Re: whois y ataques desde internet

To: debian-user-spanish@lists.debian.org
Subject: Re: whois y ataques desde internet
From: Iñigo Tejedor Arrondo <txiuaua@telefonica.net>
Date: Sun, 05 Feb 2006 15:31:20 +0100
Message-id: <[🔎] 1139149880.2970.3.camel@zeus>
In-reply-to: <[🔎] 1139142048.24623.4.camel@moebius>
References: <[🔎] 1139142048.24623.4.camel@moebius>

El dom, 05-02-2006 a las 12:20 +0000, Carlos M.S. escribió:
> Hola gente, verán estoy recibiendo ataques constantemente de internet.
> Sí, ya sé que no es una novedad, todos lo sufrimos. Tengo un firewall
> linux con un NIDS que me proporciona la ip del atacante, además permite
> hacer una consulta whois... Al final he optado por realizar la búsqueda
> manualmente desde el shell: 
> 
> PASO 1:  “whois  206.40.216.133” y se obtuvo como respuesta:  
> Epoch Networks HLC-2-EPOCH (NET-206-40-192-0-1)
>                                   206.40.192.0 - 206.40.223.255
> W F I Incorporated EPOCH-7837 (NET-206-40-216-128-1)
>                                   206.40.216.128 - 206.40.216.159
> 
> PASO 2: whois -h whois.geektools.com NET-206-40-216-128-1   (ó
> whois.arin.net)
> 
> OrgName:    W F I Incorporated
> OrgID:      WFI-2
> Address:    1340 East Route 66 Suite 209
> City:       Glendora
> StateProv:  CA
> PostalCode: 91741
> Country:    US
> 
> NetRange:   206.40.216.128 - 206.40.216.159
> CIDR:       206.40.216.128/27
> NetName:    EPOCH-7837
> NetHandle:  NET-206-40-216-128-1
> Parent:     NET-206-40-192-0-1
> NetType:    Reassigned
> Comment:
> RegDate:    2002-01-17
> Updated:    2002-01-17
> 
> RTechHandle: DH1677-ARIN
> RTechName:   Halvey, Derrick
> RTechPhone:  +1-626-857-5599
> RTechEmail:  shalvey@wfi-inc.com
> 
> OrgTechHandle: DH1677-ARIN
> OrgTechName:   Halvey, Derrick
> OrgTechPhone:  +1-626-857-5599
> OrgTechEmail:  shalvey@wfi-inc.com
> 
> 
> PASO 3:  Viendo el tamaño de la red 206.40.216.128 - 206.40.216.159,
> probablemente se trate de un empleado de esa empresa y baste con enviar
> un correo al contacto suministrado... Pero si me llega a contestar con
> que es un usuario de Telefónica (por ejemplo), ¿no puedo saber a quién
> está asignada esa IP? ¿Sería estrictamente necesario contactar con
> Telefónica e informarles de lo que ocurre?
> 
> Carlos
> 

Hazle un scaneo de puertos, y seguramente encuentres decenas de puertos
de troyanos abiertos. A mi me pasó hace poco con varios ordenadores con
la ip de japón, les hice nmap y tenían un mínimo de tres troyanos por
ip.

Al día siguiente cesaron los ataques, pero cuando son equipos de
particulares infectados, que tienen ip dinámica, suele ser un poco
difícil erradicar el problema. De todas maneras puedes mandar un email
con los logs y eplicando el problema, a esa dirección de email que sale
en el whois. 

Suerte
> 
>

Reply to:

References:
- whois y ataques desde internet
  - From: "Carlos M.S." <cmorales@auna.com>

Prev by Date: whois y ataques desde internet
Next by Date: Re: whois y ataques desde internet
Previous by thread: whois y ataques desde internet
Next by thread: Re: whois y ataques desde internet
Index(es):
- Date
- Thread