Hola a todos, os pido ayuda a los que sepais de redes por que estoy convencido de que estoy sufriendo un atake DoS o similar.

Os voya explicar mi situacion. Todo empezo a hacerse evidente pq al poko de cambiar mi linea ADSL a otro proveedor, el burro empezo a fallarme hasta el punto de que a las doce horas de estar conectado se dejaban de recibir datos y solo se emitian.

Revise todo lo imaginable. Foros, configuraciones, manuales, versiones, spiswares, antivirus, firewalls y en esto ultimo estaba cuando empece a registrar en el log del router entradas como estas:

xxx.xxx.xxx.xxx = IP privada del PC Mulero en mi LAN
yyy.yyy.yyy.yyy = IP publica de mi ADSL

2004.09.06 10:53:07 **Smurf** 200.44.11.0, 3780->> xxx.xxx.xxx.xxx, 14638 (from ATM Inbound)
2004.09.06 11:57:50 **IP Spoofing** 127.0.0.1, 80->> yyy.yyy.yyy.yyy, 1444 (from ATM Inbound)
2004.09.06 12:01:00 **Smurf** 200.44.11.0, 4088->> xxx.xxx.xxx.xxx, 14638 (from ATM Inbound)
2004.09.06 04:42:36 **ICMP Redirect** 217.216.176.240->> yyy.yyy.yyy.yyy, Type:5, Code:1 (from ATM Inbound)
2004.09.06 04:49:47 **IP Spoofing** 127.0.0.1, 80->> yyy.yyy.yyy.yyy, 1928 (from ATM Inbound)
2004.09.06 05:29:37 **UDP Flood to Host** 81.202.179.105, 4672->> xxx.xxx.xxx.xxx, 14650 (from ATM Inbound)
2004.09.06 12:54:26 **IP Spoofing** 127.0.0.1, 80->> yyy.yyy.yyy.yyy, 1735 (from ATM Inbound)
2004.09.06 12:26:43 **UDP Flood (per Min) Stop** (from ATM Inbound)
2004.09.06 12:26:41 **UDP Flood (per Min)** 81.36.164.6, 4688->> xxx.xxx.xxx.xxx, 14650 (from ATM Inbound)

Por favor, necesito ayuda y orientacion. No se que hacer y tengo el PC off-line de momento...

Tengo una LAN de cuatro puestos con un router 3com 11g Firewall Router, Zonealarm v3.5 y antivirus panda platinum.
El PC en cuestion es un PIII 800 con 512Mb de RAM y dos HD de 60Gb.
Mi ADSL es de Jazztel con IP dinamica.

No se que mas info postear, ya me direis algo.

Un saludo y muchas gracias por adelantado ;-)

Fiera_SouL

mmmm, si te estan haciendo un ataque a tu ip, reconecta el modem y q pille otra ip. Otra cosa sería q tuvieses un troyano por ahí q les diese tu ip a alguien q quiera tocar los cojones. Otras soluciones mejores no se darte..

usas windows xp? a mi me pasaba exactamente lo mismo nada mas ponerme ono, me puse mil antivirus y no seriva para nada, pensaba en troyanos y venga a darle vueltas.

pero no, resutla ke todo es culpa de una **** mutacion del sasser ese o como **** se le kiera llamar, ke ni el panda ni el norton ni nisikiera esos anti saser te eliminan.

empeze a usar un antivirus gratuito llamado antivir guard, y un firewall llamado sygate personal firewall, ke controlan todas las entradas y salidas, y desde entonces me esta funcionando todo perfectamente.

daba una impotencia increible ver como la gente si ke chupaba de ti, pero tu no podias chupar de nadie, ni sikiera podias cargar una miserable pagina web.

Este mismo problema lo han tenido un monton de amigos mios.

aCTUALIZA el windows todo lo que puedas/quieras. A mi el sasser me hizo formatear el pc.

El sygate firewall como dice syto va muy bien, pruebalo.

Eso te ocurre cuando pones el emule o siempre acabas rcibiendo esa cantidad de ICMP's ?

Perdonadme por el lapso pero he estado desde el dia 9 sin conexion, sencillamente no habia ni portadora (corregidme si digo un disparate) en mi linea. Como si no tuviera el rouer conectado a la linea telefonica...

Hoy he recuperado la conexion.



Dimitry

Eso te ocurre cuando pones el emule o siempre acabas rcibiendo esa cantidad de ICMP's ?


Siempre empieza por el ip-spoofing y continua con el resto.

Syto, has dado en el clavo, he probado de todo, llevo casi un mes jodido, no se que hacer...

Tengo el sygate y me voy a descargar ese antivirus, de hecho ya estoy descargandolo (¡solo 4Mb!), mañana lo instalare y ya os contare...

Me tiene un poko mosqueado este tema...

Dimitry, puedes clarificarme un poko mas mi caso?¿

Sabes, exactamente, que proceso esta siguiendo el "intruso"?¿

Un saludo y gracias por todo.

Fiera_SouL

****, creo que mi caso es parecido o igual! Tengo el problema desde que cambie mi antiguo router por un router ADSL con punto de acceso wifi.

No se que pasa, pero cuando llevo un rato con la mula encendida (no se si tb pasa con ella apagada, no la he apagado desde que me pille el router) empieza a perder las fuentes (todas) aunque sigue marcando conectado. El messenger se queda encendido, pero no puedo enviar ni recibir mensajes. No puedo entrar en ninguna web, pero sin embargo puedo escuchar musica en streaming por el winamp, lo que prueba que sigo conectado...

Es el mismo problema? A mi se me soluciona todo si desenchufo el router y lo vuelvo a enchufar, pero a las pocas horas vuelve a pasar lo mismo.

Si es el mismo caso probare esa solucion del antivirus+firewall, y ademas os estaria eternamente agradecido, porque ya me habia hecho a la idea de que me pasaba porque el cacharro se calentaba y me tendria que j.oder (es lo que me habian dixo en la tienda).

creedme, es todo por culpa del maldito sasser, y evidentemente conexion hay, porque EL MODEM ENVIAR ENVIA!. lo ke pasa eske recibir.... pos a mi ni me cargaba webs ni nada. y el msn lo mismo ke a locke.

Nos paso a mi y a 3 amigos practicamente a la vez, 2 de ellos lo solucionaron formateando el pc, y reinstalando win xp, PERO OJO!!! COMO TE CONECTES A INTERNET ANTES DE PONER LA VACUNA, NO VA A SERVIR DE NADA! PORQUE TE HAS VUELTO A INFECTAR. Tenias ke formatear y sin conectarte a internet, instalar todas las vacunas y el firewall adecuado.

yo como me negue a formatear (seria capaz de comprar un pc nuevo antes ke formatear), a base de dar vueltas, usando varios antivirus, me di cuenta de ke el norton, el panda y similares, son una **** basura, ke me corrompian archivos sanos y ademas me colapsaban el pc los malditos antivirus. Ademas de ke no me solucionaban nada de este problema. Un amigo me recomendo el Antivir profesional, solo 4 mbs y gratuito (y con actualizaciones cada semana o cada menos). y pasando este antivirus y con el firewall sygate bloqueando TODOS LOS PROCESOS KE ACCEDEN A INTERNET, salvo msn, explorer y mirc (o alguna otra cosa) funciona perfectamente, pero ojo, teneis ke bloquear todos los programas ke acceden, aunke parezcan importantes de windows, creedme, no son necesarios.

Yo me instale ayer el antivir (es uno cuyo icono es un paraguas, no?) y no me detecto nada... :(

Por cierto, llamar Luke Filewalker al scaneador del disco tiene delito xD

Syto tiene razón. A mi también me pasaba lo mismo, asi que fomateé todo, meti el XP, meti los parches de microsoft, y después (a diferencia de él) me compré el kaspersky Antivirus (para mi el mejor sin dudas).Ahora me va como un tiro.

Prueba a bajártelo porque te dan 30 días de prueba, y es de lo mejorcito.Al principio te tocará un poquillo la moral, pero cuando esté actualizado y hallas escaneado el pc es la leche.

Por cierto, tb tengo instalado el sygate personal firewall pro (aunque esto no sé si sirve de algo :) , supongo que si)

si ke sirve si, ya ke si no isntalas un firewall, el **** sasser hara continuas "llamadas" a tu ip tratando de hacer intrusiones, lo ke frena tu conexion.

J O D E R R R R R R R... Esto va de mal en peor, he reiniciado el equipo para instalar el sygate (aunque ya usaba otro firewall, pero por probar) y resulta que ahora se me ha puesto la configuracion de pantalla en 800x600 @ 4 bits!!! No me deja seleccionar ninguna otra, y si voy al administrador de dispositivos me dice que la grafica (fx5200) no encuentra suficientes recursos. COMO PUEDE SER?? Si no he instalado ningun HW que se lo pueda quitar... he desinstalao el firewall y tampoco. Si desinstalo el controlador de NVIDIA el XP no es capaz de encontrar ningun compatible VGA pa instalarme. Reinstalando el de NVIDIA de nuevo tampoco lo soluciona...

DIOSSS... he formateao hace nada, pero ahora tengo un monton de gigas ocupaos y no puedo hacer backup de todo eso... :(

has intentado recuperar con el cd del XP??

tiene COJONES que el firewall te modifique/altere la configuracion de la tarjeta grafica :mad:

saludos

PD: o prueba a volver a un backup/estado anterior del registro

eso si ke me resulta raro lo ke te pasa locke, de todos modos si has conseguido ver algo e instalar el sygate, bloquea todos los programas ke acceden a internet, TODOS, y leugo pasa el antivirus.

te aseguro locke ke eso no es culpa del firewall, ya ke el sygate no afecta a ningun tipo de configuracion del pc, se limita transpartentemente a bloquear los programas ke accedan a la red ke tu kieras.

No tengo ningun punto de restauracion anterior :(

Ya me parece raro que haya sido el firewall, no deberia tocar para nada los recursos de la tarjeta grafica, pero es que ha coincidido que ha sido justo al reiniciar cuando me lo ha pedido. Yo creo que la culpa mas bien la tiene el xp, eso si que no me extrañaria nada... :mad:

A todo esto, active el firewall (ademas del interno del router), he pasado dos antivirus y nada de nada. No me ha encontrado nada ni he visto ninguna conexion sospechosa... Me va a tocar formatear... :( En fin, asi aprovecho y meto la mierda del SP2 (mira que no queria...) a ver si es verdad que mejora la **** seguridad...

Escrito originalmente por dj syto
... pero ojo, teneis ke bloquear todos los programas ke acceden, aunke parezcan importantes de windows, creedme, no son necesarios.

Yo aún diria más...mejor leerse algun tutorial sobre los Servicios de Win XP y descubrir q se pueden deshabilitar muchos de ellos, q se activan automáticamente al iniciar Windows, y q no queremos para nada.

No soy un experto en el tema, ni mucho menos, pero he leído q algunos de estos Servicios pueden ser un problema para la seguridad de nuestros PCs. Bloqueándolos con el Firewall, podemos solucionarlo, pero estos Servicios continuarán activos, gastando valuosos recursos en nuestra máquina.

Recomendables también, la regulares visitas a alguna página como ShieldsUP!! (aquí (https://grc.com/x/ne.dll?bh0bkyd2)), donde puedes checkear los Ports q tienes abiertos en tu PC, etc...

...corregidme si me equivoco.

sakado d www.adslayuda.com (Anarchy si kieres kitarlo kitalo no pasa na).
ntre algunos colaboradores e integrantes de ADSAyuda.com se han descubierto varias vulnerabilidades en el router 3com Wireless 11g (distribuido por ya.com). En principio permiten a cualquier usuario de internet el control absoluto del router si tenemos activado el acceso remoto al mismo, sin necesidad de contraseña. También ocurre el mismo problema en la red local, con el agravante de que es totalmente accesible mediante una simple tarjeta de red wireless. En principio afectan al firmware 1.02, no habiéndose comprobado en ninguno más. Sigue leyendo (explicación de las vulnerabilidades y soluciones provisionales a las mismas). Actualización 11/01/2004: Salva0 nos remite este Test de seguridad para el router 3com Wireless 11g. Actualizamos también la extensión de la noticia con explicaciones más extensas y aclaratorias, además de una completa serie de soluciones provisionales a las vulnerabilidades. Actualización 12/01/2004: Se va entrelazando más la cosa: aún teniendo el acceso remoto desactivado es posible acceder al router para explotar la falla si el firewall integrado se encuentra inoperativo.


Hace unos días recibimos un correo de Salva0 que fue posteado en el foro. Días más tarde dicho artículo apareció también en diversos lugares como Barrapunto. En él, nuestro amigo nos comunicaba como, tras un proceso para destripar las entrañas del router, había observado que este poseía páginas ocultas (algunas ya circulaban por internet), informaba de los parecidos razonables de este router con otros modelos (de estos ya se habló en el mismo post del foro con anterioridad) y se percataba de que usaba programas tales como una versión anticuada de apache y otro de código GPL (que incumple la licencia).

Tras esto, Metis publicó en el foro una lista de páginas ocultas en la interfaz web del router, páginas descubiertas analizando el firmware 1.02. Sólo son accesibles poniendo directamente la dirección en el navegador (no mediante el menú del router).

Mediante una combinación sencilla de tan sólo 2 páginas sucesivas, el router interpreta que el usuario ya se ha identificado con la contraseña y le permite el acceso TOTAL a las páginas habituales de configuración. Es decir, el completo control sobre el mismo. El problema es grave, puesto que cualquier router que tenga activado el control remoto del mismo está completamente desprotegido.

Tras diversas puebas se ha podido comprobar como aún teniendo desabilitado el acceso remoto es posible acceder al router, explotar la falla y obtener el control total. Esto se produce cuando el firewall integrado en dicho router es desactivado.

Salvador (Salva0) nos aclara más el tema, lo que nos cuenta es quizás la raíz del problema, a partir del cual se dan varias vulnerabilidades y sin duda la mayor de todas que nos permite el acceso total:

«Bueno, yo he encontrado algún problema mas, por ejemplo, que la opción para deshabilitar la administración remota solo funciona si el firewall esta activado y que la interfaz de administración también es accesible en el puerto UPnP 1900 porque la misma web se usa para las dos cosas (administración y UPnP).

También, como estos cacharros corren Apache/0.6.4 que es una versión de Apache de 1996 (mas o menos) con cantidad de problemas de seguridad que se pueden encontrar documentados en diversas webs en internet, algunos incluso permitirían ejecutar cualquier código en el router (la única dificultad seria encontrar herramientas de desarrollo adecuadas para el sistema operativo y el procesador del router pero todo es posible).

Otra vulnerabilidad (a parte de la página que proporciona acceso total) es que el mecanismo de autenticación web esta basado en IP y es muy fácil saltárselo en determinadas circunstancias.»



Por otra parte, existe otro problema serio: La configuración por defecto del aparato trae activado el acceso wireless con DHCP y sin encriptación, incluso con la difusión ESSID activada. Es decir, cualquiera con un portátil con wireless y la tarjeta en automático en el radio de alcance del router podrá identificar la red creada por el 3com 11g y tener acceso directo a internet y a nuestra red local inmediatamente.

Referente a estas últimas vulnerabilidades, que son perfectamente catalogadas también como negligencias, Salva0 nos comenta:

«La configuración del router es accesible desde internet a trabes del servicio SNMP que esta activo por defecto y no se puede deshabilitar con ninguna opción de la web de configuración. Además, las comunidades (equivalentes a claves) de lectura y escritura son las que se usan por defecto en SNMP "public" y "private"

A través de SNMP se pueden cambiar muchos parámetros del router así como averiguar fácilmente que es lo que hay detrás y este servicio es accesible incluso con el firewall activado.»



Si esto último lo combinamos con que tiene completo acceso también a la configuración puesto que se puede saltar la contraseña, como hemos explicado más arriba, tenemos un bonito resultado: Routers para todos e internet gratis para los vecinos. Además del posible uso indebido del router como proxy que puedan realizar terceros o la obtención de datos muy delicados como el nombre de usuario y contraseña para gestionar todos los servicios contratados con el proveedor.



La Soluciones.

Las soluciones provisionales por el momento hasta que el responsable legal de los diversos problemas (Ya.com) facilite una nueva versión del firmware que corrija los mismos son:

No activar el acceso remoto al router (por defecto desactivado) ni desactivar el firewall integrado, así evitamos las intrusiones externas.

Para los que usen el router sólo por cable, ir al menú Red Inalámbrica y desactivar la Funcionalidad Wireless.

Los que usen la funcionalidad wireless deberán usar un método de encriptación (menú Red Inalámbrica > Seguridad) y/o restricción de MAC (Firewall > Filtrado de direcciones MAC). La MAC es la dirección física, fija y única de todo dispositivo de red. Para averiguar la dirección MAC de nuestra tarjeta wireless tecleamos en línea de comandos "ipconfig /all", "winipcfg /all" o "ifconfig" (depende de nuestro sistema operativo). La MAC es del tipo XX:XX:XX:XX:XX:XX.

Establecer las siguientes reglas en el NAT (estás actuarán como si de un filtro se tratase al derivar las peticiones que circulen por estos puertos a una IP inexistente en nuetsra red: 192.168.2.254): Aquí la captura.

Bueno, acabo de formatear y reinstalar todo, y cual ha sido mi sorpresa cuando he visto que seguia teniendo la pantalla a 800x600@4 bits! Casi me da un ataque.

Por probar he sacado la grafica y la he vuelto a meter y se ha solucionado el problema (ya podia haberlo probado antes de formatear, pero en fin).

Lo bueno es que despues del formateo y hasta el momento no me ha vuelto a pasar lo de la conexion, asi que parece que ya tengo todo solucionado :)

Muchas thx a todos.

Suerte Locke!! pero acuerdate de meter los parches anti sasser (depaso anti blaster tb) de microsoft, asi ahorras en sustos :)

ciao

Muchas gracias a todos por vuestra colaboracion ;-)

Efectivamente, yo tengo un router 3com 11g de esos, asi q despues de unas cortas vacaciones voy a indagar por ahi. De momento he comprobado que tengo la configuracion correctamente y voy a instalar ahora mismo el antivirus y el firewall.

ShinJi creo q al final, no has posteado la imagen con la configuracion del filtro, te agradeceria que la postearas ;-)

Lo dicho, muchas gracias, ya os contare.

Un saludo.

Fiera_SouL

Me podeis explicar que haciais sin firewall? pero si es esencial sobre todo con el XP. Con un firewall no es necesario parchear nunca salga el gusano que salga.

Mi consejo es que mejor que un firewall pelao, pongais un IDS

creedme, realmente NO ES NECESARIO NINGUN PROCESO DE WINDOWS!! SE PUEDE BLOQUEAR TODO ABSOLUTAMENTE TODO CON EL FIREWALL (DEJANDO SOLO EL BROWSER, EL MIRC, EL MSN...) yo llevo ya 3 meses usandolo asi y ningun problema, todo de **** madre.

Locke, ademas de un antivirus, tambien debias haber pasado varios anti sasser, nose, yo eske me volvi loco, y probe 20 programas antispyware,40 antisasers y 600 antivirus XDD.

ademas de tener ke borrar a mano varios exes y eliminarlos del registro (una **** mierda to)

Escrito originalmente por (_=*ZaXeR*=_)
Me podeis explicar que haciais sin firewall? pero si es esencial sobre todo con el XP. Con un firewall no es necesario parchear nunca salga el gusano que salga.

Mi consejo es que mejor que un firewall pelao, pongais un IDS

Coñe, yo firewall si que tenia, pero io que se, podia ser que en un momento lo hubiera tenido que cerrar o cualquier cosa y se hubiera colao (aunque me parece raro). De todas maneras lo de los cortes en la conexion me ha pasao un par de veces desde ayer, con firewall bloqueando todo desde el principio, pero para mi que fueron un par de yuyus a la WiFi, porque ha pasao la prueba de dejarlo toda la noche por primera vez desde que lo pille :)

aki va la imagen
http://www.adslayuda.com/images/noticias/confignat_3comw11g.png
y aki va un test d seguridad hecho para el router a ver si sigue siendo vurenable
http://3cradsl72-test.nondoc.org/

Gracias ShinJi por la imagen, te estoy muy agradecido ;-)

Pero ha llegado tarde :-(

Esta mañana cuando me he despertado he pillado al router mas colgao que un yonky en las barranquillas :-D

Asi que me he puesto manos a la obra y he localizado esa pagina en ADSLAyuda y me he puesto a rebuscar en su foro.
Ha sido la mañana mas productiva en este aspecto desde hace un mes al menos.

Ya he cambiado de antivirus, antes usaba el panda platinum y actualizado al dia, en el caso del firewall yo estaba utilizando el ZoneAlarm la version 3.95 o similar. El firewall ya estaba un poko desfasado.
Ahora tengo un mejor control sobre el trafico y este firewall ofrece una info mas detallada. Pero el problema del router persiste...

En ADSLAyuda hay multitud de hilos abiertos al respecto y no me ha dado tiempo a leerlo todo. Me he enterado que hay tres routers con este problema y que el problema es mas serio de lo que podia parecer, pero afecta a muchos.
Espero que avancen con los cambios de firmware y/o que 3com saque un parche/actualizacion con estos "defectillos" de seguridad parcheados.

Basicamente despues de trazar las IPs que atraviesan "como pedro por su casa" el firewall integrado del router, he descubierto que son paginas de "rastreo" ubicadas en diferentes paises. Vamos que creo, que noy hay un ente fisico intentando entrar en mi PC.

Esto me ha dejado algo mas trankilo. Espero que se soluciones pronto esos bugs pq el router tira de vicio ;-)

Bueno, espero que tambien os haya servido a algunos de vosotros. Un saludo.

Fiera_SouL

PS: He pasado de Wanadoo a Jazztel con ADSL 1Mb a 39,90€ y creedme... ¡Merece la pena! Descargar a 130 Kb/s en tu propia casa esta muuuy bien ;-)

Na ya por lo menos el problema ya lo tienes arreglao y tal y en esa pagina pa bugs d modems y esas cosas ta mu bien y tal xD