csaralg
12-08-2010, 09:47 PM
Hola, no estaba seguro de donde exactamente colocar esto.
Estoy algo avispado, hace unos minutos me di con la sorpresa de que mi maquina estaba enviando información por la red y yo solo estaba viendo una película desde el disco duro y no tenia ningún programa que usara la red abierto.
Me parecía sospechoso así que abrí wireshark (sin modo promiscuo) y me puse a revisar que es lo que estaba enviando mi equipo. Vaya sorpresa era puro trafico encriptado con TLSv1 y lo mas curioso era que lo enviaba a 174.129.193.12. Hice un whois para averiguar a quien pertenecía la IP y me dice que es de AMAZON del servicio EC-2 que ellos ofrecen a mi entender para procesar información en la nube.
$whois 174.129.193.12
Me asuste ¿¡Osea que mi computadora esta procesando datos para Amazon!? Trate de tranquilizarme un poco y de hacer algo al respecto.
Lo primero que se me ocurrió fue que quizá era el tor que estaba redirigiendo trafico así que me bajé el proceso de tor:
#/etc/init.d/tor stop
Pero no era eso, el flujo de datos aun seguía :S Joder!! Me baje el polipo (proxy), el apache, el bind9, el proftpd y hasta el mysql xD (paranoic_mode = On) Pero nada...
#/etc/init.d/polipo stop
#/etc/init.d/bind9 stop
#/opt/lampp/lampp stop
Después pensé en añadir unas reglas a iptables para que bloquee todo el trafico entrante y saliente hacia la red de Amazon (174.129.0.0/16). Utilice una herramienta con GUI que tiene el Ubuntu en sus repos pero vaya que nada funciona justo cuando más lo necesitas!!
Finalmente lo que sí me sirvió fue esto:
Con el wireshark vi el puerto local que se estaba usando para la comunicación, era el 33964. Luego con netstat saqué el PID del proceso que estaba usando ese puerto.
#netstat -pan | grep 33964
unix 3 [ ] FLUJO CONECTADO 33964 1258/python
¿Un script en python? Me baje el proceso con kill.
#kill 1258
Luego vi como en el wireshark los paquetitos empezaban a cambiar de color y de pronto el flujo se detuvo!! xD
Sin embargo lo que aun me preocupa es primero buscar y destruir el pinche script python responsable de esto. Luego pues averiguar como €@#$%&.. se metió en mi sistema :( Y finalmente ¿Será Amazon realmente el responsable? ¿A alguien más le estará sucediendo lo mismo? No lo sé, pero en el resultado del whois también salia un curioso mensaje:
Comment: The activity you have detected originates from a
Comment: dynamic hosting environment.
Comment: For fastest response, please submit abuse reports at
Comment: http://aws-portal.amazon.com/gp/aws/html-forms-controller/contactus/AWSAbuse
Comment: For more information regarding EC2 see:
Comment: http://ec2.amazonaws.com/
Comment: All reports MUST include:
Comment: * src IP
Comment: * dest IP (your IP)
Comment: * dest port
Comment: * Accurate date/timestamp and timezone of activity
Comment: * Intensity/frequency (short log extracts)
Comment: * Your contact details (phone and email)
Comment: Without these we will be unable to identify
Comment: the correct owner of the IP address at that
Comment: point in time.
Si alguien me puede ayudar a resolver algunas de estas dudas se lo agradecería bastante.
Saludos.
Estoy algo avispado, hace unos minutos me di con la sorpresa de que mi maquina estaba enviando información por la red y yo solo estaba viendo una película desde el disco duro y no tenia ningún programa que usara la red abierto.
Me parecía sospechoso así que abrí wireshark (sin modo promiscuo) y me puse a revisar que es lo que estaba enviando mi equipo. Vaya sorpresa era puro trafico encriptado con TLSv1 y lo mas curioso era que lo enviaba a 174.129.193.12. Hice un whois para averiguar a quien pertenecía la IP y me dice que es de AMAZON del servicio EC-2 que ellos ofrecen a mi entender para procesar información en la nube.
$whois 174.129.193.12
Me asuste ¿¡Osea que mi computadora esta procesando datos para Amazon!? Trate de tranquilizarme un poco y de hacer algo al respecto.
Lo primero que se me ocurrió fue que quizá era el tor que estaba redirigiendo trafico así que me bajé el proceso de tor:
#/etc/init.d/tor stop
Pero no era eso, el flujo de datos aun seguía :S Joder!! Me baje el polipo (proxy), el apache, el bind9, el proftpd y hasta el mysql xD (paranoic_mode = On) Pero nada...
#/etc/init.d/polipo stop
#/etc/init.d/bind9 stop
#/opt/lampp/lampp stop
Después pensé en añadir unas reglas a iptables para que bloquee todo el trafico entrante y saliente hacia la red de Amazon (174.129.0.0/16). Utilice una herramienta con GUI que tiene el Ubuntu en sus repos pero vaya que nada funciona justo cuando más lo necesitas!!
Finalmente lo que sí me sirvió fue esto:
Con el wireshark vi el puerto local que se estaba usando para la comunicación, era el 33964. Luego con netstat saqué el PID del proceso que estaba usando ese puerto.
#netstat -pan | grep 33964
unix 3 [ ] FLUJO CONECTADO 33964 1258/python
¿Un script en python? Me baje el proceso con kill.
#kill 1258
Luego vi como en el wireshark los paquetitos empezaban a cambiar de color y de pronto el flujo se detuvo!! xD
Sin embargo lo que aun me preocupa es primero buscar y destruir el pinche script python responsable de esto. Luego pues averiguar como €@#$%&.. se metió en mi sistema :( Y finalmente ¿Será Amazon realmente el responsable? ¿A alguien más le estará sucediendo lo mismo? No lo sé, pero en el resultado del whois también salia un curioso mensaje:
Comment: The activity you have detected originates from a
Comment: dynamic hosting environment.
Comment: For fastest response, please submit abuse reports at
Comment: http://aws-portal.amazon.com/gp/aws/html-forms-controller/contactus/AWSAbuse
Comment: For more information regarding EC2 see:
Comment: http://ec2.amazonaws.com/
Comment: All reports MUST include:
Comment: * src IP
Comment: * dest IP (your IP)
Comment: * dest port
Comment: * Accurate date/timestamp and timezone of activity
Comment: * Intensity/frequency (short log extracts)
Comment: * Your contact details (phone and email)
Comment: Without these we will be unable to identify
Comment: the correct owner of the IP address at that
Comment: point in time.
Si alguien me puede ayudar a resolver algunas de estas dudas se lo agradecería bastante.
Saludos.