He heredado varias paranoias de Luilver (http://www NULL.luilver NULL.com/), entre ellas, tener siempre abiertas varias terminales (las ventanas negras de letricas blancas, con chorradas de texto moviéndose de abajo a arriba) las cuales pongo a monitorear arrebatos varios como los registros de navegación del proxy (los logs del Squid) y cuáles conexiones están abiertas en mi PC. Este último se ejecuta con:
$ sudo watch netstat -alntop
El sudo es necesario para que muestre también los puertos abiertos. O las conexiones de todos los usuarios. Bueno, no sé; lo que sí sé es que esa línea te muestra todo lo que tiene que ver con conexiones. Hace un rato me dio por mirarla, y me sorprendió esta línea:
tcp 0 0 200.0.26.82:22 202.102.108.42:49639 ESTABLISHED 5362/sshd: root [pr keepalive (7120.28/0/0)
Según mis escasos entendimientos, había una conexión establecida a mi servidor SSH local. Un servidor SSH es aquel que permite iniciar sesión en la PC donde está corriendo este, (con usuarios y contraseñas, claro). Y la conexión establecida era con el usuario "root", como se ve en la línea. Para los que no saben de Linux o la importancia de este usuario, este es el que puede ser absolutamente todo en estos sistemas. Y para los que saben, imagino que se cagaron al leer la línea...
Rápido, rapidito tumbé el servicio SSH:
$ sudo invoke-rc.d ssh stop
Mentira, no tumbó nico. Todavía estaba la puta línea ahí (la palabrota es para transmitir la emoción). Y me acordé de que algunos servicios en el nuevo Ubuntu 10.04 LTS (http://www NULL.ubuntu NULL.com) están usando Upstart (http://upstart NULL.ubuntu NULL.com/) para iniciarse, en vez del tradicional sistema de inicialización System-V. Por lo que hitié algunas teclas más:
$ sudo initctl stop ssh
Y se fue...
¡Ah, verdá! ¡El chino! Es que luego se me ocurrió utilizar la herramienta whois para ver detalles de la máquina invasora. Ejecutando:
$ whois 202.102.108.42
Me salió esto:
% [whois.apnic.net node-1] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html inetnum: 202.102.0.0 - 202.102.127.255 netname: CHINANET-JS descr: CHINANET jiangsu province network descr: China Telecom descr: A12,Xin-Jie-Kou-Wai Street descr: Beijing 100088 country: CN admin-c: CH93-AP tech-c: CJ186-AP mnt-by: APNIC-HM mnt-lower: MAINT-CHINANET-JS mnt-routes: maint-chinanet-js changed: hostmaster@ns.chinanet.cn.net 20020209 changed: hostmaster@ns.chinanet.cn.net 20030306 changed: hm-changed@apnic.net 20040906 status: ALLOCATED PORTABLE changed: hm-changed@apnic.net 20041210 source: APNIC role: CHINANET JIANGSU address: 260 Zhongyang Road,Nanjing 210037 country: CN phone: +86-25-86588231.+86-25-86588745 fax-no: +86-25-86588104 e-mail: ip@jsinfo.net trouble: send anti-spam reports to spam@jsinfo.net trouble: send abuse reports to abuse@jsinfo.net trouble: times in GMT+8 admin-c: CH360-AP tech-c: CS306-AP tech-c: CN142-AP nic-hdl: CJ186-AP remarks: www.jsinfo.net notify: ip@jsinfo.net mnt-by: MAINT-CHINANET-JS changed: dns@jsinfo.net 20090831 changed: ip@jsinfo.net 20090831 changed: hm-changed@apnic.net 20090901 source: APNIC person: Chinanet Hostmaster nic-hdl: CH93-AP e-mail: anti-spam@ns.chinanet.cn.net address: No.31 ,jingrong street,beijing address: 100032 phone: +86-10-58501724 fax-no: +86-10-58501724 country: CN changed: dingsy@cndata.com 20070416 mnt-by: MAINT-CHINANET source: APNIC
Donde se ven muchas referencias a China… ¿No se supone que nos llevamos bien con ellos?
(http://wakoopa
me gustan tus ramblings, aunque me dejaste al fly en la primera linea, bueno, despues lo arreglaste, habia leido un poco del de leo pero nunca el tuyo. mantenme al tanto, besos gatunos, yo
Qué bueno que te guste! Ahora estoy preparando el de mis bichos, que pedí un móvil prestado para tirarles unas fotos. Dentro de poco posts con bigotes!!!!
Habla con Lu, a lo mejor fueron los de Tarará…
Este post es de los más interesantes que tienes! xD
Quiero ver qué me dice Lu de esto… Curiosamente, mis posts más populares (al menos de los que tengo más feedback) son los que escribo sin casi ninguna preparación.
Leo, muuuuchas gracias por las correcciones (vayaaaaa, agradecimiento público, que sé que te gusta tó eso)
ehhhh esto no lo había vistooo
upss… creo que me has inoculado una Paranoia de Luilver. Mira que un chino atrás ni en 0 y 1 es bueno… jejeje
Primero una pregunta y luego los comentarios
Query:
¿Por qué usas mi perfil en Facebook cómo enlace de referencia ?
Comments:
1- No es que me moleste (rhetorical query) but http://www.luilver.com (http://www NULL.luilver NULL.com) me da PageRank
2- Mandy, cojone, claro que me cagué cuando leí «como root», no es para menos; también te imaginé posteando desde la pc de algún socio y esperaba leer algo así como que después de reiniciar el grub no podías entrar al sistema porque «el chino» le practicó sexo anal por deporte a tu «blowfish» ejecutando algún «rm -rf /» … en algún momento hasta me dió tremenda risa pensar que te pudo haber pasado eso, sorry ! … Deberías ponerte en contacto con tu atacante y establecer contacto alienígena con él (¿has pensado que puede ser ella?, ¿has pensado devolverle el favor?). En cualquier caso, mío, considérate A VERY FUCKING LUCKY NERD !
$@lu² |)3l |\/|4n1Gü3r0 !
@Luilver:
Sobre la query, ya te puse tu blog como destino, pero demorará algo para actualizarse en FeedBurner.
Me gusta hacerte reír y todo eso, que rico… Pero cómo se supone que el SSH sea seguro entonces? Tú, que lo tienes activado por defecto? Me haría muy feliz que me dieras una solución
(así que sexo anal por deporte… manda p…ga esto…)