detectado uso anomalo conexion a internet

Iniciado por wancho87, 29 Mayo 2020, 02:03 AM

0 Miembros y 2 Visitantes están viendo este tema.

wancho87

hola, mi proveedor de internet me ha mandado hoy este correo electronico avisandome de que hay ataques desde mi IP de tipo sasl y me adjunta esto

Nos vuelven a reportar que desde tu ip se estan realizando ataques tipo sasl, necesitaria que le pases antivirus y te pongas un firewall en los pcs de tu casa ya que el proximo aviso bloquearan la ip y no tendras salida a internet.
Segun indican ha sido a las 15:27 de hoy jueves dia 28 de mayo
Hello Abuse-Team,
your Server/Customer with the IP: *139.XXX.XXX.XXX* 139.XXX.XXX.XXX.d**.us**.********.com ) has attacked one of our servers/partners.
The attackers used the method/service: *sasl*  on: *Thu, 28 May 2020 15:27:45 +0200*.
The time listed is from the server-time of the Blocklist-user who submitted the report.
The attack was reported to the Blocklist.de-System on: *Thu, 28 May 2020 15:27:47 +0200


supuestamente ha sido hoy a las 15:27. Hace cosa de 2 semanas hicieron compras de tarjetas regalo en mi cuenta amazon 3 de 30 dolares cada 1, pero la cuenta se bloqueo a la tercera compra, y amazon me devolvio los 90 euros. cambie contraseñas deshabilite tarjetas etc...

Hace 2 meses o asi me llamaron del proveedor diciendome lo mismo que instalara antivirus en el pc y analizase el equipo. Lo hice y aproveche y formatee todos los equipos de la casa.

ahora por lo menos tengo algo mas de informacion, pero no se que es un ataque *sasl*. he analizado el pc principal con g-data y esta ok. le he activado el cortafuegos de g-data a maxima seguridad. ya estoy en modo paranoia. el problema es que tengo 3 ordenadores, 4 moviles funcionando, 1 tablet, 1 smart tv, y no se donde pueden estar atacandome. vivo en el campo asi que no creo que esten usando mi wifi para atacar. suena a virus. si el ataque ha sido a esa hora (15:27) solo habia 1 pc encendido. el que estoy analizando a tope. donde tengo guardadas las contraseñas en el navegador y tal...


tambien acabo de hacerle un hard reset a mi movil por si fuera el culpable por toda la ***** que se le instala sin darte cuenta. dice el proveedor que al proximo aviso me bloquean la conexion... estoy rayado la verdad. agradeceria consejos sobre todo por el ataque *sasl*, porque he buscado por internet pero no me entero mucho que es o como me afecta en mi caso mejor dicho.

muchisimas gracias por leerme. un saludo

El_Andaluz

#1
Que yo sepa ataque *sasl* eso a mi no me suena como un método de ataque creo yo me suena mas a esto:



SASL: Siglas en inglés para Simple Authentication and Security Layer (capa de seguridad y autenticación simple).

Citar

SASL es un framework para autenticación y autorización en protocolos de Internet. Separa los mecanismos de autenticación de los protocolos de la aplicación permitiendo, en teoría, a cualquier protocolo de aplicación que use SASL usar cualquier mecanismo de autenticación soportado por SASL. A pesar de que mediante SASL sólo se maneja la autenticación (y se requieren otros mecanismos --como por ejemplo TLS-- para cifrar el contenido que se transfiere), SASL proporciona medios para un uso negociado del mecanismo elegido. Las especificaciones originales de SASL fueron editadas por John Meyers en el RFC 2222. Este fue hecho obsoleto por el RFC 4422, editado por Alexey Melnikov y Kurt Zeilenga.

Un mecanismo SASL se modela como una sucesión de retos y respuestas. Los mecanismos definidos por SASL incluyen:1​

"EXTERNAL", aquí la autenticación está implícita en el contexto (p.ej. para protocolos que ya usan IPsec o TLS).
"ANONYMOUS", para el acceso de invitados sin autentificar.
"PLAIN", un mecanismo de contraseña simple en texto plano.
"OTP" para el sistema que evolucionó de S/KEY2​
"NTLM".
Se prevé soportar los mecanismos GSSAPI en una familia de nomenclatura de mecanismos.
Los protocolos definen su representación de intercambios SASL con un perfil. Un protocolo tiene un nombre de servicio como "LDAP" en un registro compartido con GSSAPI y Kerberos.

Entre los protocolos que ahora mismo usan SASL se incluyen IMAP, LDAP, POP3, SMTP, XMPP y algunos servidores IRC, como Freenode.







Cuando te compras un PC lo imprescindible para que no te intenten hackear es tener como mínimo un antivirus, luego si quieres instalarte el antimalwares por si te han instalado también algún malware de tipo malicioso diseñado para causarle daño a usted o a sus dispositivos.  Incluye muchos tipos de programas, como spyware, ransomware,  troyanos, rootkits Etc... Se pueden expandir manualmente o automáticamente.

Evite también como manera de precaución meterse en paginas pornos o descargarse archivos de paginas desconocidas o de paginas que no sean seguras.

wancho87

Gracias, seguire los consejos. Me recomendais algun antivirus bueno? la verdad que me resulta curioso porque llevo años instalando cualquier cosa en mi pc sin mirar mucho la fuente, sobre todo juegos etc... y justo ahora que no tengo ni un solo crack instalado en mi pc, todo lo que juego es original con licencia, lo poco que juego, el resto son aplicaciones supuestamente seguras (spotify, teamviewer, steam, jdownloader, xammp, cosas asi)

si al menos pudiera saber como funciona ese ataque para encontrar la maquina infectada... sigo pensando que el culpable es el movil, para pc siempre hay que instalar antivirus, anti malware, firewall, hijackthis, no se que... y para el movil no hay gran cosa, algun antivirus malo, y la verdad que estuve instalando programas de store no oficial y puede ser ese el problema, aunque ya lo he formateado entero pero no se

Machacador

Pasale a todas las máquinas el Malwarebytes Antimalware y usa un mejor antivirus como el ESET NOD o el KASPERSKY...

:rolleyes: :o :rolleyes:
"Solo tu perro puede admirarte mas de lo que tu te admiras a ti mismo"

wancho87

malwarebytes ya lo he pasado y no ha detectado nada. es cosa mia o el malwarebytes no es lo que era? antes tardaba 1 hora en analizar y siempre encontraba algo, hasta en equipos recien formateados xDD, ahora tarda 40 seg (poco me parece a mi), y encuentra 0 objetos. parece que habra que ir buscando una alternativa.

para el antivirus iba a hacer caso a esta publicacion e instalar trend micro.

https://foro.elhacker.net/noticias/solo_dos_antivirus_para_windows_10_sacan_matricula_de_honor-t504946.0.html

Saludossss

El_Andaluz

#5
Cita de: wancho87 en 29 Mayo 2020, 14:15 PM
malwarebytes ya lo he pasado y no ha detectado nada. es cosa mia o el malwarebytes no es lo que era? antes tardaba 1 hora en analizar y siempre encontraba algo, hasta en equipos recien formateados xDD, ahora tarda 40 seg (poco me parece a mi), y encuentra 0 objetos. parece que habra que ir buscando una alternativa.

para el antivirus iba a hacer caso a esta publicacion e instalar trend micro.

https://foro.elhacker.net/noticias/solo_dos_antivirus_para_windows_10_sacan_matricula_de_honor-t504946.0.html

Saludossss

Si dices que formateastes tu Pc veo difícil que encuentre algo y si dices que antes te tardaba hasta una hora es porque antes tenías mas cosas instaladas en tu PC y mas archivos donde tener que buscar, lo que habrás hecho ha sido un análisis rápido imagino, intenta hacer un análisis completo con malwarebite, pero de todas manera ahora mismo estando formateado no te va encontrar nada, eso lo tenías que haber hecho antes de formatear.

Yo siempre digo lo mismo para mi formatear el PC es la ultima opción de todas las opciones, hasta que no agotes todas las demás opciones no formateria, formatear puede formatear cualquier esa es la solución fácil pero a mi me gusta solucionarlo sin tener que formatear nada, si no se puede pues tendría que formatear si no tengo mas remedios por lo menos yo, cada uno que haga lo que quiera con su PC.


Y luego tema de Antivirus para mi el que siempre me ha gustado ha sido el AVG Internet Security.


Prueba con este antivirus es bueno lo tienes full solo le metes el serial y ya tienes totalmente full hasta 2022.


[youtube=640,360]https://youtu.be/mouYGR_Jpa0[/youtube]


AVG Internet Security 2020 License KEY 2022.

Link : https://drive.google.com/file/d/1PdEW...


Thank you all for watching and supporting Mocik channel. Remember to Like, Share & Subscribe Mocik channel to watch the latest videos..

simorg

#6
CitarNos vuelven a reportar que desde tu ip se estan realizando ataques tipo sasl, necesitaria que le pases antivirus y te pongas un firewall en los pcs de tu casa

Lo que me llama la atención es el trato "familiar" con el que un proveedor de internet se dirige a tí.....no es el trato normal entre proveedor y cliente. :silbar: por muy "salaos" que sean en Murcia. (Innovatelekom)




Saludos.

el-brujo

#7
opino lo mismo que Simorg, suena bastante falso el aviso por e-mail....

¿Ataque Sasl? ¿Y eso que es? ¿Serán intentos por fuerza bruta servidores LDAP desde tu iP?

En fín, en todo caso ¿Tienes ip Fija? Lo más seguro que estén accediendo a tu conexión Wifi (a tu router) no a tus ordenadores.

Ya puedes pasar todos los antivirus que quieras, que si te han entrado al router pueden hacer lo que quieras. Yo actualizaría el firmware del router, pero antes haz un reset, porque tiene muy mala pinta.

Si además hicieron compras fraudulentas con tu cuenta Amazon pues más de lo mismo....

@El_Andaluz está terminantemente prohibido publicar keys o seriales de programas en el foro. Siendo moderador ya deberías saberlo.

wancho87

parece ser que un ataque sasl es esto

sasl:
sasl, qmail-smtp, sdgsmtp, sendmailbruteforce, smtp-sasl, qmail, sasl-iptables, sasl-password, sasl-passwort, sasl-ipt, postfix-sasl, sasl-smtp, sasl-submission, sasl-ban, zpanel-postfix, postfix-auth, postfix-sasl2, postfix.auth

esto lo he visto en la pagina de blocklist.de (que es la pagina desde donde viene el aviso),
no esta muy claro, pero parece ser que estoy haciendo spam o algo asi  :-\

no entiendo a que os referis con el email falso. el email es verdadero. me lo ha mandado la compañia confirmado. la otra vez fue por telefono el aviso. es una compañia de wimax.

me extrañaria mucho que esten accediendo a mi router por wifi, por la zona en la que vivo, ademas reviso de vez en cuando la lista de clientes conectados al router y estan los que tienen que estar, a no ser que accedan a traves de internet que entonces ahi ya me pierdo....

simorg, como sabes que la compañia es Innovatelekom y que es de murcia y tal? joder es que tengo la sensacion de ir desnudo ahora mismo y que todos me miran y me señalan mientras se rien de mi xddd

simorg

Citarsimorg, como sabes que la compañia es Innovatelekom y que es de murcia y tal? joder es que tengo la sensacion de ir desnudo ahora mismo y que todos me miran y me señalan mientras se rien de mi xddd

No te preocupes somos poquitos los que tenemos la Bola de cristal...... :xD :xD :xD



Saludos.