Mensajes

a y con el antivirus no aparece nada raro mas que los programas que yo e instalado y configurado.

Hola que pena con la demora, si ya e mirado y puede ser que se colo por el ares o el emule, en cuanto a los logs como ya mencione no sale nada solo del momento en el cual me di cuenta que me toco cancelar la conexion pero nada evidente o relevante, cuando conecto a internet  tengo el tor, el ipchains  y el snort en modo de deteccion, en la carpeta allow tengo q me bloquee cualquier conexion entrante con el acceso denegado, aun q ahora no puedo colocar informacion extra ya q me encuentro en un cafe internet y no en mi lap.

a bueno se me olvida mencionar dependiendo de dode navegue en mi laptop utilizo el tor y otro proxy via internet para ocultar un poco mis datos.

una pregunta, es posible entrar sin que sea detectado? ni por el (netstat)(w)(last)?
de ser asi sabes como?

Gracias por la colaboracion.

cuando este en mi laptop con conexion a internet pasare mas datos aun q con la configuracion del cortafuegos y las otras configuraciones no deberia bloquear cualquier tipo de intento de conexion ano ser q el cortafuegos sea desactivado via remota pero eso no sucedio.

G0d_50n

Bueno en cuanto a un acceso fisico no creo ya q para acceder al pc nesesitan contraseña bios y contraseña del sistema, lo que llevaria a un informatico forence encargarce de la accion pero nadie q yo sepa a introducido sus garras en mi pc de forma fisica jejjeje, bueno continuando con q muestro de info de mi pc en internet  aca coloco algunas configuraciones estandar del sistema, bueno asi es como yo lo tengo.

Código [Seleccionar] Expandir

#-----------( Firestarter Configuration File )-----------#

# --(External Interface)--
# Name of external network interface
IF="eth2"
# Network interface is a PPP link
EXT_PPP="on"

# --(Internal Interface--)
# Name of internal network interface
INIF="eth0"

# --(Network Address Translation)--
# Enable NAT
NAT="off"
# Enable DHCP server for NAT clients
DHCP_SERVER="off"
# Forward server's DNS settings to clients in DHCP lease
DHCP_DYNAMIC_DNS="on"

# --(Inbound Traffic)--
# Packet rejection method
#   DROP:   Ignore the packet
#   REJECT: Send back an error packet in response
STOP_TARGET="DROP"

# --(Outbound Traffic)--
# Default Outbound Traffic Policy
#   permissive: everything not denied is allowed
#   restrictive everything not allowed is denied
OUTBOUND_POLICY="permissive"

# --(Type of Service)--
# Enable ToS filtering
FILTER_TOS="on"
# Apply ToS to typical client tasks such as SSH and HTTP
TOS_CLIENT="on"
# Apply ToS to typical server tasks such as SSH, HTTP, HTTPS and POP3
TOS_SERVER="on"
# Apply ToS to Remote X server connections
TOS_X="on"
# ToS parameters
#   4:  Maximize Reliability
#   8:  Maximize-Throughput
#   16: Minimize-Delay
TOSOPT=4

# --(ICMP Filtering)--
# Enable ICMP filtering
FILTER_ICMP="on"
# Allow Echo requests
ICMP_ECHO_REQUEST="off"
# Allow Echo replies
ICMP_ECHO_REPLY="off"
# Allow Traceroute requests
ICMP_TRACEROUTE="off"
# Allow MS Traceroute Requests
ICMP_MSTRACEROUTE="off"
# Allow Unreachable Requests
ICMP_UNREACHABLE="off"
# Allow Timestamping Requests
ICMP_TIMESTAMPING="off"
# Allow Address Masking Requests
ICMP_MASKING="off"
# Allow Redirection Requests
ICMP_REDIRECTION="off"
# Allow Source Quench Requests
ICMP_SOURCE_QUENCHES="off"

# --(Broadcast Traffic)--
# Block external broadcast traffic
BLOCK_EXTERNAL_BROADCAST="on"
# Block internal broadcast traffic
BLOCK_INTERNAL_BROADCAST="on"
# --(Traffic Validation)--
# Block non-routable traffic on the public interfaces
BLOCK_NON_ROUTABLES="on"

# --(Logging)--
# System log level
LOG_LEVEL=info


y gracias por la respuesta, por ahora sigo mirando en busca de algun bug o algo parecido aun q no e recivido mas ataques de parte de esta persona.

Hola

Antes que nada agradezco la colaboracion,   aver si me explico lo mas claramente posible. el problema que se me esta presentando es de algun fallo de vulnerabilidad en cuanto al sistema operativo o algo similar ya que creo tener bien configurado el cortafuegos con algunas normativas extras pero aun asi e recivido un ataque el cual e podido controlar cancelando la conexion y bloqueando su ip. busque en los logs y bueno para mi sorpresa no habia registro de algun ingreso por lo que creo que pudo ser mediante alguna tecnica de suplantacion de identidad diferente de (spoofing o envenenamiento de arp) ya que el iptable esta configurado para evitar este tipo de ataques ademas tengo configurado una alarma si alguien se logra conectar a mi laptop pero dicha alarma no sono y deberia cerrar la conexion inmediatamente,  lo que posiblemente el ataque pudo ser ocacionado mediante paquetes ocultos camuflados con los de mi navegacion normal.

Momento del ataque:

En ese momento los registros del cortafuegos de mi laptop entraron en alerta roja, con escaneo de puertos y ataques a puertos espesificos bloqueados por mi cortafuegos, lo que inmediantamente me llevo a tomar medidas, e iniciar un contrataque, para por lo menos determinar el origen verdadero del atacante, lo que me llevo a investigar con algunos sniffers y comandos de mi linux, lo cual a primera vista parecia ser un solo ordenador pero que despues de otros analicis parecian ser barios ordenadores pasando por uno solo, lo cual me llevo a la Conclusión de que posiblemente el atacante estaba utilizando un condon, osea navegando anonimamente mediante el filtro de barios pc.
Cuando pense que todo habia terminado ya que el cortafuegos no mostro mas registros de ataque, revisando los logs no salio nada, pero al revisar mi cuenta root me di cuenta de que habia accedido a mi laptop, ya q alli llacia una cuenta shell la cual estaba recien orneada, acabada de crear, pero bueno lo importante es que no duro mucho, inmediatamente la borre  pero lo cual me puso a pensar como lo habia conseguido, pero bueno alli no acaba, tambien me di cuenta que habia cambiado una normativa de mi cortafuego permitiendole  a su ordenador el acceso directo, lo cual me llevo a analizar todo el sistema en busca de algun rastro que me pudiera indicar la caida del mismo, sin exito alguno, lo que si realice inmediatamente fue borrar todo rastro de el atacante y re organizar el sistema de seguridad de mi laptop, como mencione anteriormente borrando la shell remota, y la normativa de acceso, ademas de algunas configuraciones extra como la alarma y denegacion de cualquier conexion via telnet o de protocolo udp.



Bueno la duda es que si consiguio entrar a mi pc y realizar esto tal ves lo consiga nuevamente sin q mi cortafuegos lo registre ni la (w) ni (last) y tampoco el (netstat) pero como puede ser esto posible?
bueno como siempre lo e pensado siempre va a ver alguien mucho mejor que tu.

Bueno la verdad no se como lo aria pero si me queda la gran duda de si lo ara nuevamente. Si alguien sabe como a conseguido esto les agradeceria me explicaran para poder prevenir futuros ataques de esta magnitud.

A continuacion les dejo algunos datos los cuales creo que son de importancia para el diagnostico.

Algunos de mis datos:
*Sistema operativo:  Linux G0d_50n-laptop 2.6.31-14-generic #48-Ubuntu SMP Fri Oct 16 14:04:26 UTC 2009 i686 GNU/Linux
*CORTAFUEGOS: iptable - (firestarter)


DATOS DEL ATACANTE:

Bueno la verdad no se si se puedan colocar los datos como la ip y mis otras investigaciones ya q podrian remover el post, pero si los admins me aurizan a colocar los datos del atacante con gusto lo are.

lo q si coloco es q proviene de: (akamaitechnologies.com) lo cual no posee ninguna pagina web, lo q hace referencia al servicio de internet del atacante.

agradezco si alguien me asesora un poco o me colabora a tratar de parchar mi seguridad

De antemano gracias.

ATT: G0d_50n

Bueno la verdad e intentado muchas formas pero no lo consigo, si conecto el cable del modem me conecto y navego sin problema pero el router no asepta los datos de las dns, y lo demas y estoy seguro que son los datod correctos. y en cuanto a la configuracion del vista pues lo tengo normal no le e aumentado seguridad ni nada, con otras redes no tengo problema, ni con el cable, pero si con el router, mira la configuracion la intento hacer en mi portatil, es un del inspiron 15 25, lo tengo con ekl vista y con linux aun que eso no tiene porque interferir en nada, pero de todas formas lo comento. bueno gracias, espero que me puedan colaborar.

Z@lu2...

mira es que el problema es el siguiente, para configurarlo en XP es muy facil, puesto que es compatible, pero parece que no lo es con el vista, con linux es mas axequible, bueno en fin, en el vista esto es lo que e intentado.
1) utilizar el CD de instalacion
2) introduciendo la ip en el navegador y configurandolo manualmente
3) por medio del comando nslookup
4) tratar de forzarlo por la consola

pero no funciona al conectarse a internet por ningun medio que intente, logro siempre configurar el router, pero no me coje el internet, el modem de internet que poseo es con usuario y contraseña, pense que era por eso pero no, aun autentificandome no funciona, ingreso las DNS, la puerta de enlace, la ip del servidor o provedor de internet, los datos son validos mas sinembargo no reconoce el internet, intente un reinicio en cascada pero tampoco me funciono, esperando que refrescara la ip y los demas datos que en muchos casos se hace y listo, pero no me funciona, la conexion de internet que poseo es banda ancha portable pero por dls y nesesito el router para conectar el de torre, yel portatil por wirless, espero que me entiendas mejor el problema que tengo, si alguien sabe como se configura el belkin f5d7230-4 v9 en el sistema win vista. porfavor digame como sino pues como ago para forzarlo a funcionar y que me reconozca el modem de internet.

gracias

Hola. bueno tengo un problema. con el router BELKIN f5d7230-4 v9 supuestamente la instalacion es facil, pero hay un problema no es compatible con el vista, ya lo e intentado con el CD de instalacion, mirandolo desde la pagina del router, por el comando NSLOOKUP, y otras... pero solo logro configurarlo como red local pero no me esta funcionando para conectarme a internet, mejor dicho no detecta la conexión a internet. si alguien sabe la forma de forsarlo en el sistema operativo vista, porfavor agamelo saber. gracias de antemano.

exelente aporte... 

Denuevo por el ZONE ALARM es un buen firewall si tenes la full versión
y con otras herramientas es mucho lo que protejes aun que nunca estara un sistema 100% protegido.

saludos

bueno de lo que e visto nadie a tratado con el ARC es un progrma que quita todoas las contraseñas del win y tambien sirve remotamente sabiendolo manejar es como el cia commander y los demas. busquenlo
saludos.