[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: ip sospechosa

On Fri, 2008-08-01 at 11:45 +0200, Luis Miguel R. wrote:
> Buenos días, en el firewall de un cliente he colocado una regla en el
> iptables para que registre que máquinas de la LAN intentan acceder a
> servidores SMTP externos, para localizar malas configuraciones antes de
> cerrar definitivamente ese acceso y obligar a usar el SMTP local, el
> caso es que me encuentro con una máquina que ha intentando acceder a
> esta IP: 213.198.93.7:25, me conecto por telnet a ella por el puerto
> smtp y veo que responde pero con un protocolo distinto, lo mismo con el
> ftp, responde pero no es un servidor ftp lo que está en el 21.
> 
> Alguno sabe que servidores tiene instalado esta máquina?, me suena a
> tema chungillo.
> 
> ($:~)- nmap  213.198.93.7
> Interesting ports on euf0300072-wwwvip2.eu.verio.net (213.198.93.7):
> PORT    STATE SERVICE
> 21/tcp  open  ftp
> 25/tcp  open  smtp
> 80/tcp  open  http
> 443/tcp open  https
> --
> 
> ($:~)- telnet euf0300072-wwwvip2.eu.verio.net ftp
> <cortado>

Para comenzar, es una dirección pública y hacerle un escaneo de puertos puede ser interpretado por su administrador como una agresión.

En segundo lugar, si entras con un navegador te contesta una página que aparentemente es de una compañía real. Lo que corran en sus puertos es cosa de ellos.

Y finalmente, le veo más futuro a que se investigue la máquina y usuario local que la máquina pública, puesto que lo más que puedes hacer respecto a esa dirección es bloquearla en tu firewall.

Saludos.
Reply to: