Autor
Esto es... Conecto, y no realizo ninguna conexion... Y van llegando solitas los intentos... Hasta llegan a establecerse la conexion, ahi supongo el worm envia el exploit y como toy parcheado se cierra la conex.
No encuentro mas detalles... Para aclararles... Tengo un firewall activado, (invisble ICMP) el Kaspersky... Y use un rootkit detector y nada.. Estoy actualizado y limpio al dia.
Quise ver un poco mas y las maquinas que me hacen conex... son todas Windows... y no creo que haya tanta gente descoupada, esto debe ser un gusano, pero al dia de la fecha scanie esas pc con las vulnearvilidades RPC, y hasta LSSASS y no son vulnerables... No se que puede estar pasando.
Esto paso a las 15:00 Hs. aprox.
Código:
Log
Conexiones activas
Proto Dirección local Dirección remota Estado
TCP censurado:epmap 201-254-13-218.speedy.com.ar:2993 TIME_WAIT
TCP censurado:epmap 201-254-13-218.speedy.com.ar:3000 TIME_WAIT
TCP censurado:epmap 201-254-108-4.mrse.com.ar:2471 TIME_WAIT
TCP censurado:epmap 201-255-83-135.mrse.com.ar:1312 TIME_WAIT
TCP censurado:epmap 201-255-83-135.mrse.com.ar:1694 TIME_WAIT
TCP censurado:epmap 201-255-83-135.mrse.com.ar:4164 TIME_WAIT
TCP censurado:epmap 201-255-83-135.mrse.com.ar:4656 TIME_WAIT
TCP censurado:microsoft-ds 201-255-83-135.mrse.com.ar:2102 ESTABLISHED
TCP censurado:1740 247-web.co.uk:http TIME_WAIT
Conexiones activas
Proto Dirección local Dirección remota Estado
TCP censurado:epmap 201-254-13-218.speedy.com.ar:2993 TIME_WAIT
TCP censurado:epmap 201-254-13-218.speedy.com.ar:3000 TIME_WAIT
TCP censurado:epmap 201-254-108-4.mrse.com.ar:2471 TIME_WAIT
TCP censurado:epmap 201-255-83-135.mrse.com.ar:1312 TIME_WAIT
TCP censurado:epmap 201-255-83-135.mrse.com.ar:1694 TIME_WAIT
TCP censurado:epmap 201-255-83-135.mrse.com.ar:4164 TIME_WAIT
TCP censurado:epmap 201-255-83-135.mrse.com.ar:4656 TIME_WAIT
TCP censurado:1740 247-web.co.uk:http TIME_WAIT
Conexiones activas
Proto Dirección local Dirección remota Estado
TCP censurado:epmap 201-255-164-11.mrse.com.ar:2213 TIME_WAIT
TCP censurado:epmap 201-255-164-11.mrse.com.ar:2410 TIME_WAIT
TCP censurado:microsoft-ds 201-255-164-11.mrse.com.ar:2615 ESTABLISHED
C:\WINDOWS\COMMAND>netstat
Conexiones activas
Proto Dirección local Dirección remota Estado
TCP censurado:epmap 201-254-21-120.speedy.com.ar:4337 SYN_RECEIVED
TCP censurado:epmap 201-255-141-167.mrse.com.ar:1783 SYN_RECEIVED
TCP censurado:epmap 201-255-143-123.mrse.com.ar:1778 TIME_WAIT
TCP censurado:epmap 201-255-143-123.mrse.com.ar:1826 TIME_WAIT
TCP censurado:epmap 201-255-164-11.mrse.com.ar:2213 TIME_WAIT
TCP censurado:epmap 201-255-164-11.mrse.com.ar:2410 TIME_WAIT
Conexiones activas
Proto Dirección local Dirección remota Estado
TCP censurado:epmap 201-254-161-231.speedy.com.ar:1716 TIME_WAIT
TCP censurado:epmap 201-254-161-231.speedy.com.ar:4602 TIME_WAIT
TCP censurado:epmap 201-255-152-36.mrse.com.ar:1036 TIME_WAIT
TCP censurado:epmap 201-255-152-36.mrse.com.ar:2271 TIME_WAIT
TCP censurado:microsoft-ds 201-255-240-30.mrse.com.ar:3526 ESTABLISHED
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\RPCRT4.dll
c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ADVAPI32.dll
[svchost.exe]
Conexiones activas
Proto Dirección local Dirección remota Estado
TCP censurado:epmap 201-254-22-113.speedy.com.ar:3452 CLOSING
TCP censurado:epmap 201-254-22-113.speedy.com.ar:3798 ESTABLISHED
TCP censurado:epmap 201-255-132-145.mrse.com.ar:4670 ESTABLISHED
TCP censurado:epmap 201-255-152-106.mrse.com.ar:3283 ESTABLISHED
TCP censurado:epmap 201-255-164-6.mrse.com.ar:3173 TIME_WAIT
TCP censurado:epmap 201-255-164-6.mrse.com.ar:3201 TIME_WAIT
TCP censurado:epmap 201-255-164-11.mrse.com.ar:3855 ESTABLISHED
TCP censurado:epmap 201-255-180-48.mrse.com.ar:4028 TIME_WAIT
TCP censurado:epmap 201-255-180-48.mrse.com.ar:4207 TIME_WAIT
TCP censurado:epmap 201-255-180-48.mrse.com.ar:4272 TIME_WAIT
TCP censurado:epmap 201-255-180-48.mrse.com.ar:4346 TIME_WAIT
TCP censurado:microsoft-ds 201-254-22-113.speedy.com.ar:3408 LAST_ACK
Conexiones activas
Proto Dirección local Dirección remota Estado
TCP censurado:epmap 201-254-13-218.speedy.com.ar:2993 TIME_WAIT
TCP censurado:epmap 201-254-13-218.speedy.com.ar:3000 TIME_WAIT
TCP censurado:epmap 201-254-108-4.mrse.com.ar:2471 TIME_WAIT
TCP censurado:epmap 201-255-83-135.mrse.com.ar:1312 TIME_WAIT
TCP censurado:epmap 201-255-83-135.mrse.com.ar:1694 TIME_WAIT
TCP censurado:epmap 201-255-83-135.mrse.com.ar:4164 TIME_WAIT
TCP censurado:epmap 201-255-83-135.mrse.com.ar:4656 TIME_WAIT
TCP censurado:microsoft-ds 201-255-83-135.mrse.com.ar:2102 ESTABLISHED
TCP censurado:1740 247-web.co.uk:http TIME_WAIT
Conexiones activas
Proto Dirección local Dirección remota Estado
TCP censurado:epmap 201-254-13-218.speedy.com.ar:2993 TIME_WAIT
TCP censurado:epmap 201-254-13-218.speedy.com.ar:3000 TIME_WAIT
TCP censurado:epmap 201-254-108-4.mrse.com.ar:2471 TIME_WAIT
TCP censurado:epmap 201-255-83-135.mrse.com.ar:1312 TIME_WAIT
TCP censurado:epmap 201-255-83-135.mrse.com.ar:1694 TIME_WAIT
TCP censurado:epmap 201-255-83-135.mrse.com.ar:4164 TIME_WAIT
TCP censurado:epmap 201-255-83-135.mrse.com.ar:4656 TIME_WAIT
TCP censurado:1740 247-web.co.uk:http TIME_WAIT
Conexiones activas
Proto Dirección local Dirección remota Estado
TCP censurado:epmap 201-255-164-11.mrse.com.ar:2213 TIME_WAIT
TCP censurado:epmap 201-255-164-11.mrse.com.ar:2410 TIME_WAIT
TCP censurado:microsoft-ds 201-255-164-11.mrse.com.ar:2615 ESTABLISHED
C:\WINDOWS\COMMAND>netstat
Conexiones activas
Proto Dirección local Dirección remota Estado
TCP censurado:epmap 201-254-21-120.speedy.com.ar:4337 SYN_RECEIVED
TCP censurado:epmap 201-255-141-167.mrse.com.ar:1783 SYN_RECEIVED
TCP censurado:epmap 201-255-143-123.mrse.com.ar:1778 TIME_WAIT
TCP censurado:epmap 201-255-143-123.mrse.com.ar:1826 TIME_WAIT
TCP censurado:epmap 201-255-164-11.mrse.com.ar:2213 TIME_WAIT
TCP censurado:epmap 201-255-164-11.mrse.com.ar:2410 TIME_WAIT
Conexiones activas
Proto Dirección local Dirección remota Estado
TCP censurado:epmap 201-254-161-231.speedy.com.ar:1716 TIME_WAIT
TCP censurado:epmap 201-254-161-231.speedy.com.ar:4602 TIME_WAIT
TCP censurado:epmap 201-255-152-36.mrse.com.ar:1036 TIME_WAIT
TCP censurado:epmap 201-255-152-36.mrse.com.ar:2271 TIME_WAIT
TCP censurado:microsoft-ds 201-255-240-30.mrse.com.ar:3526 ESTABLISHED
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\RPCRT4.dll
c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ADVAPI32.dll
[svchost.exe]
Conexiones activas
Proto Dirección local Dirección remota Estado
TCP censurado:epmap 201-254-22-113.speedy.com.ar:3452 CLOSING
TCP censurado:epmap 201-254-22-113.speedy.com.ar:3798 ESTABLISHED
TCP censurado:epmap 201-255-132-145.mrse.com.ar:4670 ESTABLISHED
TCP censurado:epmap 201-255-152-106.mrse.com.ar:3283 ESTABLISHED
TCP censurado:epmap 201-255-164-6.mrse.com.ar:3173 TIME_WAIT
TCP censurado:epmap 201-255-164-6.mrse.com.ar:3201 TIME_WAIT
TCP censurado:epmap 201-255-164-11.mrse.com.ar:3855 ESTABLISHED
TCP censurado:epmap 201-255-180-48.mrse.com.ar:4028 TIME_WAIT
TCP censurado:epmap 201-255-180-48.mrse.com.ar:4207 TIME_WAIT
TCP censurado:epmap 201-255-180-48.mrse.com.ar:4272 TIME_WAIT
TCP censurado:epmap 201-255-180-48.mrse.com.ar:4346 TIME_WAIT
TCP censurado:microsoft-ds 201-254-22-113.speedy.com.ar:3408 LAST_ACK
En línea
