Datos personales

chelo 2

 

Mail:Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Dirección

C/ Torrenueva nº 15, 4ºB

23400 Úbeda (Jaén)

 

 

Esta deducción es absolutamente erronea; más adelante analizaré las causas, pero antes quiero presentar una serie de datos extraídos de los archivos de log de un determinado ordenador. La secuencia es la siguiente:

  • A las 17:46:30 del 30 de agosto de 2.017 se pone en marcha un servidor equipado con la variante Ubuntu 16.04 de Linux (y adecuadamente configurado) y conectado directamente a Internet.
  • A las 17:47:32 se recibe el primer intento de "ataque" desde un ordenador externo cuya IP está controlada por el proveedor de servicios Smileserv ubicado en Seul, Corea del Sur (que raro ¿verdad?).
  • En el mismo segundo se producen dos nuevos intentos de ataque, esta vez desde Estambul y las islas Seychelles respectivamente.
  • Dos segundos después, un cuarto ataque. Esta vez desde Las Vegas.
  • Y así sucesivamente, de modo que a las 18:44:36 (del mismo día) se han registrando 1.120 intentos de ataque (todos infructuosos, el ordenador está adecuadamente protegido), lo que nos da una media de 1.120 intentos/57 minutos = 19,64 intentos/minuto.

Teniendo en cuenta que Internet es una red distribuida por todo el planeta, es acertado suponer que el índice de intentos de ataque será más o menos constante a lo largo del día, lo que nos daría un total aproximado de 19,64 Ataque/minuto x 1.440 minutos/día = 23.961 ataques/día.

Increible ¿verdad?. Estamos hablando de un ordenador recién conectado. No quiero ni pensar en los ataques diarios que recibirán los bancos, operadores de comunicaciones, gigantes de la informática, etc. Sí, es para poner los pelos de punta, efectívamente.

Analicemos ahora lo que ha ocurrido durante estos 57 minutos; para ello se presenta un listado de los puertos TCP y UDP "atacados" ordenados de mayor a menor número de intentos. El siguiente listado está extraido de los logs

# Top scanned TCP ports:

tcp 445   850

tcp 23    75

tcp 80    72

tcp 25    46

tcp 1433  28

tcp 3306  9

tcp 22    7

tcp 5358  6

tcp 2323  3

tcp 3128  3

tcp 139   3

tcp 81    3

tcp 8080  3

tcp 6666  2

tcp 102   2

tcp 465   2

tcp 2222  2

tcp 1900  2

tcp 9000  2

tcp 8545  2

tcp 520   2

tcp 21    2

tcp 3389  2

tcp 7137  1

tcp 8443  1

tcp 88    1

tcp 13389 1

tcp 8126  1

tcp 8000  1

tcp 4009  1

tcp 1122  1

tcp 444   1

tcp 53111 1

tcp 33896 1

tcp 1515  1

tcp 8090  1

tcp 6611  1

tcp 21111 1

tcp 1755  1

tcp 4007  1

tcp 3398  1

tcp 4321  1

tcp 3428  1

tcp 4500  1

tcp 53389 1

tcp 63389 1

tcp 9966  1

tcp 3439  1

tcp 3399  1

tcp 1200  1

tcp 888   1

tcp 4040  1

tcp 10332 1

tcp 3333  1

tcp 3395  1

tcp 37    1

tcp 5057  1

 

# Top scanned UDP ports:

udp 1900  20

udp 5060  13

udp 53    6

udp 2222  1

 

Este listado muestra los tipos de ataque recibidos ordenados por SID (un índice definido por Snort para clasificar diferentes tipos de ataques), ordenados también según la cantidad recibida.

# Format: <sid> "<msg>" <matches> <num_sources> <sig_proto>

1087 "WEB-MISC whisker tab splice attack" 68 5 tcp

100205 "MISC Microsoft SQL Server communication attempt" 30 26 tcp

384 "ICMP PING" 12 3 icmp

1917 "SCAN UPnP service discover attempt" 10 10 udp

100074 "SCAN UPnP communication attempt" 10 10 udp

381 "ICMP PING Sun Solaris" 5 2 icmp

1852 "WEB-MISC robots.txt access" 5 5 tcp

2375 "BACKDOOR DoomJuice file upload attempt" 3 3 tcp

100077 "MISC MS Terminal Server communication attempt" 2 1 tcp

510 "POLICY HP JetDirect LCD communication attempt" 2 2 tcp

100084 "MISC HP Web JetAdmin communication attempt" 1 1 tcp

469 "ICMP PING NMAP" 1 1 icmp

Analicemos algunos de ellos:

El primero de todos, denominado "WEB-MISC whisker tab splice attack" ha sido ejecutado por 5 atacantes diferentes y un total de 68 veces. Este ataque es un intento de evadir a los sistemas de detección de intrusos y es ejecutado normalmente desde una herramienta denominada Whisker que es un escáner de contenidos de directorio raiz de un website; me imagino que para nada bueno...

El segundo es un "MISC Microsoft SQL Server communication attempt". Todo un clásico, ya que han tratado de contactar con un servidor de base de datos de Microsoft (lástima que en el servidor no haya instalado nada de eso)

 En fin, no es cuestión de ir analizando uno por uno todos los intentos de ataque, pero si deseáramos hacerlo, la base de datos de Snort es una ayuda inestimable.

Estos tipos de ataques, que son inofensivos si estamos algo protegidos, están perpetrados en su mayoría por aficionados al hacking (si uno de los de verdad topase con nuestro equipo, mejor ni pensarlo) que utilizan herramientas software de las que desconocen su funcionamiento y que se dedican a "peinar" Internet de forma aleatoria para ver si se topan de casualidad con algún equipo sin protección alguna. Una forma de deducir el tipo de atacante está basada en su asiduidad. Si analizamos los logs y vemos que sólo ha tratado de perpetrar un ataque, casi con seguridad es un aficionado o un gusano que trata de propagarse de otro ordenador al nuestro aprovechando alguna vulnerabilidad. Si, por el contrario, aparecen varios registros referentes al mismo atacante y a lo largo de un tiempo considerable, podemos pensar que estamos ante alguien persistente con el que hay que tener cuidado.

Una buena noticia es que los equipos que tenemos en casa los conectamos (normalmente) a Internet a través de un "router" que ya suele disponer por defecto de herramientas mínimas de protección por defecto, de tal modo que no permite establecer conexiones en el sentido Internet --> equipos en casa y, algo es algo, ya que un aficionado se dará por vencido si a la primera no consigue comprometer el equipo al que está atacando e irá a por otro.

No ocurre así con los equipos conectados directamente a Internet. Es completamente suicida ponerlos en marcha sin unas medidas de protección mínimas que iremos detallando un poco en siguientes artículos.