Muchas gracias por la información r32
No se si tendrás algo más pero rkhunter ya te avisaba de un posible hijacking de los dns...
Si que tengo algo más, el controlador de red está afectado sospecho al igual que otros, por eso sufro varios problemas con la gráfica, la red cable, red wifi, sobre todo.
Bien #!drvy , las direcciones mac las saque con el programa netdiscover, de hecho deje el pc corriendo este programa varios días, habiendo solo conectado el pc de mi madre, mi pc y el router, no estaba el meterpreter de armitage, ya que el pc de mi madre lleva windows 8.1 sin nada, y yo el caine, que no tiene instalado armitage ni meterpreter.
El resultado de netdiscover, sin tener armitage meterpreter fue:
IP At MAC Address Count Len MAC Vendor
-----------------------------------------------------------------------------
222.222.222.2 10:fe:ed:71:59:8a 611 36660 Unknown vendor
222.222.222.26 f8:a9:63:a6:70:57 5189 311340 Unknown vendor
0.0.0.0 f8:a9:63:a6:70:57 4683 280980 Unknown vendor
222.222.222.23 78:24:af:39:5c:ad 2300 138000 Unknown vendor
222.222.222.2 78:24:af:39:5c:ad 639 38340 Unknown vendor
Cuando utilice bugtraq con el armitage, fue conectándo un tercer ordenador para escanear las anteriores direcciones.
Me di cuenta que en el router, sin haberlo puesto yo, en la sección acces management en el apartado ACL estaba activado , con la dirección segura 0.0.0.0, no se que es esto, ahora lo tengo desactivado, pero los problemas igual en general.
Entonces, aqui está el router, que es 222.222.222.2 está mi pc, pero no sale la ip, mi pc, utiliza la ip 222.222.222.22, está el pc de mi madre que es 222.222.222.23 , está el pc con la dirección 222.222.222.26, que supongo sería un tercer pc que conecté,(lo más probable, pero no estoy seguro si lo conecté), y está la dirección 0.0.0.0. , que o es el host atacante, o viene del router, del ACL activo, pero no lo se, y lo curioso que no sale mi dirección ip, tal vez por que ejecutara el programa de ese pc y entonces es normal que no muestre la ip, o ni idea.
Aparte tenemos la dirección del router , doblada con dos mac, la cual 10:fe:ed:71:59:8a es la original del router, y la otra dirección doblada de 222.222.222.2 es la mac 78:24:af:39:5c:ad que responde al pc de mi madre.
No se, pero algo no me cuadra , pero no lo se.
Entonces dices que está bien las descargas, bueno yo no lo se, pero los checksum md5 me los baja mal en muchas cosas te lo aseguro. Y se escaneo con clamtk tras descargar archivos siempre encuentra algo, sobre todo archivos PUA, a cientos.
Por ejemplo ayer, perdí el sistema operativo, tras eliminar un montón de archivos infectados y troyanos, que justamente los tenía en wine, para windows.... todo por haber descargado archivos.... por eso tenía problemas de navegación lenta, cuelgues, etc, etc... trastee demasiado, y me cargue el sistema operativo, no pude restaurarlo, pero no he perdido nada.
Haber si puedo conectarme al anubis, que ahora mismo no puedo acceder a la página no se por que,y les haré el scan a los mismos archivos que pasé con virus total.
Lo de los drivers, yo se que hay algo extraño, es probable que sean el problema de una u otra forma,¿por que los drivers, no se alojan en los chips correspondientes, es decir, el driver de audio, en el chip de audio, el driver de red en el chip de red, y así con todos, o me equivoco?
Hombre, sabeis, que, mis equipos informáticos, saben lo que tengo, por que dejaba entrar a alguna persona y veia todo lo que tenía, incluso, deje solas las personas delante del pc por unos minutos hace tiempo.....entonces, podrían saber exactamente todo lo que tengo, y más si me siguen, con que eso es bien probable, se da una condición, y comento, que esto vengo batallando con el cracker este muchos años, y ha ido aprendiendo mucho por lo que se ve....
#!drvy, tu dices que descartas infección de firmware, pero, como explicas que persistan los problemas sin los discos duros???? estoy abierto a todo tipo de sugerencias.
No me digas lo de los sicarios que ya solo me faltaba eso....por que por defenderme de un atacante....yo creo que el podría borrar sus rastros si quisiera , quemar su pc, y dejarlo, pero no cesa.
Por cierto, creo que el router también es posible que tenga afectado algo, que sería el firmware... cuando lo reinicio a estado de fábrica, creo que no tiene todas las opciones como debería, no se si por culpa del pc o el router.
Trate de actualizar el router como root, por ftp creo que era, pero me daba error , no podía, decia error imput/output bios.
#!drvy te aseguro que no es ninguna trolleada, que ganaría yo, simplemente busco ayuda, para saber que es exactamente lo que tengo.
Yo solo quiero limpiarlo y saber que es , ya se que es doble post, pero como me han preguntado otra vez, pues lo expongo, mirá desde la primera vez que lo postee, lo ha visto más gente que a aportado más cosas, y yo he aprendido un poco más.
Voy a poner unos enlaces para mayor información del log de chkrootkit, y de system testing hecho con una herramienta de caine, en la que puede verse anomalias, entre ellas, invalid host name, haber si puedo postearlo bien, por que creo que aportan información:
http://paste.ubuntu.com/12797204/plain/http://paste.ubuntu.com/12797719/plain/Creo no se ve, y el log de chkrootkit es verdaderamente largo de verdad, el otro es algo largo, sale en el navegador web los resustados, pero no se como mostrarlo, tal vez podría hacer varias tomas de pantalla ordenadamente y se verían los resultados, pero tendría que hacer unas cuantas tomas, tal vez más de 10-15.
Voy a poner capturas del router:
Primero con la dirección acl 0.0.0.0, que no se si tiene que ver con lo anterior.
subirimagenesAhora una captura de status donde puede verse que mi gateway predeterminado que debería ser 222.222.222.2 pues es 192.168.144.1, y si se modifica, se cae la conexión a internet, es decir solo funciona con el fake, si pongo mi dirección no conecta:
hosting imagenesY por último , una captura del router, del apartado routing, donde cada vez que reinicio el router , me aparece una dirección ip como la del status, la 192.168.144.1, la cual si no borro manualmente, puede putearme mucho.... tardé bastante a verlo, y luego, fue una pelea, por que cada vez que la borraba, volvia a aparecer a los pocos minutos, y así pasaban los días yo quitandolo, y volviendose a poner sola, hasta que ahora ya, con quitarlo una vez, no me lo vuelve a meter, a menos que reinicie, o algún día si me despisto, en cuanto se pone esa dirección, empiezan a haber cortes de red, y mil problemas:
subir fotos onlineHola _TTFH_3500
¿Podrías explicar ESPECIFICAMENTE que problema tienes?
, es decir, dices que tienes un backdoor o que la placa madre esta corrupta pero, ¿Cómo lo sabes? Notas algo extraño aparte de los logs que crees que tienen algo raro, algo que modifique el software/hardware como que se abra la bandeja de CD, se borren archivos o cambie alguna configuración del equipo.
1) Suponiendo que tengas un malware, el 99% se encuentra en el disco duro o la RAM,
2) muy difícilmente en el MBR, la memoria de la grafica, el firmware (ROM, BIOS, etc).
3) Ahora bien, que tengas un malware en algún otro hardware es improbable (no imposible),
4) pero que hallas cambiado la placa base y sigas con tu problema… mmm…
La única solución que veo es que:
-Desconecta la pc de internet.
-Deja un SOLO disco duro conectado si tienes varios.
-Consigue una distribución de Linux que no esté comprometida, descárgala de una biblioteca, grábala en un CD, consigue un lector de CD de solo lectura para evitar que el malware se grabe en el disco y se vuelva a copiar.
-Al instalarla borra TODAS las particiones del disco y vuélvelas a crear, esto debería borrar el MBR.
Si el problema persigue suponiendo que el malware este en el firmware este debería ser creado para cada modelo particular de placa base y de la BIOS, así que si compras otra asegúrate que nadie vea el modelo que compraste
y cree otra versión del malware.
(Hay otra opción (4) pero es mas probable que trabajes para la KGB a que pase eso.)
Pues los problemas con el pc ya los he comentado: Me desconecta el ratón, me cambia el estado del teclado, por ejemplo me cambia de minúsculas a mayusculas, provocándome errores al escribir, me reinicia el navegador, varias veces seguidas, me carga scripts en el navegador, se ralentiza, cuando hago descargas de imágenes y compruebo el checksum , la mayoria vienen mal, si no todas, comparo el checksum y es diferente, me aparecen fotos en una carpeta de firefox que no he puesto yo, sufro man in the midle, acoso con publicidad ofensiva que bloqueo con addblock, más cosas que se me escaparán y que ahora no recuerdo, todo esto con linux, en window, no lo utilizo, por que me entra facilmente, y me la lia.... en linux, creo que si no descargo wine, con lo comentado anteriormente, creo no puede hacerme más.
El otro día me atreví a utilizar windows 8.1 en el compak presario que utilizo, y me duro dos días, pantallazo azul, reinicie, y no funcionaba el raton, en linux, desenchufo el raton lo vuelvo a enchufar y funciona, pero en windows, no había manera, no funcionaba, al final desisti de utilizar windows 8 en este pc con conexion a internet, solo lo utilizo sin conexión a internet para jugar a algún juego si apetece.
Haber, ultimamente, no, pero cuando tenía una impresora conectada hace años, me iniciaba a imprimirme hojas con emoticonos.... se me abria y cerraba la tapa del cd sola, cuando iba a meter el cd se me cerraba.... y putadas de estas muchas.
¿Podría haber algún malware el la tarjeta de memoria que tengo de 8gb bastante nueva?? o en algún otro componente? Por que si los problemas están sin los discos duros, el problema de donde puede venir?
Es dificil que esté en los controladores dices, pero por ejemplo tengo un televisor oki, que utilizo de pantalla externa, el cual , tiene algo afectado, por que tiene la retroiluminación al 100% y no puede bajarse, con el consiguiente fastidio para la vista, prové de actualizar el firmware, pero solo conseguí que me aparecieran dos opciones de graduar brillo y contraste, algo es algo, pero la retroiluminación continua inamovible al 100%, esta pantalla la utilizo con los pc, y comparte usb.
En los pc me dan problemas los drivers, de gráfica, de red, de la grabadora ... no se.
Yo no se exactamente lo que tengo, pero tengo muchos indicios de que algo va mal, y se decanta hacia los firmwares, lo cual no quiere decir que sea otra cosa, no se.
Si he cambiado la placa base 3 veces, compré un pc todo nuevo con teclado y ratón, listo de mi, le conecté un usb de los infectados, corruptos, lo que sea, y el pc se infectó con lo mismo, esto hace muy poquito...aparte le conecté la pantalla externa oki comentada anteriormente, que de una u otra forma tiene también algo mal.
El pc que compré era un compak, de sobremesa barato, muy simplón, de la misma marca que el compak que tengo con problemas.
Si tengo discos originales, windows 8.1, caine 6.0, kali linux, bugtraq, y utilizándolos en live sesion, ya pasando programas y mirando todo, ya están todos los problemas.
Esta mañana he grabado el caine desde otro pc, he cogido el disco duro que tengo en el compak, lo he metido en la torre asus h81m-c y le he grabado el caine 6.0 desconectado de internet, luego lo he cogido y lo he metido en el compak desde el que escribo ahora, y de momento bien , lo que es el funcionamiento del s.o. pero los problemas comentados persisten, y solo pueden ir empeorando hasta que consigue entrarme.
Yo creo que lo he probado prácticamente todo lo que está en mi mano, con mis pobres conocimientos.
Los equipos informáticos comprometidos son:
placa asus h81m-c x 2 placas
compak hp presario portatil
portatil acer
televisor smart tv lg
routers más que probable
tv oki tiene algo de la gráfica también.
El teléfono móvil no tengo ninguna prueba,( más que indicios y sospechas personales) y que se ha conectado a varios sistemas informáticos comentados anteriormente, con lo cual puede suponerse que es posible que se contaminara, pero no lo se.
¿Hay modelos de placas base que tengan un jumper de protección de escritura de la bios?he estado buscando, pero no he encontrado, ¿que placas base son las más seguras y por que?
Si compro alguna, será un modelo desconocido o marca rara, o el pc nuevo, o una Raspberry Pi , pantalla nueva, teclado nuevo, ratón nuevo, router nuevo, sin wifi y a rezar.
jajaja, no trabajo para la kgb, pero me gustaría oir tu teoria.
AlbertoBSD, menuda noticia más buena me has dado:
Yo soy Ingeniero en Computacion tengo mi propio local y reparo Celulares, Tablets, Laptops y PCs.
Trae tu computadora a mi local y yo personalemente lo reparo, despues de ver minusiosamente los LOGS note algo muy curioso tal vez nadie de los presentes se dio cuenta de ello y ahi esta el problema, tardara un poco dependiendo de que Chipset tenga tu equipo.
Saludos!
Es maravilloso que sepas ver algo , comparte con todos tus conocimientos porfavor.
De donde eres, podría enviarte una placa base por envio certificado.
Por ejemplo una de las placas base con lo que sufro esto es:
Asus H81M-C
Serial No.: EAMOCS301498
Part No. : 90MB0GT0-M0EAY0
LGA 1150,Intel H81, 1* DDR3,DVI,D_Sub,2*USB 3.0 , 2*SATA
6Gb/s, 1PCI,1*PClex16, 2*PCIEx1, COM header , LPT
Port, TPM header, 8CH Audio , Gb LAN , UEFI BIOS,
U3 Boost, Fan Xpert,All Solid Cap, Win8 Ready
Check number 8843
AlbertoBSD , muchas gracias, si quieres que te diga algo en especial comenta, y seas de donde seas, te podría enviar una placa para que la vieras, si tienes que hacer presupuesto aproximado me lo dices por privado o como quieras.
Un saludo y muchas gracias.