Fecha: Sun, 23 May 2004 20:49:33 +0200
Quien: c.b. <***@despammed.com>
Asunto: Puerto 445, Telefonica y Sasser
Message-ID: <***@despammed.com>
Jau c.b.:
| Estaba intentando hacer unas pruebas de auto-infección en un XP, para lo
| cual deje abierto el puerto 445 (tcp)
Mmmmmmm, yo tengo muchísimas entradas al puerto 445(como comprenderás,
tengo el cortafuegos dispuesto para no atacar el Windows 2000 que tengo
detrás de esta máquina).
A mi modo de ver, que si teniendo parcheado el sistema operativo, de ahí no
creo que surjan problemas de ninguna clase al ataque de dicho puerto.
| Ante mi sorpresa, pasaban las horas con la caña puesta y no sucedia nada.
| He descubierto que Telefonica esta filtrando puertos para evitar
| infecciones masivas. Al margen de la legalidad o no de esa medida,
| ¿sabeis si otros proveedores están haciendo lo mismo?
En mi caso, ni se ha filtrado ni nada de nada. TAL CUAL, yo tengo unas
bonitas líneas en el cortafuegos con ataques al puerto 445(no está ni
abierto. SALVO y exclusivamente el Windows 2000(que, por cierto, no lo
tiene abierto ni para el arrás, eso sí, lo tiene en UDP).
Como muestra:
May 23 21:22:11 milon kernel: SuSE-FW-DROP-DEFAULT IN=eth0 OUT=
MAC=00:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=217.125.220.71
DST=217.126.221.117 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=30578 DF PROTO=TCP
SPT=3484 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405A401010402)
Y eso, que se conectan dos o tres veces cada IP a dicho puerto(osease,
intentando comprobar que esté abierto dicho puerto).
Tengo guardadas muchísimas líneas de éstas en ficheros y completamente
guardados para cuando se quiera hacer una auto-comprobación de los
mismos... Como éstas, tengo a patadas..
- --
Slds...
ICQ: 117844560 Milon. Miembro del grupo A.H.E.
Linux User: #206958 milon AT hackindex DOT com
milon AT hackindex DOT org PGP Key: 0xFD913988 0xD522C952