo a duras penas llegaras a a) algun dia....
>
Que sí... Es para saber quién es... No sólo es reforzar el servidor,
también es conocer a tu enemigo. ;o)
>
> >
> > Pues hombre, aquí estamos para aprender... Ilumíname... ;o)
>
> Porque crees que soy la persona indicada! No soy un experto en
> seguridad, pero solo he tenido un incidente y fue mi error. Aprendi
> mucho de el.
>
Todos tenemos algo que enseñar y algo que aprender...
Pero sobre todo aprendi que la paranoia es mala consejera.
>
Me viene en la sangre. Soy así...
En general intento buscar las brechas /reales/ de seguridad.
> Mas que concentrarme en quien me ataca, como, desde donde, me
concentro
> en aprender como asegurar mi servidor.
>
>
>
Total, es lo importante...
> > Datos, datos, datos,...
>
> Eso! Datos, datos!
>
Jo, qué pena que no seas de aquí (Islas Canarias)...
Carlos
Reply to: