Hola
Antes que nada agradezco la colaboracion, aver si me explico lo mas claramente posible. el problema que se me esta presentando es de algun fallo de vulnerabilidad en cuanto al sistema operativo o algo similar ya que creo tener bien configurado el cortafuegos con algunas normativas extras pero aun asi e recivido un ataque el cual e podido controlar cancelando la conexion y bloqueando su ip. busque en los logs y bueno para mi sorpresa no habia registro de algun ingreso por lo que creo que pudo ser mediante alguna tecnica de suplantacion de identidad diferente de (spoofing o envenenamiento de arp) ya que el iptable esta configurado para evitar este tipo de ataques ademas tengo configurado una alarma si alguien se logra conectar a mi laptop pero dicha alarma no sono y deberia cerrar la conexion inmediatamente, lo que posiblemente el ataque pudo ser ocacionado mediante paquetes ocultos camuflados con los de mi navegacion normal.
Momento del ataque:
En ese momento los registros del cortafuegos de mi laptop entraron en alerta roja, con escaneo de puertos y ataques a puertos espesificos bloqueados por mi cortafuegos, lo que inmediantamente me llevo a tomar medidas, e iniciar un contrataque, para por lo menos determinar el origen verdadero del atacante, lo que me llevo a investigar con algunos sniffers y comandos de mi linux, lo cual a primera vista parecia ser un solo ordenador pero que despues de otros analicis parecian ser barios ordenadores pasando por uno solo, lo cual me llevo a la Conclusión de que posiblemente el atacante estaba utilizando un condon, osea navegando anonimamente mediante el filtro de barios pc.
Cuando pense que todo habia terminado ya que el cortafuegos no mostro mas registros de ataque, revisando los logs no salio nada, pero al revisar mi cuenta root me di cuenta de que habia accedido a mi laptop, ya q alli llacia una cuenta shell la cual estaba recien orneada, acabada de crear, pero bueno lo importante es que no duro mucho, inmediatamente la borre pero lo cual me puso a pensar como lo habia conseguido, pero bueno alli no acaba, tambien me di cuenta que habia cambiado una normativa de mi cortafuego permitiendole a su ordenador el acceso directo, lo cual me llevo a analizar todo el sistema en busca de algun rastro que me pudiera indicar la caida del mismo, sin exito alguno, lo que si realice inmediatamente fue borrar todo rastro de el atacante y re organizar el sistema de seguridad de mi laptop, como mencione anteriormente borrando la shell remota, y la normativa de acceso, ademas de algunas configuraciones extra como la alarma y denegacion de cualquier conexion via telnet o de protocolo udp.
Bueno la duda es que si consiguio entrar a mi pc y realizar esto tal ves lo consiga nuevamente sin q mi cortafuegos lo registre ni la (w) ni (last) y tampoco el (netstat) pero como puede ser esto posible?
bueno como siempre lo e pensado siempre va a ver alguien mucho mejor que tu.
Bueno la verdad no se como lo aria pero si me queda la gran duda de si lo ara nuevamente. Si alguien sabe como a conseguido esto les agradeceria me explicaran para poder prevenir futuros ataques de esta magnitud.
A continuacion les dejo algunos datos los cuales creo que son de importancia para el diagnostico.
Algunos de mis datos:
*Sistema operativo: Linux G0d_50n-laptop 2.6.31-14-generic #48-Ubuntu SMP Fri Oct 16 14:04:26 UTC 2009 i686 GNU/Linux
*CORTAFUEGOS: iptable - (firestarter)
DATOS DEL ATACANTE:
Bueno la verdad no se si se puedan colocar los datos como la ip y mis otras investigaciones ya q podrian remover el post, pero si los admins me aurizan a colocar los datos del atacante con gusto lo are.
lo q si coloco es q proviene de: (akamaitechnologies.com) lo cual no posee ninguna pagina web, lo q hace referencia al servicio de internet del atacante.
agradezco si alguien me asesora un poco o me colabora a tratar de parchar mi seguridad
De antemano gracias.
ATT: G0d_50n