Desde hace unos dias me salta mi firewall (Norton) con que una direccion ip, que es la mia intenta entrar en el sistema.
Ademas quiere enviar informacion a un ip del tipo 0.0.0.12 esa ip varia cada vez.
He pasado el antitrojano ultima version y no me detecta nada.
Mi norton antivirus actualizado ultimo, no detecta nada.
No se porque puede ser,pero me tiene muy mosca.
Alguien podria darme alguna idea de que puede ser y si se trata de un intruso como cazarlo.
Gracias de antemano
Buenas tardes:
Este fin de semana sin ir mas lejos estuve fuera y fui a casa de mis tios.Pues bien mi primo tiene una inmobiliaria y ese maravilloso antivirus norton security 2002 y comentandole cosas seguridad decidimos ir a echarle un vistazo.
Los ordenadores iban de pena y simplemente netstat -an vi que tenian puertos abiertos a cual mas dispar.Pues bien busqué sobre que "servicios" corrian en esos puertos y no corria ninguno...
Pues bien un simple regedit, todo borrado tenia en total 2 gusanos(especiales para saturar la LAN) y 4 secuelas de vete tu a saber que...
Pues todo para comentarte que tenia el mismo antivirus que tu, que se comenta que se dice (todo puro marketing)que esto es bueno o este es mejor...y todo es igual...
Prueba como consejo el AVP Kaspersky lab habrá mejores ,con su motor :P, pero yo no tengo ninguna queja.
Y me imagino que la mayoria igual.
Por lo demas simplemente suena raro que te ataques a ti mismo y que despues le envies la información a ip´s variables.Será algo de spyware y esa maravilla te lo califica como ataque.
SAludos y espero que te sirva de algo que a nadie le hace gracia eso.
Si bien el antivirus es decente (ninguna maravilla pero mejor q el panda ya es) y el firewall es modestito pero eficiente (m tiro casi 2 meses enteros al año probando cortafuegos, como pa no saber lo q digo...) es evidente q lo q falla es el sentido comun del usuario. Por tener software d proteccion ni mucho menos se puede pensar q se esta seguro, a lo sumo razonablemente protegido, y menos d lo q se piensa, errores tipicos: "como tengo cortafuegos m puedo meter n cualquier pagina sin miedo" aro, el javascript ya se encargará d q t tragues toda la mierda, o "como tengo antivirus abro toda la mierda q m mandan por correo, el antivirus? lo desactive porq esta todo el dia dando el coñazo" y luego el klez hace d las suyas...
Y el mejor d todos, cada vez q el firewall da un aviso d un programa q quiere salir, lejos d decir q no, a ver q falla y darle paso despues "esto como no se lo q es, seguro q es algo importante, lo dejo salir"
Y luego pasa lo q pasa, si a pesar d usarlo bien t la cuelan, critica lo q quieras, mientras el usuario medio haga semejantes burradas (y otras peores) la culpa no es del soft sino del cerebro del usuario, q se ha debido d creer q el ordenador piensa por el...
Respecto a lo que has dicho me parece muy ligero por tu parte decir tales afirmaciones sin saber con quien hablas.
Yo no he dicho en ningun momento que le de paso alegremente, sino que me preocupa.
Si tengo un antivirus actualizado y un firewall es porque me preocupa la seguridad.
No le dejo alegremente acceso a todo, ademas tengo un antitrojano y he chequeado los puertos. Si escribo esto es pa que me deis alguna ayuda, no para aguantar a un listillo de tres al cuarto que lejos de dar una solucion pone a parir al que hace la pregunta. Por cierto no soy un lamer.
El 90% d los problemas d seguridad se dan por situaciones asi o peores, tengo algo d experiencia y estoy hablando d algo q he visto no d algo q m imagine. De todas formas si no iba contigo por q t das por aludido?
- Si es alguien d fuera, evidentemente no es tu ip xD mientras el firewall t avise d q lo intentan la cosa va bien, cuando les deja pasar no suele decir ni pio, eso m preocuparia mas. Si t dan mucho la vara desactiva las alertas, no pasa nada, eso si, acuerdate d mirar el log d vez n cuando, por curiosidad, nunca se sabe lo q puedes encontrar, a los d hispano olfateandote el culo mismamente (para mas info vease mis post sobre el tema aqui mismo xD)
- Vendria bien saber ips concretas ya q el tipo d ip es siempre la misma (a menos q sea una ip d clase c q ya seria mosqueante) y mas importante aun, el puerto d destino, eso dice mas q la ip a la q intenta acceder. Por norma general si algo intenta salir al exterior y no lo has instalado tu, desconfia, algo no anda bien, excepcion, despues d poner el sp3 a 2000 determinados modulos d windows tratan d acceder al exterior d 12 n 12 intentos, n este caso es el spyware integrado del propio windows, a ese se le bloquea y andando, pero si es algun exe desconocido, troyano al canto.
Si tienes el antivirus actualizado es posible q sea el bendito windows, para saberlo es facil, el puerto d destino suele ser el 80. De todas formas cuanta mas informacion des sobre el tema mejor, asi sabremos lo q pasa con certeza.
¿Que es eso de:
-------------------------------------------------------------------
Vendria bien saber ips concretas ya q el tipo d ip es siempre la misma (a menos q sea una ip d clase c q ya seria mosqueante) y mas importante aun, el puerto d destino, eso dice mas q la ip a la q intenta acceder.
-------------------------------------------------------------------
Como siempre soltando terminos para impresionar a la peña, pero sin entender lo que dices, ¿ me quieres explicar en donde demonios de la cabecera de ip de un paquete viene la mascara para que sepas si es de clase A, B, o C?
Para mi que estas confundiendo los rangos de IPs reservados por IANA para redes locales con las mascaras de red.
A ver cualquier ip puede tener cualquier mascara de red y por lo tanto pertenecer a una red de clase A, B, o C, otra cosa es que algunas conbinaciones de IP/Mascara esten reservadas para uso local, pero eso no tiene nada que ver con el tema del thread, lo unico que haces es liar las cosas.
Para aclararte las ideas:
Mascara para red clase A : 255.0.0.0
Mascara para red clase B : 255.255.0.0
Mascara para red clase C : 255.255.255.0
Rangos de ips reservados por IANA:
0.0.0.0/8, 1.0.0.0/8, 2.0.0.0/8
5.0.0.0/8
7.0.0.0/8
23.0.0.0/8
27.0.0.0/8
31.0.0.0/8
36.0.0.0/8, 37.0.0.0/8
39.0.0.0/8
41.0.0.0/8, 42.0.0.0/8
58.0.0.0/8, 59.0.0.0/8, 60.0.0.0/8
69.0.0.0/8, 70.0.0.0/8, 71.0.0.0/8, 72.0.0.0/8, 73.0.0.0/8,
74.0.0.0/8, 75.0.0.0/8, 76.0.0.0/8, 77.0.0.0/8, 78.0.0.0/8,
79.0.0.0/8
82.0.0.0/8, 83.0.0.0/8, 84.0.0.0/8, 85.0.0.0/8, 86.0.0.0/8,
87.0.0.0/8, 88.0.0.0/8, 89.0.0.0/8, 90.0.0.0/8, 91.0.0.0/8,
92.0.0.0/8, 93.0.0.0/8, 94.0.0.0/8, 95.0.0.0/8, 96.0.0.0/8,
97.0.0.0/8, 98.0.0.0/8, 99.0.0.0/8, 100.0.0.0/8, 101.0.0.0/8,
102.0.0.0/8, 103.0.0.0/8, 104.0.0.0/8, 105.0.0.0/8, 106.0.0.0/8, 107.0.0.0/8, 108.0.0.0/8, 109.0.0.0/8,
110.0.0.0/8, 111.0.0.0/8, 112.0.0.0/8, 113.0.0.0/8,
114.0.0.0/8, 115.0.0.0/8, 116.0.0.0/8, 117.0.0.0/8,
118.0.0.0/8, 119.0.0.0/8, 120.0.0.0/8, 121.0.0.0/8,
122.0.0.0/8, 123.0.0.0/8, 124.0.0.0/8, 125.0.0.0/8,
126.0.0.0/8, 127.0.0.0/8
197.0.0.0/8
219.0.0.0/8, 220.0.0.0/8, 221.0.0.0/8, 222.0.0.0/8,
223.0.0.0/8, 224.0.0.0/8, 225.0.0.0/8, 226.0.0.0/8,
227.0.0.0/8, 228.0.0.0/8, 229.0.0.0/8, 230.0.0.0/8,
231.0.0.0/8, 232.0.0.0/8, 233.0.0.0/8, 234.0.0.0/8,
235.0.0.0/8, 236.0.0.0/8, 237.0.0.0/8, 238.0.0.0/8,
239.0.0.0/8, 240.0.0.0/8, 241.0.0.0/8, 242.0.0.0/8,
243.0.0.0/8, 244.0.0.0/8, 245.0.0.0/8, 246.0.0.0/8,
247.0.0.0/8, 248.0.0.0/8, 249.0.0.0/8, 250.0.0.0/8,
251.0.0.0/8, 252.0.0.0/8, 253.0.0.0/8, 254.0.0.0/8,
255.0.0.0/8
Entonces, aunque todas estas ips tienen por defecto asociada una mascara de red, esto solo es asi por que esta reservado por IANA, pero nada impide poner a cualquiera de estas ips, en red con una ip que no corresponda a la mascara por defecto, y por supuesto en los paquetes IP, jamas viene una mascara asociada.
Con lo cual no se puede hablar de clases de red de ningun tipo cuando nos referimos a paquetes tcp/ip si solo tenemos como referencia el paquete propiamente dicho.
Para ahorrarte trabajo, esto por supuesto lo he copiado, vamos, que no soy yo quien dice esto, si no IANA, mas concretamente lo he copiado del script que utilizo para el firewall.
Menos mal que eres un entendido en redes que si no pensaria que no tienes ni la mas remota idea.
P.D.
Para todos los demas, toda esta parrafada la pongo, por que si no la pongo yo la pondria el a buen seguro para demostrar que si sabe lo que es, aunque haya demostrado que de redes no sabe nada, le faltaria tiempo para ir al google a buscar sobre el tema, y ya que uno de los dos lo va a poner a si de paso me ahorro tener que leerle poniendolo el y diciendo que ni se lo que es.
"Como siempre soltando terminos para impresionar a la peña, pero sin entender lo que dices, ¿ me quieres explicar en donde demonios de la cabecera de ip de un paquete viene la mascara para que sepas si es de clase A, B, o C?" ahi ahi, predicando con el ejemplo :)
Y q tiene q ver la velocidad con el tocino?
Direccion ip d clase A: las van desde 0.0.0.0 hasta 127.255.255.255
Direccion ip d clase B: las q van desde 128.0.0.0 hasta 191.255.255.255
Direccion ip clase C: las q van desde 192.0.0.0 hasta 223.255.255.255
Por convencion se usan ips clase c (192.168.x.x) para redes d area local q es a lo q m referia puesto q muchas utilidades d escaneo permiten falsear la ip d origen y hacen q aparezca 192.168.0.1 n lugar d la ip real...
Charlatan d feria...
-------------------------------------------------------------------------
Por convencion se usan ips clase c (192.168.x.x) para redes d area local.
-------------------------------------------------------------------------
Se ve para variar que las rfc las lees en cantones...
Rangos de ips reservadas para uso de redes locales:
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
Como se ve que solo lees a microsoft y como microsoft solo usa el rango de 192.168.x.x pues entonces y segun tu, eso es la convencion, y no lo de arriba que te he puesto yo que esta copiado de las rfc, eres un fan del msdn, mira, por convencion, como tu dices, para redes locales se usan rangos de clase A, B y C (que lo seeeepassss).
Y por cierto las mascaras que te he puesto antes estan perfectamente.
Charlatan de feria, jijiji, viniendo de quien lo dice es un halago.
Te puedo decir lo que yo haría en tu caso.
Averiguar qué programa es el que establece las conexiones (se comentaba en algún post anterior en el foro) y si es desconocido, analizarlo. Lo que suelo utilizar para echar un ojo rápido al exe es un editor hexadecimal, si no se ve ningún texto claro entre todo el mogollón de caracteres especiales puede que se trate de un exe empacado(comprimido).
Si la cosa es sospechosa, un sniffer para analizar el tipo de conexión y protocolos (lo ke intenta enviar o recibir) y posibles datos ke nos puedan aclarar algo.
Si vamos del palo 'piensa mal y acertarás', podría ser un gusano o peor aún un troyano modificado o recompilado para eludir antivirus y demás (tengo un por aki un bichito así). Lo ke no se puede hacer es adivinar lo ke te sucede con tan pocos datos.
Un saludo.
Ante todo daros las gracias por vuestras respuestas.
He investigado un poco mas y el problemas es el siguiente.
Como ya hos he dicho tengo un antivirus norton actualizado, norton internet security actualizado version 2003, windows XP Pro, conexion red telecable 256, emule 22c.
Desde hace unos dias observo que mi norton internet security me salta como mensaje de aviso de color amarillo que:
nombre de equipo: morfeox
direccion ip hoy 81.9.16.53
el equipo morfeox con ip 81.9.16.53 esta intentando acceder a una direcion ip invalid con ip 0.0.0.106, no me dice el puerto, dice tambien un ataque de direccion invalido. Eso me lo dice un monton de veces.
Es posible ser un ataque, como si alguien hubiera clonado mi direccion ip y nombre de usuario.
Tambien creo que tenga algo que ver con el emule, no se, espero que os haya aclarado algo
Mira los procesos que tienes en marcha en el Win y si ves alguno raro chapalo.
Parece que el q manda el "ataque" eres tu como si algun programa mandase paquetes a una IP q no existe (0.0.x.x) y el Norton lo registra en su log, mostrando tu IP como origen y la 0.x.x.x que has puesto como destino.
Q otro ordenador q se llame como el tuyo no es muy frecuente pero puede pasar, ahora bien q tenga el nombre del tuyo y una ip... rusa? O_o
inetnum: 81.9.16.0 - 81.9.19.255
netname: NOVLINE
descr: NovLine Ltd., ISP in Novgorod, Russia
country: RU
Creo q tienes invitados y no a cenar precisamente, mas q nada q dudo q esa ip sea d telecable asi q...
Como ya t dije, mientras el firewall cante no hay peligro propiamente dicho, windows esta infectado pero no tiene acceso, otra cosa q m mosquea, la direccion d destino no tiene sentido, no es una direccion ip habitual, pero el antivirus no lo huele.
Algunos troyanos y virus neutralizan los antivirus y/o los firewalls d manera q si no lo ve puede ser porq sea spyware o porq el antivirus esté n el ajo.
Posibles alternativas, lo idea d revisar los procesos es buena, aunq puede q t suenen a chino, por probar no pierdes nada, otra opcion, n lugar d centrarte n troyanos busca posibles spyware (para eso mejor el ad-aware) q mas... hazte con otro antivirus (panda no por favo) desactiva el del norton y prueba con el, lo ideal seria uno q quepa n un floppy preparado n otro ordenador pero hace tanto q los antivirus ocupan mas d un disco...
De entrada no tendrias q preocuparte demasiado ya q el intruso está aislado, pero es incomodo tener bichos correteando por el ordenador, a ver si asi avanzamos algo...
a mi me pasa lo mismo pero solamente cuando pongo el emule ( todas las versiones que he probado) asi que creo que el causante de que me ataque yo mismo es en mi caso es el emule, si encuentro solucion o alguna explicacion ya te lo comentare.
Buenas tardes.
Mira lo que pasa realmente es que te estan o mas bien, nos estan intentando realizar, un ataque DOS (lo digo por el eMule que he visto lo mismo en mi ordenador). El problema está en que te mandan paquetes con destinatario y origen de tu direccion de internet (IP) por lo que es un ataque DOS.
SAludos
PD: Esto es a muy grosso modo...(como siempre) ;-P . Si quieres saber mas busca en la llamada historia Hack que hay casos que este mismo ataque a costado muchos Urones(Euros) de esos.
