¿Tratan de hackearme el servidor?

Hola amigos,

Saben tengo una duda relacionada con los accesos.

Desde las estadísticas de visitas pude apreciar que siempre figura un IP que entra al sitio de un cliente en intervalos de 3 a 5 minutos. El contador lo tengo en la página de inicio por lo que es difícil que entre tan seguido. Creo tener seguridad de ello pues yo entro directo al foro para ver los mensajes sin pasar por la portada y no me marca visita.

El problema es que todos los días ocurre que una IP (distinta a la del día anterior) se comporta de esta forma.

Se que es posible ocultar la IP o disfrazarla ¿puede ser que alguien esté tratando de entrar al servidor y este ocultando su IP haciéndola pasar por otra?

Pregunto esto porque sigo experimentando visitas que nunca realicé desde mi propia IP, sé que en Chile se ha dado la duplicidad de IP (Uds. lo demostraron), pero no creo que esto ocurra mientras uno navega, la IP variable se asigna al iniciar la conexión no durante ella (¿o no?), y lo que ocurre es que aparecen accesos con mi IP mientras yo navego en otros sitios, revisé el envío de correos y tampoco son la causa aparente.

Hago "whois" en Nic.com para ver el origen de cada IP pero siempre son distintos, incluso empresas sin relacion alguna.

¿Hay alguna forma de tener más datos sobre el IP de los que entrega el WHOIS?

Saludos

Si es posible disfrazar las direcciones IP, y pues el que cada día cambie y sea distinta no tiene nada de raro, has considerado que sean una IP dinámica... lo curioso es que digas que al hacer el whois las empresas siempre son diferentes.

Existen varios Denial of Services que entre sus modalidades de ataque se encuentra el falsear las direcciones IP cada que se lanza.

Saludos,

<div align="center"><a href="http://membres.lycos.fr/raac/"><img src="http://membres.lycos.fr/raac/Img/barra_raac.gif" width="400" height="20" border="0"></a></div>

no creo que puedan hakearte el servidor entrando a la pagina...
creo que lo haria de otra forma e no como dises tu pero bueno ,ya sabes que la gente es la ostia pero bueno...
creo que tendrias que vereficar el cortafuegos a ver se te señala algun tipo de atake pero bueno tanpoco soy un experto, solo un simpatizante.
un saludo
adios

raac , eso de hace que las ips sean de empresas distintas es muy fácil.

Por ejemplo, puedo entrar al sitio de Berne con una IP de Chile, pero luego en unos cuantos segundos después puedo visitar otra vez el sitio pero ahora con una IP de España, eso es parte del trabajo que tiene que hacer un hacker para ocultar su identidad.

Pueda ser que lo que estén haciendo es tratar de encontrar vulnerabilidades en tu server, o tratar de hacerte un DoS, y por lo de las IPs es parte del trabajo utilizar distintas IPs para que el rastreo hacia el Hacker te cueste más...

Que tal si pones aquí alguna de esas Ips.

Un saludo,

Quieres que ingrese con varias IPS alfon ?

ok, que conste que no puse ese mensaje para alardear o algoa sí, al contrario para explicar que si es posible!

Ok Alfon, please revelanos la Ip con la que ingresé cuando escribí el mensaje anterior y también la ip con la que puse este mensaje, si quieres las buscas en nic.com y nos dices de qué paises son cada una o alguien más las busca..

Chao!

mangandini :

Vamos aclarando.

Si, pero me refiero para el caso específico que se tratase de una IP Dinámica asignada por el mismo ISP.

;)

P.D. Sálvemos un poco el término 'hacker'. En esta conversación no se habla de ellos, hablamos de un 'atacante'.

Saludos,

<div align="center"><a href="http://membres.lycos.fr/raac/"><img src="http://membres.lycos.fr/raac/Img/barra_raac.gif" width="400" height="20" border="0"></a></div>

mangandini:

Creo que Alfon se refería a las IPs con las que ingresan al servidor de Berne.

Saludos,

<div align="center"><a href="http://membres.lycos.fr/raac/"><img src="http://membres.lycos.fr/raac/Img/barra_raac.gif" width="400" height="20" border="0"></a></div>

Ok raac, te entiendo, lo único que puse para tu persona era la primera linea de mi primer mensaje..
En ningún momento quise contradecirte o algo así para nada, estaba diciendo que si puedes ingresar a una page y dejar una IP que no es la tuya.

Con lo del DHCP, sabrás que igual te puedes conectar a un ISP y que la IP que el te asigna, igual la puedes enmascarar con otra, de otra empresa...

Espero haberme explicado bien, y no crear ninguna confusión ni mal entendido..

Y si todo va bien Alfon, ahorita ando por Bombay India :P

Resumiendo:
1.- Yo sé que una IP dinámica cambia, por lo que yo mismo puedo tener varias de acuerdo a lo que me asigne el ISP.
2.- También sé que en Chile se ha dado la dualidad de IPs, claro que no me han dicho si eso ocurre mientras uno está conectado (¿la misma IP visitando distintos sitios al mismo tiempo?)
3.- Las IP a las cuales me refiero son de empresas grnades y al hacer Whois no me aparecen como IP dinámica sino como IP con &quot;nombre y apellido&quot;, las dinámicas me figuran como parte del sistema del ISP (o al menos eso pienso)
4.- Les pondré una lista de las IP que más se repiten y que entran cada 5 minutoa o menos.
5.- Lamentablemente el servidor no es de mi control, solo tengo acceso FTP. ¿Hay alguna forma de probar desde mi PC si algo raro está pasando?
6.- Les llamo hackers por que no tengo claro qué son ni que quieren, pero acepto que el término &quot;atacante&quot; sería más propio ya que sus intenciones son desconocidas. Cuando entre, si es que entra, le asignaremos una denominación, de acuerdo a lo que haga dentro (ojalá nada)
7.- YO QUIERO APRENDER A HACER LO MISMO!!!!!! (pero para saber no dañar )

¿Alguien puede decirme cómo o espero el manual de Ba-k?

Saludos y gracias por su atención

Mangandini no me refería a tí, me refería a Berne, menos mal que raac ya te avisó.

Se trata de empresas grandes...mmmm no sé, en principio creo que no se trata de ningún ataque en toda regla pero hay que ver esas Ips, logs y tener en cuenta que tipo de información, páginas, etc tiene alojado el cliente.

Un saludo,

Mensaje distinto al anterior, ¿algún moderador podría borrarlo? a mí no me deja hacerlo (?)

Alfon, no se trata de ningún cliente con información importante, es la Radio que hice hace algún tiempo, lo que pasa es que un gue*** (me autocensuré) le tiene mala a la gente de allí y ha tratado por todos los medios echar abajo el sitio. Cuando tenía el chat en IRC, entró varias veces y lo deshabilitó, como yo cambié a uno en CGI quedó un poco frustrado y puede estar viendo otra forma de entrar (al parecer estaría usando un scanner), en la Red hay bastante material para aprender hacking, alguno es confiable y otros no tanto, pero, al parecer el hombre está aprendiendo con el método del tanteo (ojalá me equivoque)

Además que el servidor ha demostrado varias veces su inoperancia, ya que lo han infectado como 3 veces en 1 año.

Estoy casi seguro de que si algo raro ocurre, es él el causante.

Saludos

Hay ciertos tipos de información en las páginas que implican una &quot;comunicación&quot; a servidores remotos. De todas maneras ya parece que nos vamos enterando de más cosas sobre tu &quot;atacante&quot; que antes no sabíamos. De todas maneras ya te digo que si tienes los logs de accesos a los servicios que prestas y/ó los logs del cortafuegos o IDS, no te será nada dificil saber quien es tu &quot;atacante&quot;.

Un saludo,

Gracias Alfon, sabes que podría tener la facilidad de contar con toda esa información, aunque el server está en Yankeelandia, tengo cierto grado de comunicación con ellos, pero me gustaría saber que debo pedir puntualmente a los administradores del servidor, para que me envíen justo lo que necesito.

Te agradecería si pudieras detallar lo que mencionas en tu respuesta, mira que a los que no sabemos mucho terminan enviándonos cualquier cosa.

Saludos y gracias otra vez.

Tendrás que pedirles los logs de accesos, lo más completo posible, al servidor web de las IPs afectadas teniendo en cuenta que después deberás de presentarselo al ISP que provee al &quot;atacante&quot; para que tenindo en cuanta las IPs, fecha, hora, etc puedan o puedas identificar a esa persona contrastandolo con los logs de conexión que ellos (ISP) poseen. Los logs de conexión mediante cierto protocolo guardan el nombre de usuario, contraseña y teléfono en las conexiones telefónicas ó IP de conexión, usuario, etc, en las conexiones tipo ADSL (DSL), cable, Ips mediante DHCP o &quot;fija&quot;.

Creo que no se me olvida nada.

Un saludo,

Berne:

Veo que andas muy preocupado por algunas conexiones desde IPs desconocidas para ti, (es bueno ser paranoico xDD) sin embargo teniendo en cuenta q hablamos de un website, lo mas natural ( y deseable) es q tenga la mayor cantidad de visitas posibles, con lo q tu espectro de IPs &quot;conocidas&quot; crecera invariablemente.

Lo primero que tienes q hacer es verificar minuciosamente los logs de tu servidor web (espero q sea Apache) y alli podras observar q esta ocurriendo, si ves conexiones persistentes q lo unico q hacen son hits no deberias preocuparte, al contrario, alegrate :P pero si vez cadenas muy largas q tratan de correr scripts,cgis,exes entonces si preocupate porque es un ataque deliverado, a pesar de q ya son muchos meses q lleva publicado los parches para el RedCode, aun yo sigo recibiendo intentos de infeccion por parte de servidores con IIS, ese podria ser tu caso ;) todo esta en q audites lo q sale en los logs.

Finalmente, los q se aprovechan de sus conocimientos para provocar daños u obtener algun beneficio de forma ilegal NO SON hackers, los chicos malos son c.rackers, script kiddies, lamers y demas fauna :)

HTH

(o> Cesar Villegas Ureta
// "Slayer_X"
V_/_ -----BEGIN GEEK CODE BLOCK Version: 3.1-----
GCS d- s+:+ a- C++ UL+++$ P+ L++ E-- W+++ N+ o? K? w+(---)
O? M+ V- PS+ !PE Y+ PGP++ t-- !5 X++ R tv+ b+++ DI? D+++ G++ e+ h+ r y++* UF+++

Bueno, para los que querían una IP aquí les envío esta 164.77.57.202 que ha entrado cada 3 minutos, la lista de últimas entradas de Yaspe indica que lo hace desde las 17:30 hora de Chile hasta las 21:13

Veamos si me pueden dar más información, el Whois de Nic.com me arroja lo siguiente:
Aparece también el nombre y correo del encargado del ISP ¿Creen que sea conveniente comunicarme con él?

Gracias por su atención y espero sus comentarios.

Estimados colegas:
Quiero reportarles algunos asuntos que no son muy usuales revisar.
El primero sería que, si en argentina te conectaras por una empresa de adsl (arnet o speedy, otras no), cada vez que el tiempo inactivo supera los 120 seg. te cambia de IP y a veces de router.
Otro tema es que esa es una de las IP que utiliza un usuario de espanadir.com para enviar spam a traves de un programa automatizado de envío de información (algún error de dirección catologada por la empresa?).
Tercero, tienen razón los que te dicen que revises los logs del servidor. De hecho, si estás pagando un host, exígeles que trabajen para tí y te envíen esos logs, mi empresa de host lo hace sin chistar.
Saludos.
Zero Zen.

En este URL tengo un pantallazo de unos accesos al sitio.

...díganme si no tienen algo raro...

http://gbernedo.netfirms.com

Revisé el IP con Nic.com y no me arroja ninguna respuesta.

Qué pasa?

Saludos

Mira Berne y los demas &quot;kapos&quot; en el tema la ip que diste de banmedica es parecida a los usuarios que entran con coneccion de entel internet, pues yo uso entel y cuando veo mi ip en un soft que tengo me arroja que tambien lo tiene o usa banmedica

creo que es una duplicidad de ip como dices tu o no?