babe.the-killer.bz

momo · #1 (**permalink**) 28/05/2006, 01:13

HOla tengo una duda
se me ocurrio tirar un netstat -a y me parece esto.
que es este babe.the-killer? que me figura established....

supongo que sera algun spy o algo asi no?
como cierro los puertos a mano en DOS? o mejor ademas del firewall del SP2 pongo un zone alarm o algo asi?
si tiro un ping a babe.the-killer.bz me da la dir 127.0.0.1 ?!?!?!
gracias
Mariano

TCP ml:1070 ml:0 LISTENING
TCP ml:1526 baym-cs299.msgr.hotmail.com:1863 ESTABLISHED
TCP ml:3639 200.49.147.210:http TIME_WAIT
TCP ml:3647 193.43.233.22:http TIME_WAIT
TCP ml:3658 225-199-81-62.libre.auna.net:http TIME_WAIT
TCP ml:3661 64.233.187.99:http TIME_WAIT
TCP ml:3663 66.249.81.104:http TIME_WAIT
TCP ml:3671 225-199-81-62.libre.auna.net:http TIME_WAIT
TCP ml:3673 225-199-81-62.libre.auna.net:http TIME_WAIT
TCP ml:1050 ml:0 LISTENING
TCP ml:3492 babe.the-killer.bz:18350 ESTABLISHED
TCP ml:18350 babe.the-killer.bz:3492 ESTABLISHED
TCP ml:netbios-ssn ml:0 LISTENING
TCP ml:netbios-ssn ml:0 LISTENING

dogduck · #2 (**permalink**) 28/05/2006, 04:45

babe.the-killer.bz es el dns de un host en internet, que corresponde a la ip 64.12.200.89

Que corresponde al rango de el siguiente ISP:
64.12.0.0 - 64.12.255.255
America Online, Inc.
10600 Infantry Ridge Road
Manassas, VA
US

Y lo que te muestra el netstat es que tienes establecida una conexión desde tu puerto local tcp 3492 al puerto remoto tcp 18350 de ese host. Idem tcp 18350 local al remoto tcp 3492.
Por lo que parece que tienes un "lazo" ( es decir que puede que babe sea tu dns en internet ... y que efectivamente al hacer ping te responda localhost o 127.0.0.1 ...)

Si tienes XP o 2003 para averiguar que proceso o ejecutable está estableciendo esa conexión usa:
shell_dos > netstat -a -b

Revisa la tabla de el fichero %windir%\system32\drivers\etc\hosts

dogduck · #3 (**permalink**) 28/05/2006, 06:21

uffff. Si haces un scanner de puertos a ese host 64.12.200.89. Verás que tiene abiertos unos 225 puertos tcp ( entre ellos el de algunos conocidos troyanos)... Si fueras tu el dueño de ese host ... pasale un antivirus y un antispyware ...

momo · #4 (**permalink**) 28/05/2006, 07:34

gracias
hice netstat -a -b y me dice que son procesos del antivirus

momo · #5 (**permalink**) 28/05/2006, 18:34

bueno no tengo idea...
hice lo siguiente:
Btn Derecho en My Network Place
Local Area Connection/Propiedades
Internet Protocol(TCP/IP)/Avanzada
Options/ TCP/IP filtering
5.- Active la opción Permit Only y agregue los puertos 20-21-23-25-80 para probar en tcp y en udp y a ip lo deje vacio...
pero tiro un netstat y me aparece lo siguiente.

si tengo abiertos solo 4 o 5 puertos como puede ser que en el 18350 y demás tenga conectado eso...

la verdad que lo que lei por ahi no me aclaro demasiado por que algunos dicen que es una cosa y otros otra totalmente distinta...

no entiendo nada...
Gracias dogduck ;)