Re: whois y ataques desde internet
El Sun 05 Feb 2006 09:20, Carlos M.S. escribió:
> Hola gente, verán estoy recibiendo ataques constantemente de
> internet. Sí, ya sé que no es una novedad, todos lo sufrimos. Tengo
> un firewall linux con un NIDS que me proporciona la ip del
> atacante, además permite hacer una consulta whois... Al final he
> optado por realizar la búsqueda manualmente desde el shell:
>
> PASO 1: “whois 206.40.216.133” y se obtuvo como respuesta:
[..]
> PASO 2: whois -h whois.geektools.com NET-206-40-216-128-1 (ó
> whois.arin.net)
[..]
> PASO 3: Viendo el tamaño de la red 206.40.216.128 -
> 206.40.216.159, probablemente se trate de un empleado de esa
> empresa y baste con enviar un correo al contacto suministrado...
> Pero si me llega a contestar con que es un usuario de Telefónica
> (por ejemplo), ¿no puedo saber a quién está asignada esa IP? ¿Sería
> estrictamente necesario contactar con Telefónica e informarles de
> lo que ocurre?
>
Hola:
Como tienen realmente pocas IPs seguramente es una empresa. Pero
buscando encontré[0], y al parecer se dedican a la medicina. Pero me
resulta raro porque haciendo un whois de la red donde está el dominio
de ellos es otro segmento distinto, también asignado a ellos (figura
la misma dirección legal).
[0] http://www.wfi-inc.com/about.html
No se exactamente que ataques puedan ser, pero hay muchos y muy
variados. Y por sobre todo, al intentar contactar al que sea, deja en
claro que tambíen puede ser un virus.
Yo las veces que intenté hacer eso, siempre terminó en nada, y luego
de un tiempo, me di cuenta que de lo más probable es que fuese un
virus o algo parecido, por ejemplo lo del nimda, que duró varios años
llenando logs (yo todaia tengo las reglas para evitar que se logueen
los ataques de ese virus).
--
Atentamente, yo <Matías>
Y sin fumar desde (casi) el '1089515700'
http://www.nnss.d7.be
Let one walk alone, commit no sin,
with few wishes, like an elephant in the forest
Reply to: