elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Únete al Grupo Steam elhacker.NET


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Posible servidor de control botnet?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Posible servidor de control botnet?  (Leído 1,770 veces)
m0rf


Desconectado Desconectado

Mensajes: 828


BACK!


Ver Perfil
Posible servidor de control botnet?
« en: 15 Marzo 2012, 12:47 pm »

Pues eso, estaba probando algunas cosas con el ids y me salta con que hay tráfico peligroso hacia 199.59.241.234.

En concreto:

Código:
alert tcp $HOME_NET any -> [199.58.207.185,199.59.241.234,199.59.241.234,199.80.60.49,199.85.215.60,199.91.173.253,200.110.129.104,200.175.44.161,200.23.149.144,200.29.0.66] any (msg:"ET DROP Known Bot C&C Server Traffic TCP (group 64) "; flags:S; reference:url,doc.emergingthreats.net/bin/view/Main/ShadowServerCC; reference:url,www.shadowserver.org; reference:url,abuse.ch; threshold: type limit, track by_src, seconds 3600, count 1; classtype:trojan-activity; flowbits:set,ET.Evil; flowbits:set,ET.BotccIP; sid:2404126; rev:2632;)

Tengo 4 paquetes, 3 con none data y 1 con

43 43 43 43 43 43 43 43 43 43 43 43 43 43 43 43
43 43 43 43 43 43 43 43 43 43 43 43 43 43 43 43
43 43 43 43 43 43 43 43 43 43 43 43 43 43 43 43
43 43 43 43 43 43 43 43 43 43 43 43 43 43 43 43
43 43 43 43 43 43 43 43 43 43 43 43 43 43 43 43
43 43 43 43 43 43 43 43 43 43 43 43 43 43 43 43
43 43 43 43 43 43 43 43 43 43 43 43 43 43 43 43
43 43 43 43 43 43 43 43 43 43 43 43 43 43 43 43
43 43 43 43 43 43 43 43 43 43 43 43 43 43 43 43
43 43 43 43 43 43 43 43 43 43 43 43 43 43 43 43
43 43 43 43 43 43 43 43 43 43 43 43 43 43 43 43
43 43 43 43 43 43 43 43 43 43 43 43 43 43 43 43
43 43 43 43 43 43 43 43 43 43 43 43 43 43 43 43
43 43 43 43 43 43 43 43 43 43 43 43 43 43 43 43
43 43 43 43 43 43 43 43 43 43 43 43 43 43 43 43
43 43 43 43 43 43 43 43 43 43 43 43

este es udp los otros 3 son tcp. Puede ser esto un metodo de control?

Mi teoria es que como estaba probando un programa en una vm con windows xp el paquete ha pasado por el pc normal y posteriormente por el ids, si todos con la misma tarjeta de red xD.

Las source ip's de los paquetes son .130 . 133 . 128.

.128 pc instalado .130 donde hice las pruebas y .133 donde tengo el ids.

Lo que más me ha desconcertado es que también de una alerta desde el .133 porque me parece practicamente imposible que este infectado, por no decir imposible es un ubuntu practicamente nuevo y actualizado.

Bueno aquí dejo un pantallazo de esta parte del log:


A ver si alguien le hecha un vistazo al servidor y me comenta que le parece. Yo le he hecho un simple escaneado y dice que es windows iss 7.5 tan solo puerto 80 abierto.

Si accedes a dicho servidor por navegador, muestra: http://199.59.241.234/?srt=1331811757576&refurl= y en el source pone invalid server. Muy probablemente porque no estoy autentificado como server o no lo hago mediante la aplicación especifica.

A ver si alguien se anima a dar su opinión o su experiencia.

Saludos.


En línea

Si todos fuéramos igual de inteligentes no existiría la mediocridad porque no podríamos apreciarla. Aprecias la mediocridad?
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines