Continúan los ataques DDoS de la misma gente, parece que mosqueados por los datos publicados, lo que me confirma aún más que la información está en la dirección correcta. Son 57 los ordenadores involucrados por ahora –servidores la mayoría, por lo que comprobé rápidamente– en el ataque. Los más agresivos son 72.232.12.234 y 82.119.225.27.
#6:
#1 Habitualmente, esta gente se suele aprovechar de máquinas que carecen de unos mínimos de mantenimiento. Suelen ser o bien ordenadores personales que están todo el día (...semana o mes) tirando de la mula o bien servidores cuyos administradores no tienen ni pajolera idea (hablando rápido y claro) de gestión de servicios.
Existen medidas de seguridad básicas mediante las cuales se dificulta enormemente el acceso a una máquina por parte de personas no autorizadas. La primera, y más elemental, es utilizar un buen sistema de permisos (el de Windows no es "buen", pero tampoco lo utiliza nadie, cosa que está muy mal hecha). Mediante el sistema de permisos te aseguras prácticamente de que nadie instala software malicioso ni scripts en la máquina. Lógicamente, el sistema de permisos debe ir acompañado de un buen repertorio de contraseñas (mayúsculas, minúsculas, números y caracteres). Utilizar como contraseña no ya tu nombre o el de tu empresa o ciudad, sino cualquier puta palabra que tenga sentido, es un error garrafal que comete todo dios. Normalmente, los ataques por fuerza bruta (probar contraseñas y nombres de usuario hasta que haya suerte) suelen llevarlos a cabo mediante scripts que automatizan esta faena, prueban muchas contraseñas por minuto y que utilizan diccionarios para ir probando palabras. Por lo tanto, cualquier palabra que tenga sentido es susceptible de ser crackeada como contraseña. Lo ideal es poner algo como "AhDe/5_3Bd.6", 12 caracteres sin sentido, mayúsculas, minúsculas, números y símbolos intercalados. Con esto nos aseguramos de que JAMÁS, por fuerza bruta, conseguirán petar nuestra contraseña.
Aquí tienes una página que te muestra el tiempo que se tardaría en crackear una máquina mediante ataques automáticos de fuerza bruta, según sea su contraseña, pa que veas: http://www.lockdown.co.uk/?pg=combi&s=articles
Eso en cuanto a contraseñas y usuarios, que ya te digo, es lo más básico y lo que todo administrador (bueno o malo, listo o tonto) debería poner en práctica.
Luego tenemos otras medidas a tomar, como es la gestión de los servicios que estemos utilizando. No tiene sentido tener abiertos puertos o servicios (FTP, SSH, HTTPd, telnet...) que no estamos ofreciendo. De hecho, esta es una manera muy buena de detectar posibles intrusiones, el observar que tenemos activados en nuestra máquina servicios que nosotros no hemos instalado o iniciado. Si ves que tienes algo en marcha que tú no has configurado y que no gastas: desactiva ese servicio. Es una puerta abierta inútilmente. Puertos y servicios abiertos: únicamente los que vayas a gastar.
Para observar qué servicios tienes en activo, puedes utilizar herramientas tipo 'nmap' o revisar los procesos activos (en Windows o en donde sea, eso no importa en absoluto).
Ahora bien, si quieres tener en marcha servicios de transferencia de ficheros (FTP) o web (HTTPd), ahí ya deberías mirarte la documentación del software servidor y configurarlo adecuadamente para evitar ataques o por lo menos ralentizarlos hasta hacerlos desesperantes. Por ejemplo, el caso más sencillo, un servidor FTP, pues sería una buena idea tener en cuenta cuántos usuarios van a conectarse a ese servidor. ¿Tú solo? Bien, entonces configuras "máximo de usuarios: 1" ó 2 o 3, si es que piensas que podrías compartir ese servicio con algún amigo o conocido. No tiene sentido permitir 200 conexiones en un servidor casero que sólo utilizas tú. Ahí ya tienes un agujero (y encima de tipo DoS, que es el que nos ocupa) cerrado También puedes imponer reglas al servicio, de tipo "no quiero más de 3 intentos de conexión fallidos seguidos" (fuerza bruta a tomar por culo) y cosas por el estilo. Como ves, no es difícil si manejas servidores tener un poco de sentido común y configurarlos correctamente. Te ahorrarás estupideces de niños juanker que se basan únicamente en utilizar programitas chorras que explotan las vulnerabilidades básicas.
Servicios de conexión a máquinas remotas, como telnet, sustitúyelos todos por SSH. Utiliza cifrado siempre que puedas y evitarás exponer tus contraseñas y nombres de usuario en redes públicas o WiFi. Conéctate al correo de la universidad o del trabajo por httpS:// en lugar de por http://, utiliza SSL en tus clientes de correo y en lugar de ftp:// utiliza Sftp:// siempre que se pueda. Así ningún niño juanker va a poder olerte las contraseñas en el WiFi mediante un sniffer o juguetes similares.
En cuanto a cómo saber si eres una máquina infectada que está haciendo un DoS o putadas similares... lo que puedes hacer es observar el tráfico que sale de ti. Un primer paso elemental es mirar las lucecitas del router/switch al que te conectas (o módem :P) Si tu ordenador está parado totalmente (encendido pero sin hacer nada, ni eMule ni MSN ni antivirus ni actualizaciones ni nada de nada, sólo Windows en marcha) y en el router/switch parpadea la luz que indica tráfico en tu máquina... evidentemente algo hay en marcha que tú no estás utilizando y que desconoces. –> a mirar procesos, etcétera.
Si te pasa eso y no logras averiguar qué tipo de cosas está haciendo tu ordenador, puedes analizar el tráfico utilizando herramientas como las que utilizan ellos Por ejemplo, 'Wireshark' es brutal y es una aplicación fundamental para el estudio y análisis de cualquier tipo de red. Ahí ya vas a ver exactamente qué tipo de conexiones realiza tu máquina, hacia quien, por qué motivo y en qué momento.
En fin, un tema muy amplio, el de la seguridad en redes, pero que puede ser atajado por cualquier usuario, sea experto o no, con unas normas básicas de sentido común y sin gastar dinero en programas inútiles (véase Panda Antivirus, véase Symantec, etc.).
Saludos!
#2:
#1 Puedes comprobar las conexiones a la red que realiza tu sistema con el comando netstat -an (o mejor aún correr un programa que analice tu tráfico, por ejemplo, ethereal) y mirar qué procesos son esos que están conectados a Internet.
Algunas medidas preventivas (en Windows) pueden ser: descargar ejecutables solo de sitios fiables, evitar abrir archivos enviados por mail, mantener el equipo actualizado (instalar los updates), no permitir ejecutar ActiveX, usar contraseñas robustas, etc.
Un hacker es Richard Stallman, y otro Linus Torvalds, y estos no se dedican a reventar el ordenador de nadie.
#28:
me alegra ver el interés de muchos ususarios de perfil no técnico de menéame por hacer las cosas bien, y me alegra también ver la colaboración de aquellos que tienen algún conocimiento más, que aquí son muchos, por colaborar con ellos.
#30:
Por cierto para los que administreis alguna clase de servidor he hecho un script para denegar cualquier acceso desde una lista de ip con iptables, solo hay que escribirlas en un fichero, sobra decir que las 57 de la lista ya estan en el mio ademas de alguna otra. Es muy sencillo: #!/bin/bash
LISTA="/etc/listaip"
IFACE="eth1"
if [ -f $LISTA ] ; then
for ip in `sort -ru $BANFILE` ; do
iptables -A INPUT -i $IFACE -s $ip -j DROP
done
fi
Y a descartar a golpe de script metiendo las ip en /etc/listaip
#7:
#1
Método rápido:
Cierra Firefox y todo lo que está conectado a Internet, y mira si la lucecita del puerto tu PC en el router parpadea. ¿Lo hace? Asegurate que ningún programa está accediendo a Internet. Si no sabes cual, malo. En este punto puedes hacer lo que dice #2 y #6.
Si ha dejado de parpadear, puedes estar tranquilo (un día más).
#17:
OLA SOI UN JUANKER-HOYGAN ARJENTINO CON 3 DATACENTERS EN IRACK MANEJADOS POR BIN LADEN, SI NO ENVIAS ESTE MAIL A 5000 CONTACTOS DE MESENJER EN 2 MINUTOS Y MEDIO, TE JUANKEARE HASTA LA MUERTE.
#1 Habitualmente, esta gente se suele aprovechar de máquinas que carecen de unos mínimos de mantenimiento. Suelen ser o bien ordenadores personales que están todo el día (...semana o mes) tirando de la mula o bien servidores cuyos administradores no tienen ni pajolera idea (hablando rápido y claro) de gestión de servicios.
Existen medidas de seguridad básicas mediante las cuales se dificulta enormemente el acceso a una máquina por parte de personas no autorizadas. La primera, y más elemental, es utilizar un buen sistema de permisos (el de Windows no es "buen", pero tampoco lo utiliza nadie, cosa que está muy mal hecha). Mediante el sistema de permisos te aseguras prácticamente de que nadie instala software malicioso ni scripts en la máquina. Lógicamente, el sistema de permisos debe ir acompañado de un buen repertorio de contraseñas (mayúsculas, minúsculas, números y caracteres). Utilizar como contraseña no ya tu nombre o el de tu empresa o ciudad, sino cualquier puta palabra que tenga sentido, es un error garrafal que comete todo dios. Normalmente, los ataques por fuerza bruta (probar contraseñas y nombres de usuario hasta que haya suerte) suelen llevarlos a cabo mediante scripts que automatizan esta faena, prueban muchas contraseñas por minuto y que utilizan diccionarios para ir probando palabras. Por lo tanto, cualquier palabra que tenga sentido es susceptible de ser crackeada como contraseña. Lo ideal es poner algo como "AhDe/5_3Bd.6", 12 caracteres sin sentido, mayúsculas, minúsculas, números y símbolos intercalados. Con esto nos aseguramos de que JAMÁS, por fuerza bruta, conseguirán petar nuestra contraseña.
Aquí tienes una página que te muestra el tiempo que se tardaría en crackear una máquina mediante ataques automáticos de fuerza bruta, según sea su contraseña, pa que veas: http://www.lockdown.co.uk/?pg=combi&s=articles
Eso en cuanto a contraseñas y usuarios, que ya te digo, es lo más básico y lo que todo administrador (bueno o malo, listo o tonto) debería poner en práctica.
Luego tenemos otras medidas a tomar, como es la gestión de los servicios que estemos utilizando. No tiene sentido tener abiertos puertos o servicios (FTP, SSH, HTTPd, telnet...) que no estamos ofreciendo. De hecho, esta es una manera muy buena de detectar posibles intrusiones, el observar que tenemos activados en nuestra máquina servicios que nosotros no hemos instalado o iniciado. Si ves que tienes algo en marcha que tú no has configurado y que no gastas: desactiva ese servicio. Es una puerta abierta inútilmente. Puertos y servicios abiertos: únicamente los que vayas a gastar.
Para observar qué servicios tienes en activo, puedes utilizar herramientas tipo 'nmap' o revisar los procesos activos (en Windows o en donde sea, eso no importa en absoluto).
Ahora bien, si quieres tener en marcha servicios de transferencia de ficheros (FTP) o web (HTTPd), ahí ya deberías mirarte la documentación del software servidor y configurarlo adecuadamente para evitar ataques o por lo menos ralentizarlos hasta hacerlos desesperantes. Por ejemplo, el caso más sencillo, un servidor FTP, pues sería una buena idea tener en cuenta cuántos usuarios van a conectarse a ese servidor. ¿Tú solo? Bien, entonces configuras "máximo de usuarios: 1" ó 2 o 3, si es que piensas que podrías compartir ese servicio con algún amigo o conocido. No tiene sentido permitir 200 conexiones en un servidor casero que sólo utilizas tú. Ahí ya tienes un agujero (y encima de tipo DoS, que es el que nos ocupa) cerrado También puedes imponer reglas al servicio, de tipo "no quiero más de 3 intentos de conexión fallidos seguidos" (fuerza bruta a tomar por culo) y cosas por el estilo. Como ves, no es difícil si manejas servidores tener un poco de sentido común y configurarlos correctamente. Te ahorrarás estupideces de niños juanker que se basan únicamente en utilizar programitas chorras que explotan las vulnerabilidades básicas.
Servicios de conexión a máquinas remotas, como telnet, sustitúyelos todos por SSH. Utiliza cifrado siempre que puedas y evitarás exponer tus contraseñas y nombres de usuario en redes públicas o WiFi. Conéctate al correo de la universidad o del trabajo por httpS:// en lugar de por http://, utiliza SSL en tus clientes de correo y en lugar de ftp:// utiliza Sftp:// siempre que se pueda. Así ningún niño juanker va a poder olerte las contraseñas en el WiFi mediante un sniffer o juguetes similares.
En cuanto a cómo saber si eres una máquina infectada que está haciendo un DoS o putadas similares... lo que puedes hacer es observar el tráfico que sale de ti. Un primer paso elemental es mirar las lucecitas del router/switch al que te conectas (o módem :P) Si tu ordenador está parado totalmente (encendido pero sin hacer nada, ni eMule ni MSN ni antivirus ni actualizaciones ni nada de nada, sólo Windows en marcha) y en el router/switch parpadea la luz que indica tráfico en tu máquina... evidentemente algo hay en marcha que tú no estás utilizando y que desconoces. –> a mirar procesos, etcétera.
Si te pasa eso y no logras averiguar qué tipo de cosas está haciendo tu ordenador, puedes analizar el tráfico utilizando herramientas como las que utilizan ellos Por ejemplo, 'Wireshark' es brutal y es una aplicación fundamental para el estudio y análisis de cualquier tipo de red. Ahí ya vas a ver exactamente qué tipo de conexiones realiza tu máquina, hacia quien, por qué motivo y en qué momento.
En fin, un tema muy amplio, el de la seguridad en redes, pero que puede ser atajado por cualquier usuario, sea experto o no, con unas normas básicas de sentido común y sin gastar dinero en programas inútiles (véase Panda Antivirus, véase Symantec, etc.).
#1 Puedes comprobar las conexiones a la red que realiza tu sistema con el comando netstat -an (o mejor aún correr un programa que analice tu tráfico, por ejemplo, ethereal) y mirar qué procesos son esos que están conectados a Internet.
Algunas medidas preventivas (en Windows) pueden ser: descargar ejecutables solo de sitios fiables, evitar abrir archivos enviados por mail, mantener el equipo actualizado (instalar los updates), no permitir ejecutar ActiveX, usar contraseñas robustas, etc.
me alegra ver el interés de muchos ususarios de perfil no técnico de menéame por hacer las cosas bien, y me alegra también ver la colaboración de aquellos que tienen algún conocimiento más, que aquí son muchos, por colaborar con ellos.
#1
Método rápido:
Cierra Firefox y todo lo que está conectado a Internet, y mira si la lucecita del puerto tu PC en el router parpadea. ¿Lo hace? Asegurate que ningún programa está accediendo a Internet. Si no sabes cual, malo. En este punto puedes hacer lo que dice #2 y #6.
Si ha dejado de parpadear, puedes estar tranquilo (un día más).
OLA SOI UN JUANKER-HOYGAN ARJENTINO CON 3 DATACENTERS EN IRACK MANEJADOS POR BIN LADEN, SI NO ENVIAS ESTE MAIL A 5000 CONTACTOS DE MESENJER EN 2 MINUTOS Y MEDIO, TE JUANKEARE HASTA LA MUERTE.
Por cierto para los que administreis alguna clase de servidor he hecho un script para denegar cualquier acceso desde una lista de ip con iptables, solo hay que escribirlas en un fichero, sobra decir que las 57 de la lista ya estan en el mio ademas de alguna otra. Es muy sencillo: #!/bin/bash
LISTA="/etc/listaip"
IFACE="eth1"
if [ -f $LISTA ] ; then
for ip in `sort -ru $BANFILE` ; do
iptables -A INPUT -i $IFACE -s $ip -j DROP
done
fi
Y a descartar a golpe de script metiendo las ip en /etc/listaip
Soy una usuaria de perfil no técnico y agradezco la información tan completa que estáis dando a raíz de estos ataques. Dicen que no hay mal que por bien no venga, y esto está sirviendo para que aprendamos muchas cosas. Hace pocos meses recibí un correo de unos de mis contactos, con el ya famoso mensaje de "si quieres saber quién te tiene como no admitido ...", creo recordar que era con messenger.block. Empezaron a salir ventanitas y cosas raras, y me sentó como un tiro. Así que puse a ese contacto como NO ADMITIDO, porque pensé que con eso sería suficiente. Mi contacto es una persona que tiene muchos menos conocimientos sobre la materia que yo, y me temo que haya muchos usuarios así, es decir, gente que se compra un ordenador (con Windows preinstalado), se conecta y navega por Internet, punto y final. Los consejos prácticos como observar el parpadeo del router o modem y cosas así, creo que pueden ser los más efectivos y los que entiende todo el mundo, e informar de todos estos peligros a los usuarios de a pie, es la mejor manera de evitarlos. Eso está en nuestras manos y será mi forma de contraatacar.
Lo mínimo para Windows:
· Un buen antivirus actualizado (como el avast, que es gratuito y te olvidas de tener antivirus con claves piratas)
· Firefox con la extensión No-Script (puede que al principio sea un coñazo pero si activas solo lo que sea de fiar, es muy difícil que se te joda el ordenador)
· Sentido común *
*No instales dándole a siguiente, siguiente, siguiente... LEE lo que instalas (¿desea instalar la barra de nosequé mierda que le ralentizará y joderá el ordenador?).
De la mula, no te fíes de los archivos pequeños .exe .zip .com (normalmente son los que llevan los virus)
Y, bueno, lo que dice #6 es de lo mejorcito que se ha dicho del tema, asi que ya sabes...
Te lo digo yo, que solo con esos sencillos pasos, llevo más de dos años sin pillar un virus (alguno que otro me salió, pero el antivirus se lo pulió) y tengo mi Windows como el primer día (puede que algunos no me crean, pero es verdad)
Por cierto, una de las mejores cosas que podéis hacer es no dejar las contraseñas de los routers por defecto. En particular, los que estéis
en Telefónica, ya que sus routers wi-fi son muy fáciles de descifrar. Si tenéis dudas llamad al servicio técnico y pedid ayuda para cambiar la contraseña. No veáis la cantidad de routers que se ven en el aire con la configuración con la que vienen.
Lo mejor es ir previniendo. No aceptéis cualquier cosa en Messenger (mejor aún, no uséis Messenger, usad Jabber/Gtalk con algún cliente multiprotocolo si necesitáis tener a vuestros contactos de MSN, como el Miranda IM), no bajéis cualquier cosa en la Mula (yo por ejemplo, uso Torrent y solo bajo torrents de sitios en los que confío. La mula ni la uso). Mantened siempre un buen antivirus al día (yo uso NOD32 porque elijo el antivirus de acuerdo a http://www.av-comparatives.org/, pero los antivirus gratuitos también son una buena solución). Pasad un Spyware una vez a la semana. No utilicéis Internet Explorer, utilizad Firefox u Opera en su lugar.
Y sobre todo, utilizad el sentido común: no pongáis vuestros datos en cualquier sitio, no sigáis cadenas de correos (si os gustan los PPS, bajadlos de algún sitio de confianza, o mejor aún, buscad el material original en la web, que seguro lo encontráis), No pinchéis ningún enlace que venga por correo y lleve a formulario, no utilicéis Outlook (usad Thunderbird mejor), no os metáis en sitios de warez, o de pr0n ruso ( es broma), o cualquier sitio sospechoso que abra popups a saco, utilizad programas libres siempre que tengáis la alternativa (por ejemplo: no uséis un Nero creackeado quien sabe por quien, usad el InfraRecorder, o el CDBurnerXP, etc.). Con un poco de sentido común no os meteréis en problemas y mantendréis vuestra máquina en buena forma y libre de virus.
Y sobre todo, usando soft libre evitaréis tener que tratar con crack y warez y tener que hacer virguerías que no comprendéis con vuestros sistemas.
Un buen sitio para empezar es este: http://www.cdlibre.org/
Por último, os recuerdo un método para crear contraseñas seguras y fáciles de recordar que escribí hace tiempo ya: http://patatas.damianvila.com/2006/04/04/mini-tutorial-de-contrasenas-seguras/
Pregunta de un inexperto para los que sepan responderme: Según he podido enterarme con mis escasos conocimientos de esta historia, parece que los hackers de los cojones controlan maquinas infectadas sin que sus dueños se den cuenta. ¿Cualquiera de los usuarios habituales de meneame podríamos estar infectados y estar nuestro ordenador participando involuntariamente? ¿Qué podemos hacer? Yo tengo mi antivirus + firewall en regla y no detecta nada, pero me acojona.
#23 contraatacar no es la solución en este caso. Estaría bien (o sería divertido :P) si fueras a atacar al que ha causado todo el daño, pero me temo que todos los servidores que están involucrados son máquinas zombies, así que estarías jodiendo a gente que no tiene nada que ver y tumbando servidores que quizá alguien necesite.
Además, cabe esperar que alguien que lleva a cabo un ataque conozca las vulnerabilidades que está explotando y por tanto sea un tipo prevenido. Seguro que no puedes hacerle lo mismo a él o que, si se lo haces, resulte inútil
#3 Si es 84.xxx.xxx.xxx si, tienes un virus, pero no te preocupes, se llama ONO y lo único que hace es joderte las descargas y el bolsillo, pero no hace ataques a meneame.
#6 "Lo ideal es poner algo como "AhDe/5_3Bd.6", 12 caracteres sin sentido, mayúsculas, minúsculas, números y símbolos intercalados."
Esos 12 caracteres sólo dan como mucho ln(24+24+10+32)/ln(2)*12 = 78 bits de longitud de contraseña.
Lo realmente ideal, es una de dos:
1.- si vamos a apuntar la contraseña (y seguramente copiar+pegar), usar 128 bits aleatorios: B2eWpAHIdxCzcbvutPLomn (128/ln(58)*ln(2)=21.8 caracteres)
2.- si vamos a recordar la contraseña, usar 64 bits (14 letras) fácilmente pronunciables pero sin mucho sentido: piriputiplampo, meneaquelalani, rascamelacompadreja, etc. (64/ln(24)*ln(2)=13.9 caracteres)
yo lo sigo viendo claro: no darles publicidad (que es lo que quieren, para que sus próximas víctimas se crean sus amenazas), sino lo que tratan de evitar (difundir al máximo cómo estafan con mentira esa de que pueden saber quien te ha desagregado del Messenger). Yo incluso llamaría a la Poli.
#43 Ihtilwen: me refiero a los usuarios que no tienen ni idea y que usan la mula "para bajarse programas". Obviamente que un usuario con un mínimo de conocimientos no tiene porqué privarse de nada. Pero son lamentablemente los usuarios con escasos conocimientos los que contribuyen a la propagación de virus y troyanos. En el tiempo que usé la mula me sorprendió la cantidad de gente que ni siquiera marca los ficheros problemáticos como "bug". Por otro lado, para ciertos usos, la mula es la mejor, sino la única, opción. Pero siempre hay que ir con cuidado y saber lo que se hace. Los problemas suelen venir casi siempre por la ignorancia.
supongo que habreis mandando un mail (al mail de whois) a los administradores de los servidores que estan haciendo el DDoS porque si etan infectados y no lo saben, tp les hara gracia cuando les llegue una factura por trafico por un pico, o que vean que tienen un "buen servidor" contratado y que va a pedales, vamos digo yo no?
#6 Gracias por la magnífica lección que acabas de dar, yo soy de esos que no tienen ni pajolera idea, no ya administrado, sino usuario y punto. Yo personalmente tengo cerrados todos los puertos de la mula en el router y activado el firewall de panda con lo que viene por defecto. Pero voy descargar a 'Wireshark' para ver lo que tú dices, qué es lo que está haciendo mi PC. He buscado en Google y la web parece ser esta: http://www.wireshark.org/
Así que voy a ello. Un saludo y gracias.
#6, a tu apunte sólo añadir que si puedes usar claves basadas en cifrado asimétrico para la autentificación de usuarios (RSA, DSA, El Gamal y amigos), mejor todavía.
Además, si a alguien le entran ganas de dejar de gastarse un pastón en antivirus, le recomiendo probar el clamwin (entre otros puntos fuertes, el más importante es que es código libre): http://es.clamwin.com/
Y finalmente otro consejo más, evitar dentro de lo posible usar vuestras contraseñas en terminales públicos (especialmente de cibercafés y similares), pues suelen ser nidos de keyloggers.
#23, Esa idea se descartó hace tiempo. Entre otras cosas por ser ilegal y porque así te arriegas a ser denunciado.
#24, cualquiera puede tener una versión vulnerable si no actualiza con frecuencia. Hace poco una IP extraña entró buscando foros en mi web, (y otra intentó hacerme una inyección SQL en mi blog). Lo que hecho en falta es un sistema automatizado para denunciar estas cosas que permitan cortar los problemas desde la raiz (es decir, desde el propio ISP).
#32, los lerdos son los script-kiddies, los crackers en algunos aspectos pueden llegar hasta a ser buena gente, o crees que los parches para poder jugar sin CD se llaman cracks por que sí , los hay buenos y malos. Script-kiddies todos son malos.
#34, Grupo de crios se reúne, vamos a tirar meneame, descargan el programa lo activan y listo (de hecho por lo que comentan si los ataques son desde servidores vulnerables es añun más probable que haya sido así).
#38, yo uso sshdfilter y me va genial, te recomiendo probarlo
#44, software vulnerable hay en todos los sitios, tanto en Windows como en Linux, otra cosa es el nivel donde está la vulnerabilidad y el número de ellas. Una vulnerabilidad a nivel de script php (cómo las que se están usando), es mucho menos peligrosa que una a nivel de kernel. De todas formas, la principal causa de eso es que los webmasters no han actualizado los scripts php y permanecen con versiones obsoletas (por lo general).
#45, en primer lugar no es ni el momento ni el lugar, aunque si quieres despotricar de windows, veo tu imposibilidad de hacer un DOS con mi en la campus party el servidor de Direct Connect con Linux no soporto la carga y con windows sí. Por favor, piensa antes de pulsar a enviar un poco en lo que has escrito, y sí, hay muchos zombies por ahí usando windows aunque no lo parezca.
#46, Si el ataque hubiera venido de Windows sería temible porque son más y generalmente saben menos. Y creeme 100000 luser son más peligrosos que 100 servers linux
#53, ¿entonces, contra quién dirgiremos nuestro odio y furía asesina? (Este comentario va con una mezcla de broma e ironía no lo tomési a mal)
#54, lo malo es que a algunos ISPs ni siquiera les funciona la dirección de correo para notificar abusos.
#59, si mal no recuerdo mientras no se asocie a una persona física creo que sí.
#61, depende de a que vaya destinada la contraseña y de las limitaciones del sistema (no es la primera vez que las veo limitada a 20 carácteres. De todas formas, no estamos hablando de passfrases para cifrado con 128 o 64 bits, si no de autentificación mediante contraseña. (aunque si me estoy equivocando en eso siéntete libre de corregirme).
De todas formas para copypaste prefiero la autentificación basada en clave privada y clave pública cifrando la clave privada con un sistema simétrico basado en frase de paso (Que una frase de 10 palabras cumple sobrada con tus requisitos), y además requiere que el atacante obtenga el fichero con la clave pública en primera instancia.
En principio antivirus actualizado y pasado con frecuencia, y un firewall puede ser suficiente, aunque puede haber otros parámetros como tener un punto de acceso abierto, o con protección débil (WEP). OJO con esto, porque un punto de acceso con WEP se revienta rápidamente.
Sin embargo la mayoría de las máquinas secuestradas carecen de lo más elemental. Ya sabéis la máxima de "Si estoy un poco más protegido que el resto, es probable que a mí no me ataquen"
Arg! hay que seguir insistiendo. Son crackers, no hackers.
Hacker: Persona con mucho interes en una materia, la palabra surge a raiz de los interesados en las computadoras, pero se puede extender a campos muy diversos. Hacker es parecido a "cacharreador".
Cracker: Persona que utiliza una computadora con propositos malvados. Su nombre viene a ser algo como "reventador" ya que viene de la onomatopeya "crack" de romper cosas.
#45 "No tiene la suficiente potencia"...
No tengo muy claro a que te refieres, pero vamos, para hacer lo que han hecho poco importa que sea windows o linux el servidor. No entiendo, lo del autoDDOS tampoco, ¿quieres decir que se bloquearían los servidores haciendo peticiones a otros servidores porque no tienen la suficiente potencia? ¿Es eso? A mi no me parece muy creíble, pero bueno...
#33 el problema es de los copia pega que se hacen por internet... Ese script que ha puesto nuestro amigo pecholata, no lo ha escrito él y sin embargo quiere llevarse todo el mérito... Seguro que sabe hacerlo, no digo que no, pero odio la gente que hace copypaste de algo que ha hecho otra persona y quiere llevarse todo el mérito. El script ése es de un tal nacx más info en google: http://www.google.com/search?client=opera&rls=en&q=%22for+ip+in+%60sort+-ru+$BANFILE%60+%3B+do%22&sourceid=opera&ie=utf-8&oe=utf-8 pecholata, hay que ser más humilde.
Uno de los ataques viene de EEUU, de una supuesta "Layered Technologies Inc". (72.232.12.234) y el otro de Eslovaquia, (hice un whois a las IP). Pero lo peor la IP que dabais ayer (81.41.104.34) viene de la red interna de Telefónica. Exactamente de los Administradores de Telefónica. Es decir si lo de los crackers es cierto, que no dudo que lo sea, han entrado en la red interna de Telefónica y controlar algunos de sus ordenadores, lo cual me parece bastante peligroso.
phpbb es un sistema de foros basado en php y muy extendido. Entonces los que están llevando a cabo el ataque son servidores que tienen instalado un foro phpbb.
Y supongo que los servidores afectados serán de particulares que se hayan montado un servidor casero sin mucha idea, no? Es decir, yo tengo un foro phpbb en un hosting de pago, puede mi foro estar realizando el ataque? Porque si lo está haciendo supongo que en mi caso poco podré hacer, no?
o sólo estoy diciendo tonterías? espero que no ^^'
Me tocan las narices la gente como esta, q se encarga de tocar los Webos...
si tan moscas estan que hagan algo con su vida sin molestar WEB´s como estas
Animo al Equipo de meneame q Hacen un Gran Trabajo con esta Web Gracias a Vosotros me entero de las Noticias desde Inglaterra...
El 99% de los atacantes, es decir, los 4 que he verificado corren Guindows y se puede acceder por RDP (rdesktop), esto es: se les puede haber reventado la password y tirando... que es posible. Viavé.
#14 hombre yo creo que gente capaz de mover tanto ancho no es para tomarsela tan a coña, que es precisamente lo que les paso a los de genbeta cuando recibieron el correo por mucho de hoygan que pareciera. meneame y genbeta pueden parecer muy grandes en españa, pero internet es el mundo entero y en esta escala creo que no son quien para reirse de nadie. Aun asi parece que la gente de meneame tiene la cabeza mas amueblada y han demostrado tomarse las cosas mas en serio y en definitiva ser mas serios. La pregunta es si la guardia civil o lo que sea sera capaz de enmarronarlos como se merecen o se quedara la cosa en una "anecdota"
#5 O no tan rápidamente. Depende del tráfico que genere ese punto de acceso, si está siempre un tío conectado y solo se conecta/desconecta un par de veces al día por ejemplo, el parametro inmediatamente viene a ser un poco extenso.
Después de leer todo lo que sabeis bastantes por aquí, y sabiendo que esta web es de un profesor de informática ¿quién ha sido el iluminado que se le ha ocurrido hacerlo? (que no se lo que es un ataque dedos).
A mi me daría miedo si me pillan luego encender cualquier ordenador del mundo por si me estalla la pantalla en la cabeza.
¿Estais seguros que es una campaña localizada y no globlal?
En este preciso momento estoy sufriendo un ataque. Mi pobre router adsl soporta varios dominios y estoy recibiendo masivas peticiones en el puerto 22 (sshd) que amenazan con tirar al pobre woody que hay detras.
CheckitOut
recomiendo la instalación de Spybot - Search & Destroy, un programa que revisa el sistema an busca de espías que sin enterarse se acomodan en el ordenador http://www.spybot.info/es/spybotsd/index.html
Me alegra que a raíz de esto haya gente como #8 que se toma más en serio la seguridad pero creo que nos estamos acongojando un poco así que, calma, tampoco hace falta ir a los extremos de la paranoia, no creo que nadie de aquí esté implicado en esto.
Lo más fácil, lo que dice #7, lo más eficaz lo que dice #6 pero si las luces no parpadean puedes estar tranquilo.
Vuelvo a insistir, por última vez
además de un buen antivirus y und buen firewall, hay que protegerse tambien de los espías
por eso www.spybot.info/es/spybotsd/index.html
CheckitOut
#2 Ya que lo habéis mencionado... ¿alguien tiene algún manual del Wireshark? Me interesa comprobar de vez en cuando las conexiones que se realiza en mi máquina (la tengo bastante limpia y tal, pero nunca se sabe)
Una opción para evitarlo podría ser deshabilitar HTTP 1.1 en el servidor. Esto obliga a establecer una nueva conexión TCP/IP por cada petición HTTP y probablemente el/los router intermedios capen automáticamente un número excesivo de conexiones TCP SYNC.
#45 el problema es que para un ataque DDoS no se usa un windows, sino que se usan decenas, cientos o miles de windows, dependiendo del rencor del atacante (y su intención de joder más o menos).
Como ya he dicho, es un método rápido. Si falla, entonces, como también he dicho ya, se aplica lo que tú dices. También supongo que a la mayoría de la gente le bastará comprobar la lucecita del router salvo en casos puntuales que un programa se esté actualizando de forma oculta al usuario.
#1: No son los "hackers de los cojones", sino los "crackers de los cojones".
No es lo mismo. Un hacker es alguien que conoce muy bién el medio, sabe utilizarlo incluso para cosas para las que no ha sido pensado y gusta de descubrir errores que puedan (o no) ser utilizados maliciosamente; pero sigue un estricto código ético y no usa sus conocimientos para hacer daño a nadie sino más bien al contrario: Siempre que descubren un fallo lo comunican immediatamente al afectado para que pueda corregirlo o, por lo menos, defenderse de posibles ataques.
Los que se dedican a aprovechar los errores para hacer vandalismo, normalmente no son grandes conocedores del medio, sino simples lerdos descarga-cracks que gustan de autodenominarse hackers, como los periodistoides de A3 que se dedican a hacer vandalismo en la wikipedia:
Primero muchas gracias a todos por lo escrito, es util! Y segundo, una duda, yo uso www.keylanroute.com y www.ip2location.com para saber donde está una IP, ahora la pregunta es, en caso de que estos sitios sean fiables, porque keylanriute me dice que la 72 viene de UK e ip2location de USA? Los dos coinciden con que la 82 es de Eslovaquia. A estas páginas las he provado con IPs que conozco y arrojaron resultados aceptables... Desde ya, muchas gracias!
#7 no creo que sea un metodo muy apropiado, simplemente piensa en la cantidad de programas que se conectan por si solos a internet para realizar comprobaciones de actualizaciones de software, etc. Como bien dicen por ahi lo mejor es mirar cada conexion y proceso por separado y ver que es lo que esta haciendo.
#32 vale, pero esa gente no pasa de bajarse un programita y dale unos cuantos clicks, no creo que cualquiera controle la estructura suficiente para tumbar un servidor y no me extrañaria que detras de tanta tonteria de hoygan haya algo mas serio incluso mas cercano a estas webs de lo que se creen
#44 fíjate tú que ironías... Windows no sirve ni para hacer ataques DDOS... ¿Por qué? porque no tiene la potencia suficiente... Intentarías hacer un DDOS con windows y al final sería como hacerse un autoddos, vamos onanismo windowsero...
Comentarios
#1 Habitualmente, esta gente se suele aprovechar de máquinas que carecen de unos mínimos de mantenimiento. Suelen ser o bien ordenadores personales que están todo el día (...semana o mes) tirando de la mula o bien servidores cuyos administradores no tienen ni pajolera idea (hablando rápido y claro) de gestión de servicios.
Existen medidas de seguridad básicas mediante las cuales se dificulta enormemente el acceso a una máquina por parte de personas no autorizadas. La primera, y más elemental, es utilizar un buen sistema de permisos (el de Windows no es "buen", pero tampoco lo utiliza nadie, cosa que está muy mal hecha). Mediante el sistema de permisos te aseguras prácticamente de que nadie instala software malicioso ni scripts en la máquina. Lógicamente, el sistema de permisos debe ir acompañado de un buen repertorio de contraseñas (mayúsculas, minúsculas, números y caracteres). Utilizar como contraseña no ya tu nombre o el de tu empresa o ciudad, sino cualquier puta palabra que tenga sentido, es un error garrafal que comete todo dios. Normalmente, los ataques por fuerza bruta (probar contraseñas y nombres de usuario hasta que haya suerte) suelen llevarlos a cabo mediante scripts que automatizan esta faena, prueban muchas contraseñas por minuto y que utilizan diccionarios para ir probando palabras. Por lo tanto, cualquier palabra que tenga sentido es susceptible de ser crackeada como contraseña. Lo ideal es poner algo como "AhDe/5_3Bd.6", 12 caracteres sin sentido, mayúsculas, minúsculas, números y símbolos intercalados. Con esto nos aseguramos de que JAMÁS, por fuerza bruta, conseguirán petar nuestra contraseña.
Aquí tienes una página que te muestra el tiempo que se tardaría en crackear una máquina mediante ataques automáticos de fuerza bruta, según sea su contraseña, pa que veas: http://www.lockdown.co.uk/?pg=combi&s=articles
Eso en cuanto a contraseñas y usuarios, que ya te digo, es lo más básico y lo que todo administrador (bueno o malo, listo o tonto) debería poner en práctica.
Luego tenemos otras medidas a tomar, como es la gestión de los servicios que estemos utilizando. No tiene sentido tener abiertos puertos o servicios (FTP, SSH, HTTPd, telnet...) que no estamos ofreciendo. De hecho, esta es una manera muy buena de detectar posibles intrusiones, el observar que tenemos activados en nuestra máquina servicios que nosotros no hemos instalado o iniciado. Si ves que tienes algo en marcha que tú no has configurado y que no gastas: desactiva ese servicio. Es una puerta abierta inútilmente. Puertos y servicios abiertos: únicamente los que vayas a gastar.
Para observar qué servicios tienes en activo, puedes utilizar herramientas tipo 'nmap' o revisar los procesos activos (en Windows o en donde sea, eso no importa en absoluto).
Ahora bien, si quieres tener en marcha servicios de transferencia de ficheros (FTP) o web (HTTPd), ahí ya deberías mirarte la documentación del software servidor y configurarlo adecuadamente para evitar ataques o por lo menos ralentizarlos hasta hacerlos desesperantes. Por ejemplo, el caso más sencillo, un servidor FTP, pues sería una buena idea tener en cuenta cuántos usuarios van a conectarse a ese servidor. ¿Tú solo? Bien, entonces configuras "máximo de usuarios: 1" ó 2 o 3, si es que piensas que podrías compartir ese servicio con algún amigo o conocido. No tiene sentido permitir 200 conexiones en un servidor casero que sólo utilizas tú. Ahí ya tienes un agujero (y encima de tipo DoS, que es el que nos ocupa) cerrado También puedes imponer reglas al servicio, de tipo "no quiero más de 3 intentos de conexión fallidos seguidos" (fuerza bruta a tomar por culo) y cosas por el estilo. Como ves, no es difícil si manejas servidores tener un poco de sentido común y configurarlos correctamente. Te ahorrarás estupideces de niños juanker que se basan únicamente en utilizar programitas chorras que explotan las vulnerabilidades básicas.
Servicios de conexión a máquinas remotas, como telnet, sustitúyelos todos por SSH. Utiliza cifrado siempre que puedas y evitarás exponer tus contraseñas y nombres de usuario en redes públicas o WiFi. Conéctate al correo de la universidad o del trabajo por httpS:// en lugar de por http://, utiliza SSL en tus clientes de correo y en lugar de ftp:// utiliza Sftp:// siempre que se pueda. Así ningún niño juanker va a poder olerte las contraseñas en el WiFi mediante un sniffer o juguetes similares.
En cuanto a cómo saber si eres una máquina infectada que está haciendo un DoS o putadas similares... lo que puedes hacer es observar el tráfico que sale de ti. Un primer paso elemental es mirar las lucecitas del router/switch al que te conectas (o módem :P) Si tu ordenador está parado totalmente (encendido pero sin hacer nada, ni eMule ni MSN ni antivirus ni actualizaciones ni nada de nada, sólo Windows en marcha) y en el router/switch parpadea la luz que indica tráfico en tu máquina... evidentemente algo hay en marcha que tú no estás utilizando y que desconoces. –> a mirar procesos, etcétera.
Si te pasa eso y no logras averiguar qué tipo de cosas está haciendo tu ordenador, puedes analizar el tráfico utilizando herramientas como las que utilizan ellos Por ejemplo, 'Wireshark' es brutal y es una aplicación fundamental para el estudio y análisis de cualquier tipo de red. Ahí ya vas a ver exactamente qué tipo de conexiones realiza tu máquina, hacia quien, por qué motivo y en qué momento.
En fin, un tema muy amplio, el de la seguridad en redes, pero que puede ser atajado por cualquier usuario, sea experto o no, con unas normas básicas de sentido común y sin gastar dinero en programas inútiles (véase Panda Antivirus, véase Symantec, etc.).
Saludos!
#1 Puedes comprobar las conexiones a la red que realiza tu sistema con el comando netstat -an (o mejor aún correr un programa que analice tu tráfico, por ejemplo, ethereal) y mirar qué procesos son esos que están conectados a Internet.
Algunas medidas preventivas (en Windows) pueden ser: descargar ejecutables solo de sitios fiables, evitar abrir archivos enviados por mail, mantener el equipo actualizado (instalar los updates), no permitir ejecutar ActiveX, usar contraseñas robustas, etc.
#1 No son hackers http://es.wikipedia.org/wiki/Hacker , son crackers http://es.wikipedia.org/wiki/Cracker o sencillamente delincuentes, aunque para mí que no pasan de script-kiddies http://es.wikipedia.org/wiki/Script_Kiddie .
Un hacker es Richard Stallman, y otro Linus Torvalds, y estos no se dedican a reventar el ordenador de nadie.
me alegra ver el interés de muchos ususarios de perfil no técnico de menéame por hacer las cosas bien, y me alegra también ver la colaboración de aquellos que tienen algún conocimiento más, que aquí son muchos, por colaborar con ellos.
#1
Método rápido:
Cierra Firefox y todo lo que está conectado a Internet, y mira si la lucecita del puerto tu PC en el router parpadea. ¿Lo hace? Asegurate que ningún programa está accediendo a Internet. Si no sabes cual, malo. En este punto puedes hacer lo que dice #2 y #6.
Si ha dejado de parpadear, puedes estar tranquilo (un día más).
OLA SOI UN JUANKER-HOYGAN ARJENTINO CON 3 DATACENTERS EN IRACK MANEJADOS POR BIN LADEN, SI NO ENVIAS ESTE MAIL A 5000 CONTACTOS DE MESENJER EN 2 MINUTOS Y MEDIO, TE JUANKEARE HASTA LA MUERTE.
Por cierto para los que administreis alguna clase de servidor he hecho un script para denegar cualquier acceso desde una lista de ip con iptables, solo hay que escribirlas en un fichero, sobra decir que las 57 de la lista ya estan en el mio ademas de alguna otra. Es muy sencillo:
#!/bin/bash
LISTA="/etc/listaip"
IFACE="eth1"
if [ -f $LISTA ] ; then
for ip in `sort -ru $BANFILE` ; do
iptables -A INPUT -i $IFACE -s $ip -j DROP
done
fi
Y a descartar a golpe de script metiendo las ip en /etc/listaip
#1 Según la actualización de ayer, no es un ataque con botnets sino con servidores con PHPBB y Joomla infectados.
#4 Como las millones de telefónica que hay en este país!
Soy una usuaria de perfil no técnico y agradezco la información tan completa que estáis dando a raíz de estos ataques. Dicen que no hay mal que por bien no venga, y esto está sirviendo para que aprendamos muchas cosas. Hace pocos meses recibí un correo de unos de mis contactos, con el ya famoso mensaje de "si quieres saber quién te tiene como no admitido ...", creo recordar que era con messenger.block. Empezaron a salir ventanitas y cosas raras, y me sentó como un tiro. Así que puse a ese contacto como NO ADMITIDO, porque pensé que con eso sería suficiente. Mi contacto es una persona que tiene muchos menos conocimientos sobre la materia que yo, y me temo que haya muchos usuarios así, es decir, gente que se compra un ordenador (con Windows preinstalado), se conecta y navega por Internet, punto y final. Los consejos prácticos como observar el parpadeo del router o modem y cosas así, creo que pueden ser los más efectivos y los que entiende todo el mundo, e informar de todos estos peligros a los usuarios de a pie, es la mejor manera de evitarlos. Eso está en nuestras manos y será mi forma de contraatacar.
Lo mínimo para Windows:
· Un buen antivirus actualizado (como el avast, que es gratuito y te olvidas de tener antivirus con claves piratas)
· Firefox con la extensión No-Script (puede que al principio sea un coñazo pero si activas solo lo que sea de fiar, es muy difícil que se te joda el ordenador)
· Sentido común *
*No instales dándole a siguiente, siguiente, siguiente... LEE lo que instalas (¿desea instalar la barra de nosequé mierda que le ralentizará y joderá el ordenador?).
De la mula, no te fíes de los archivos pequeños .exe .zip .com (normalmente son los que llevan los virus)
Y, bueno, lo que dice #6 es de lo mejorcito que se ha dicho del tema, asi que ya sabes...
Te lo digo yo, que solo con esos sencillos pasos, llevo más de dos años sin pillar un virus (alguno que otro me salió, pero el antivirus se lo pulió) y tengo mi Windows como el primer día (puede que algunos no me crean, pero es verdad)
Por cierto, una de las mejores cosas que podéis hacer es no dejar las contraseñas de los routers por defecto. En particular, los que estéis
en Telefónica, ya que sus routers wi-fi son muy fáciles de descifrar. Si tenéis dudas llamad al servicio técnico y pedid ayuda para cambiar la contraseña. No veáis la cantidad de routers que se ven en el aire con la configuración con la que vienen.
Lo mejor es ir previniendo. No aceptéis cualquier cosa en Messenger (mejor aún, no uséis Messenger, usad Jabber/Gtalk con algún cliente multiprotocolo si necesitáis tener a vuestros contactos de MSN, como el Miranda IM), no bajéis cualquier cosa en la Mula (yo por ejemplo, uso Torrent y solo bajo torrents de sitios en los que confío. La mula ni la uso). Mantened siempre un buen antivirus al día (yo uso NOD32 porque elijo el antivirus de acuerdo a http://www.av-comparatives.org/, pero los antivirus gratuitos también son una buena solución). Pasad un Spyware una vez a la semana. No utilicéis Internet Explorer, utilizad Firefox u Opera en su lugar.
Y sobre todo, utilizad el sentido común: no pongáis vuestros datos en cualquier sitio, no sigáis cadenas de correos (si os gustan los PPS, bajadlos de algún sitio de confianza, o mejor aún, buscad el material original en la web, que seguro lo encontráis), No pinchéis ningún enlace que venga por correo y lleve a formulario, no utilicéis Outlook (usad Thunderbird mejor), no os metáis en sitios de warez, o de pr0n ruso ( es broma), o cualquier sitio sospechoso que abra popups a saco, utilizad programas libres siempre que tengáis la alternativa (por ejemplo: no uséis un Nero creackeado quien sabe por quien, usad el InfraRecorder, o el CDBurnerXP, etc.). Con un poco de sentido común no os meteréis en problemas y mantendréis vuestra máquina en buena forma y libre de virus.
Y sobre todo, usando soft libre evitaréis tener que tratar con crack y warez y tener que hacer virguerías que no comprendéis con vuestros sistemas.
Un buen sitio para empezar es este: http://www.cdlibre.org/
Por último, os recuerdo un método para crear contraseñas seguras y fáciles de recordar que escribí hace tiempo ya: http://patatas.damianvila.com/2006/04/04/mini-tutorial-de-contrasenas-seguras/
#6 no te voto más positivo pq no me deja. Gracias por tu aportación.
Pregunta de un inexperto para los que sepan responderme: Según he podido enterarme con mis escasos conocimientos de esta historia, parece que los hackers de los cojones controlan maquinas infectadas sin que sus dueños se den cuenta. ¿Cualquiera de los usuarios habituales de meneame podríamos estar infectados y estar nuestro ordenador participando involuntariamente? ¿Qué podemos hacer? Yo tengo mi antivirus + firewall en regla y no detecta nada, pero me acojona.
#23 contraatacar no es la solución en este caso. Estaría bien (o sería divertido :P) si fueras a atacar al que ha causado todo el daño, pero me temo que todos los servidores que están involucrados son máquinas zombies, así que estarías jodiendo a gente que no tiene nada que ver y tumbando servidores que quizá alguien necesite.
Además, cabe esperar que alguien que lleva a cabo un ataque conozca las vulnerabilidades que está explotando y por tanto sea un tipo prevenido. Seguro que no puedes hacerle lo mismo a él o que, si se lo haces, resulte inútil
#45 "Windows no tiene potencia para hacer ataques DDoS"?? ehm... quieres que lo comprobemos?
es la tonteria mas grande que he leido hoy. sin acritud
#3 Si es 84.xxx.xxx.xxx si, tienes un virus, pero no te preocupes, se llama ONO y lo único que hace es joderte las descargas y el bolsillo, pero no hace ataques a meneame.
#6 "Lo ideal es poner algo como "AhDe/5_3Bd.6", 12 caracteres sin sentido, mayúsculas, minúsculas, números y símbolos intercalados."
Esos 12 caracteres sólo dan como mucho ln(24+24+10+32)/ln(2)*12 = 78 bits de longitud de contraseña.
Lo realmente ideal, es una de dos:
1.- si vamos a apuntar la contraseña (y seguramente copiar+pegar), usar 128 bits aleatorios: B2eWpAHIdxCzcbvutPLomn (128/ln(58)*ln(2)=21.8 caracteres)
2.- si vamos a recordar la contraseña, usar 64 bits (14 letras) fácilmente pronunciables pero sin mucho sentido: piriputiplampo, meneaquelalani, rascamelacompadreja, etc. (64/ln(24)*ln(2)=13.9 caracteres)
En la línea de mi comentario #52 en Otro ataque DDoS
Otro ataque DDoS
error500.netO sea que todos a difundir links como http://www.genbeta.com/2007/12/01-como-funcionan-los-servicios-que-te-dicen-quien-te-ha-bloqueado-en-el-msn
o cualquier otro que les dé donde les duele.
#43 Ihtilwen: me refiero a los usuarios que no tienen ni idea y que usan la mula "para bajarse programas". Obviamente que un usuario con un mínimo de conocimientos no tiene porqué privarse de nada. Pero son lamentablemente los usuarios con escasos conocimientos los que contribuyen a la propagación de virus y troyanos. En el tiempo que usé la mula me sorprendió la cantidad de gente que ni siquiera marca los ficheros problemáticos como "bug". Por otro lado, para ciertos usos, la mula es la mejor, sino la única, opción. Pero siempre hay que ir con cuidado y saber lo que se hace. Los problemas suelen venir casi siempre por la ignorancia.
supongo que habreis mandando un mail (al mail de whois) a los administradores de los servidores que estan haciendo el DDoS porque si etan infectados y no lo saben, tp les hara gracia cuando les llegue una factura por trafico por un pico, o que vean que tienen un "buen servidor" contratado y que va a pedales, vamos digo yo no?
#44 Es que si el ataque hubiera vendido de servidores con Windows ni nos habríamos enterado
#6 Gracias por la magnífica lección que acabas de dar, yo soy de esos que no tienen ni pajolera idea, no ya administrado, sino usuario y punto. Yo personalmente tengo cerrados todos los puertos de la mula en el router y activado el firewall de panda con lo que viene por defecto. Pero voy descargar a 'Wireshark' para ver lo que tú dices, qué es lo que está haciendo mi PC. He buscado en Google y la web parece ser esta: http://www.wireshark.org/
Así que voy a ello. Un saludo y gracias.
#6, a tu apunte sólo añadir que si puedes usar claves basadas en cifrado asimétrico para la autentificación de usuarios (RSA, DSA, El Gamal y amigos), mejor todavía.
Además, si a alguien le entran ganas de dejar de gastarse un pastón en antivirus, le recomiendo probar el clamwin (entre otros puntos fuertes, el más importante es que es código libre): http://es.clamwin.com/
Y finalmente otro consejo más, evitar dentro de lo posible usar vuestras contraseñas en terminales públicos (especialmente de cibercafés y similares), pues suelen ser nidos de keyloggers.
#23, Esa idea se descartó hace tiempo. Entre otras cosas por ser ilegal y porque así te arriegas a ser denunciado.
#24, cualquiera puede tener una versión vulnerable si no actualiza con frecuencia. Hace poco una IP extraña entró buscando foros en mi web, (y otra intentó hacerme una inyección SQL en mi blog). Lo que hecho en falta es un sistema automatizado para denunciar estas cosas que permitan cortar los problemas desde la raiz (es decir, desde el propio ISP).
#32, los lerdos son los script-kiddies, los crackers en algunos aspectos pueden llegar hasta a ser buena gente, o crees que los parches para poder jugar sin CD se llaman cracks por que sí , los hay buenos y malos. Script-kiddies todos son malos.
#34, Grupo de crios se reúne, vamos a tirar meneame, descargan el programa lo activan y listo (de hecho por lo que comentan si los ataques son desde servidores vulnerables es añun más probable que haya sido así).
#38, yo uso sshdfilter y me va genial, te recomiendo probarlo
#44, software vulnerable hay en todos los sitios, tanto en Windows como en Linux, otra cosa es el nivel donde está la vulnerabilidad y el número de ellas. Una vulnerabilidad a nivel de script php (cómo las que se están usando), es mucho menos peligrosa que una a nivel de kernel. De todas formas, la principal causa de eso es que los webmasters no han actualizado los scripts php y permanecen con versiones obsoletas (por lo general).
#45, en primer lugar no es ni el momento ni el lugar, aunque si quieres despotricar de windows, veo tu imposibilidad de hacer un DOS con mi en la campus party el servidor de Direct Connect con Linux no soporto la carga y con windows sí. Por favor, piensa antes de pulsar a enviar un poco en lo que has escrito, y sí, hay muchos zombies por ahí usando windows aunque no lo parezca.
#46, Si el ataque hubiera venido de Windows sería temible porque son más y generalmente saben menos. Y creeme 100000 luser son más peligrosos que 100 servers linux
#53, ¿entonces, contra quién dirgiremos nuestro odio y furía asesina? (Este comentario va con una mezcla de broma e ironía no lo tomési a mal)
#54, lo malo es que a algunos ISPs ni siquiera les funciona la dirección de correo para notificar abusos.
#58, ese ha sido muy bueno
#59, si mal no recuerdo mientras no se asocie a una persona física creo que sí.
#61, depende de a que vaya destinada la contraseña y de las limitaciones del sistema (no es la primera vez que las veo limitada a 20 carácteres. De todas formas, no estamos hablando de passfrases para cifrado con 128 o 64 bits, si no de autentificación mediante contraseña. (aunque si me estoy equivocando en eso siéntete libre de corregirme).
De todas formas para copypaste prefiero la autentificación basada en clave privada y clave pública cifrando la clave privada con un sistema simétrico basado en frase de paso (Que una frase de 10 palabras cumple sobrada con tus requisitos), y además requiere que el atacante obtenga el fichero con la clave pública en primera instancia.
En principio antivirus actualizado y pasado con frecuencia, y un firewall puede ser suficiente, aunque puede haber otros parámetros como tener un punto de acceso abierto, o con protección débil (WEP). OJO con esto, porque un punto de acceso con WEP se revienta rápidamente.
Sin embargo la mayoría de las máquinas secuestradas carecen de lo más elemental. Ya sabéis la máxima de "Si estoy un poco más protegido que el resto, es probable que a mí no me ataquen"
#30 Asi sin probarlo me temo que ese script no funciona. Hint: LISTA != BANFILE
Arg! hay que seguir insistiendo. Son crackers, no hackers.
Hacker: Persona con mucho interes en una materia, la palabra surge a raiz de los interesados en las computadoras, pero se puede extender a campos muy diversos. Hacker es parecido a "cacharreador".
Cracker: Persona que utiliza una computadora con propositos malvados. Su nombre viene a ser algo como "reventador" ya que viene de la onomatopeya "crack" de romper cosas.
(Mas o menos, se podria especificar mas)
#45 "No tiene la suficiente potencia"...
No tengo muy claro a que te refieres, pero vamos, para hacer lo que han hecho poco importa que sea windows o linux el servidor. No entiendo, lo del autoDDOS tampoco, ¿quieres decir que se bloquearían los servidores haciendo peticiones a otros servidores porque no tienen la suficiente potencia? ¿Es eso? A mi no me parece muy creíble, pero bueno...
#36 o bajéis cualquier cosa en la Mula (yo por ejemplo, uso Torrent y solo bajo torrents de sitios en los que confío. La mula ni la uso
Tampoco hay que ponerse paranoicos con la mula, eso si yo a todos los archivos descargados les paso el antivirus (Clam AV, i AV)
Pregunta: ¿Es legal publicar las IPs de los atacantes?
me he topado con esto:
http://www.linuxsecurity.com/content/view/121960/171/
quizá sirva de algo
#33 el problema es de los copia pega que se hacen por internet... Ese script que ha puesto nuestro amigo pecholata, no lo ha escrito él y sin embargo quiere llevarse todo el mérito... Seguro que sabe hacerlo, no digo que no, pero odio la gente que hace copypaste de algo que ha hecho otra persona y quiere llevarse todo el mérito. El script ése es de un tal nacx más info en google: http://www.google.com/search?client=opera&rls=en&q=%22for+ip+in+%60sort+-ru+$BANFILE%60+%3B+do%22&sourceid=opera&ie=utf-8&oe=utf-8 pecholata, hay que ser más humilde.
#31 Oye, que lo mismo me pasaba a mi.
Uno de los ataques viene de EEUU, de una supuesta "Layered Technologies Inc". (72.232.12.234) y el otro de Eslovaquia, (hice un whois a las IP). Pero lo peor la IP que dabais ayer (81.41.104.34) viene de la red interna de Telefónica. Exactamente de los Administradores de Telefónica. Es decir si lo de los crackers es cierto, que no dudo que lo sea, han entrado en la red interna de Telefónica y controlar algunos de sus ordenadores, lo cual me parece bastante peligroso.
Salu2
#26 En teoría mañana se presentará la demanda.
Gracias Kartoffel
phpbb es un sistema de foros basado en php y muy extendido. Entonces los que están llevando a cabo el ataque son servidores que tienen instalado un foro phpbb.
Y supongo que los servidores afectados serán de particulares que se hayan montado un servidor casero sin mucha idea, no? Es decir, yo tengo un foro phpbb en un hosting de pago, puede mi foro estar realizando el ataque? Porque si lo está haciendo supongo que en mi caso poco podré hacer, no?
o sólo estoy diciendo tonterías? espero que no ^^'
Me tocan las narices la gente como esta, q se encarga de tocar los Webos...
si tan moscas estan que hagan algo con su vida sin molestar WEB´s como estas
Animo al Equipo de meneame q Hacen un Gran Trabajo con esta Web Gracias a Vosotros me entero de las Noticias desde Inglaterra...
El 99% de los atacantes, es decir, los 4 que he verificado corren Guindows y se puede acceder por RDP (rdesktop), esto es: se les puede haber reventado la password y tirando... que es posible. Viavé.
#14 hombre yo creo que gente capaz de mover tanto ancho no es para tomarsela tan a coña, que es precisamente lo que les paso a los de genbeta cuando recibieron el correo por mucho de hoygan que pareciera. meneame y genbeta pueden parecer muy grandes en españa, pero internet es el mundo entero y en esta escala creo que no son quien para reirse de nadie. Aun asi parece que la gente de meneame tiene la cabeza mas amueblada y han demostrado tomarse las cosas mas en serio y en definitiva ser mas serios. La pregunta es si la guardia civil o lo que sea sera capaz de enmarronarlos como se merecen o se quedara la cosa en una "anecdota"
Bueno.... ya se cansarán... ¿A caso no eran ellos los SuperLammers a los que ninguna página se les podía resistir?
#5 O no tan rápidamente. Depende del tráfico que genere ese punto de acceso, si está siempre un tío conectado y solo se conecta/desconecta un par de veces al día por ejemplo, el parametro inmediatamente viene a ser un poco extenso.
Después de leer todo lo que sabeis bastantes por aquí, y sabiendo que esta web es de un profesor de informática ¿quién ha sido el iluminado que se le ha ocurrido hacerlo? (que no se lo que es un ataque dedos).
A mi me daría miedo si me pillan luego encender cualquier ordenador del mundo por si me estalla la pantalla en la cabeza.
#38 Echa un vistazo a los resultados de http://www.google.com/search?q=iptables+recent+ssh para prevenir ataque a sshd.
Y si se saben algunas de las IP's de los equipos de donde viene el ataque, digo yo, ¿no bastaría con bloquear esas IP's con Iptables?
¿Estais seguros que es una campaña localizada y no globlal?
En este preciso momento estoy sufriendo un ataque. Mi pobre router adsl soporta varios dominios y estoy recibiendo masivas peticiones en el puerto 22 (sshd) que amenazan con tirar al pobre woody que hay detras.
CheckitOut
recomiendo la instalación de Spybot - Search & Destroy, un programa que revisa el sistema an busca de espías que sin enterarse se acomodan en el ordenador
http://www.spybot.info/es/spybotsd/index.html
Madre míaa!!5 negativos! ya sé que el chiste es malo... pero no es para atraer tanta ira!!
Me alegra que a raíz de esto haya gente como #8 que se toma más en serio la seguridad pero creo que nos estamos acongojando un poco así que, calma, tampoco hace falta ir a los extremos de la paranoia, no creo que nadie de aquí esté implicado en esto.
Lo más fácil, lo que dice #7, lo más eficaz lo que dice #6 pero si las luces no parpadean puedes estar tranquilo.
P.d: #9 entonces ya tranquilos de todo.
Vuelvo a insistir, por última vez
además de un buen antivirus y und buen firewall, hay que protegerse tambien de los espías
por eso
www.spybot.info/es/spybotsd/index.html
CheckitOut
#61 Jajajaj que bueno. ¡Pero que digo! yo suelo usar frases en inglés mal escrito... mi engrish espanglush
#2 Ya que lo habéis mencionado... ¿alguien tiene algún manual del Wireshark? Me interesa comprobar de vez en cuando las conexiones que se realiza en mi máquina (la tengo bastante limpia y tal, pero nunca se sabe)
Una opción para evitarlo podría ser deshabilitar HTTP 1.1 en el servidor. Esto obliga a establecer una nueva conexión TCP/IP por cada petición HTTP y probablemente el/los router intermedios capen automáticamente un número excesivo de conexiones TCP SYNC.
#45 el problema es que para un ataque DDoS no se usa un windows, sino que se usan decenas, cientos o miles de windows, dependiendo del rencor del atacante (y su intención de joder más o menos).
#67 Naaa, ya he aprendido a manejarme... es muy útil ^_^
Como ya he dicho, es un método rápido. Si falla, entonces, como también he dicho ya, se aplica lo que tú dices. También supongo que a la mayoría de la gente le bastará comprobar la lucecita del router salvo en casos puntuales que un programa se esté actualizando de forma oculta al usuario.
#1: No son los "hackers de los cojones", sino los "crackers de los cojones".
No es lo mismo. Un hacker es alguien que conoce muy bién el medio, sabe utilizarlo incluso para cosas para las que no ha sido pensado y gusta de descubrir errores que puedan (o no) ser utilizados maliciosamente; pero sigue un estricto código ético y no usa sus conocimientos para hacer daño a nadie sino más bien al contrario: Siempre que descubren un fallo lo comunican immediatamente al afectado para que pueda corregirlo o, por lo menos, defenderse de posibles ataques.
Los que se dedican a aprovechar los errores para hacer vandalismo, normalmente no son grandes conocedores del medio, sino simples lerdos descarga-cracks que gustan de autodenominarse hackers, como los periodistoides de A3 que se dedican a hacer vandalismo en la wikipedia:
Antena 3 vandaliza Wikipedia para comprobar la rapidez de los bibliotecarios
Antena 3 vandaliza Wikipedia para comprobar la rap...
youtube.comPero esos en realidad son "crackers" (o "e-lerdos"), no hackers.
Primero muchas gracias a todos por lo escrito, es util! Y segundo, una duda, yo uso www.keylanroute.com y www.ip2location.com para saber donde está una IP, ahora la pregunta es, en caso de que estos sitios sean fiables, porque keylanriute me dice que la 72 viene de UK e ip2location de USA? Los dos coinciden con que la 82 es de Eslovaquia. A estas páginas las he provado con IPs que conozco y arrojaron resultados aceptables... Desde ya, muchas gracias!
#7 no creo que sea un metodo muy apropiado, simplemente piensa en la cantidad de programas que se conectan por si solos a internet para realizar comprobaciones de actualizaciones de software, etc. Como bien dicen por ahi lo mejor es mirar cada conexion y proceso por separado y ver que es lo que esta haciendo.
#42 Pues si, ya me temia algo asi cuando lo vi. En fin tiene que haber gente para todo en esta vida
bueno este el mi humilde aporte
ping!
estuve buscando información por Google que es DDoS y pongo estos links por si os interesa leer
http://es.wikipedia.org/wiki/DDoS
http://www.maestrosdelweb.com/editorial/ddos/
p.d.: no son informaciones sobre como "manejar" el DDos
#32 vale, pero esa gente no pasa de bajarse un programita y dale unos cuantos clicks, no creo que cualquiera controle la estructura suficiente para tumbar un servidor y no me extrañaria que detras de tanta tonteria de hoygan haya algo mas serio incluso mas cercano a estas webs de lo que se creen
¿Contraatacamos?
Tiene gracia que el ataque a meneame (donde la mayoría de sus usuarios van a muerte contra Microsoft) provenga desde servidores Linux con PHP.
Ironías de la vida.
#44 fíjate tú que ironías... Windows no sirve ni para hacer ataques DDOS... ¿Por qué? porque no tiene la potencia suficiente... Intentarías hacer un DDOS con windows y al final sería como hacerse un autoddos, vamos onanismo windowsero...
Lo ideal sería que no mencionaseis más a estos individuos.
#1 Pues mi ip creo que empezaba por 8!!! espero que mi patata de ordenador no esté infectao!!!