Que vienen los rusos !!!
Hacia ya algún tiempo que el Snort no tiraba alertas importantes en mi servidor. Esta vez se trata de un ruso, que en la madrugada del dia 19 ha estado intentando hackearme a través de la inyección de código en php. Estas son las alertas que han casacado:
WEB-PHP xmlrpc.php post attempt
WEB-PHP remote include path
El "hacker" en cuestión usan un SO CentOS. Un rapido escaneo de puertos muestra que se trata de un sistema interesante:
21/tcp open ftp
22/tcp open ssh
80/tcp open http
111/tcp open rpcbind
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
443/tcp open https
445/tcp filtered microsoft-ds
631/tcp open ipp
2000/tcp open callbook
Parece que la maquina en cuestión tiene ftp, ssh, cups y servicios VoIP, además de http y servicios de portmapper, en fin un sistema interesante para ensayar test de penetración ;)
PD: La IP 212.107.194.186 es rusa segun la autoridad Centralops:
inetnum: 212.107.194.176 - 212.107.194.191
netname: SEST-1-VSTN-NET
descr: Self Employed Starinets
descr: Vladivostok, Russia
country: RU
admin-c: DS1083-RIPE
tech-c: DS1083-RIPE
status: ASSIGNED PA
notify: dima@vstn.marine.su
mnt-by: PRIMORYE-NCC-MNT
changed: gav@vmts.ru 20030617
source: RIPE
person: Dmitry Simonchik
address: 36, pr. Komarova str.
address: Vladivostok, 690950
address: Russia
phone: +7 423 242 0576
fax-no: +7 423 240 6029
e-mail: sdv@prim.dsv.ru
nic-hdl: DS1083-RIPE
notify: sdv@prim.dsv.ru
changed: gav@prim.dsv.ru 20040213
mnt-by: PRIMORYE-NCC-MNT
source: RIPE
route: 212.107.192.0/20
descr: VSTN-001
origin: AS12332
mnt-by: PRIMORYE-NCC-MNT
changed: gav@vmts.ru 20030529
source: RIPE
Evidentemente que la Ip puede ser spoofeada, pero hay conexión de ida y retorno, con lo cual esta posibilidad queda bastante descartada. Evidentemente puede tratarse de un sistema pasarela, sistema muy interesante por cierto, si bien según mis conocimientos no pertenece a ninguna red tipo Tor.
Aviso a navegantes:
Si no te gusta lo que lees lo tienes facil, no lo leas, si eres muy listo hazte profesor, pero si eres un ignorante entonces dedicate a descalificar.
Por higiene borro todos los comentarios producto de la incontinencia verbal, así como las boludeces y el spam variado...
WEB-PHP xmlrpc.php post attempt
WEB-PHP remote include path
El "hacker" en cuestión usan un SO CentOS. Un rapido escaneo de puertos muestra que se trata de un sistema interesante:
21/tcp open ftp
22/tcp open ssh
80/tcp open http
111/tcp open rpcbind
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
443/tcp open https
445/tcp filtered microsoft-ds
631/tcp open ipp
2000/tcp open callbook
Parece que la maquina en cuestión tiene ftp, ssh, cups y servicios VoIP, además de http y servicios de portmapper, en fin un sistema interesante para ensayar test de penetración ;)
PD: La IP 212.107.194.186 es rusa segun la autoridad Centralops:
inetnum: 212.107.194.176 - 212.107.194.191
netname: SEST-1-VSTN-NET
descr: Self Employed Starinets
descr: Vladivostok, Russia
country: RU
admin-c: DS1083-RIPE
tech-c: DS1083-RIPE
status: ASSIGNED PA
notify: dima@vstn.marine.su
mnt-by: PRIMORYE-NCC-MNT
changed: gav@vmts.ru 20030617
source: RIPE
person: Dmitry Simonchik
address: 36, pr. Komarova str.
address: Vladivostok, 690950
address: Russia
phone: +7 423 242 0576
fax-no: +7 423 240 6029
e-mail: sdv@prim.dsv.ru
nic-hdl: DS1083-RIPE
notify: sdv@prim.dsv.ru
changed: gav@prim.dsv.ru 20040213
mnt-by: PRIMORYE-NCC-MNT
source: RIPE
route: 212.107.192.0/20
descr: VSTN-001
origin: AS12332
mnt-by: PRIMORYE-NCC-MNT
changed: gav@vmts.ru 20030529
source: RIPE
Evidentemente que la Ip puede ser spoofeada, pero hay conexión de ida y retorno, con lo cual esta posibilidad queda bastante descartada. Evidentemente puede tratarse de un sistema pasarela, sistema muy interesante por cierto, si bien según mis conocimientos no pertenece a ninguna red tipo Tor.
Aviso a navegantes:
Si no te gusta lo que lees lo tienes facil, no lo leas, si eres muy listo hazte profesor, pero si eres un ignorante entonces dedicate a descalificar.
Por higiene borro todos los comentarios producto de la incontinencia verbal, así como las boludeces y el spam variado...
Siempre y nunca
"Mi mujer guerrera. Casi me arranca la cabeza al juntar nuestras bocas con tanta fuerza que hasta duele. Su beso es algo salvaje e interminablemente furioso. Una explosión que hace pedazos todos los años grises entre el ahora y la ardiente noche en que fue mia.
Siempre será mia.
Mi mujer guerrera, mi walkiria. Siempre será mia. Siempre y nunca.
Nunca.
El fuego nena nos consumirá a los dos. Nos matará a los dos. No hay lugar en este mundo para un fuego como el nuestro.
Siempre y nunca.
Si esta noche tengo que morir por tí moriré."
Sin City. La Gran Masacre. Por Frank Miller
Un mes sin You Tube
Estoy en el trabajo en el dia del trabajo, vive Dios !!
Aburrido y sin nada que hacer, navego por internet, concretamente por los blogs que suelo rondar.
Me enfurezco, estoy hasta los "blogs" de ver videoblogs, que nada serían sin el You Tube( incluido yo mismo en contadas aunque penosas ocasiones ). Una cosa es orientar con un videoclip el texto, que es la esencia de un blog, y otra convertirlo en..., en esto.
Es por eso que durante el mes de Mayo me niego a incluir ningún video en mi blog.
Ante la falta de contenidos propongo la ausencia de entradas, yo mismo he tenido el blog algunos meses sin a penas publicación.
Estoy cansado de buscar,
algun lugar encontrare,
estoy malherido,
estuve sin saber que hacer,
en algun lugar... te espero.
Estoy cansado, pero igual
no tengo a donde ir.
ayer la tormenta,
casi me rompe el corazon,
pero igual, te quiero.
En algun lugar...
El tiempo y la distancia
ya no existen para mi,
lo deje todo aunque todo
lo recuerdo muy bien,
y a fuerza de partir
voy a saber lo que es volver
y volver. uh!... volver.
Un angel me vino a buscar,
pero igual no lo quiero a seguir,
me dice la gente,
que deje de pensar asi,
pero igual, te espero.
en algun lugar te espero.
Perdí nocion del tiempo y el lugar,
no se ni donde tengo la nariz,
será que las cosas,
no vuelven al mismo lugar,
pero igual te quiero,
en algun lugar te espero.
Algún lugar encontraré. Andrés Calamaro
No es muy conocida esta letra, una gran versión de Leon Gieco la ha vuelto a traer a mi cabeza, es un poco como el "te quiero igual" de Honestidad Brutal pero mas hondo, con más fondo.
Me parece genial y en estos dias recluido voluntariamente entre cuatro paredes me siento muy identificado con la letra.
Aburrido y sin nada que hacer, navego por internet, concretamente por los blogs que suelo rondar.
Me enfurezco, estoy hasta los "blogs" de ver videoblogs, que nada serían sin el You Tube( incluido yo mismo en contadas aunque penosas ocasiones ). Una cosa es orientar con un videoclip el texto, que es la esencia de un blog, y otra convertirlo en..., en esto.
Es por eso que durante el mes de Mayo me niego a incluir ningún video en mi blog.
Ante la falta de contenidos propongo la ausencia de entradas, yo mismo he tenido el blog algunos meses sin a penas publicación.
Estoy cansado de buscar,
algun lugar encontrare,
estoy malherido,
estuve sin saber que hacer,
en algun lugar... te espero.
Estoy cansado, pero igual
no tengo a donde ir.
ayer la tormenta,
casi me rompe el corazon,
pero igual, te quiero.
En algun lugar...
El tiempo y la distancia
ya no existen para mi,
lo deje todo aunque todo
lo recuerdo muy bien,
y a fuerza de partir
voy a saber lo que es volver
y volver. uh!... volver.
Un angel me vino a buscar,
pero igual no lo quiero a seguir,
me dice la gente,
que deje de pensar asi,
pero igual, te espero.
en algun lugar te espero.
Perdí nocion del tiempo y el lugar,
no se ni donde tengo la nariz,
será que las cosas,
no vuelven al mismo lugar,
pero igual te quiero,
en algun lugar te espero.
Algún lugar encontraré. Andrés Calamaro
No es muy conocida esta letra, una gran versión de Leon Gieco la ha vuelto a traer a mi cabeza, es un poco como el "te quiero igual" de Honestidad Brutal pero mas hondo, con más fondo.
Me parece genial y en estos dias recluido voluntariamente entre cuatro paredes me siento muy identificado con la letra.