LINUCA
LINUCA - Asociación de Usuarios GNU/Linux en Cantabria
CONTENIDOS
. La Asociación
. ¡ Apúntate a socio !
. Fotos
. Los más leídos
. Autores [Actividad]
. Últimos Comentarios
. ¡Todos los titulares!
. Guía de Estilo
. Cómo publicar en Linuca
. Links cortos
. Lista de Correo
   [Mensajes antiguos]
   [Etiqueta en la Lista]
. Todas las Listas
. ¿Sugerencias?
. ¡Sindícanos!
Gràcies Bulma!
Esta página usa el código fuente de Bulma :-)
Busquedas

Ultimos kernels
(29/07/2014 09:04:35)
Debian
Última actualización
stable: 12/07/2014
testing: 29/07/2014
unstable: 29/07/2014
Detectado tráfico extraño en internet (6350 lecturas)
Por Alejandro
Ballfire (http://ballfire.ath.cx/~alex)
Creado el 22/06/2003 14:18 modificado el 22/06/2003 14:18

Según parece, se viene detectando desde hace una semana un incremento en el tráfico en internet, de origen desconocido.

Se ha venido sugeriendo que el causante de este tráfico es un tipo de "troyano" nuevo (lo pongo entre comillas porque los expertos no saben muy bien como clasificarlo) que recientemente podría haber sido interceptado por intrusec


Pagina1/1

Este misterioso fantasma parece ser un "Proof Of Concept" para ver si es posible mapear todo internet.

Según un grupo de seguridad (intrusec) se ha conseguido una copia del troyano concretamente este miércoles; el análisis comenzó el jueves y el viernes fue posteado un mensaje a las listas de seguridad de bugtraq, que paso a resumir en exclusiva... :-)

Según parece, lo que se ha interceptado no es el troyano original, sino un "copycat", es decir, una especie de modificación o mutación (que alguien me corrija) y se desconoce si es la única fuente del incremento de tráfico que se está viviendo.

El "troyano" parece ser un escaneador distribuído extremadamente furtivo. Cada vez que escanea una IP lo hace con 1000 IPs spoofeadas distintas de la misma subred. Claro está, al usar una IP spoofeada no puede recibir la respuesta del TCP SYN que usa para escanear, sin embargo, aquí es donde parece estar la novedad del "troyano"

Los paquetes para el scan se manda con una característica, se envían con una "window" en el paquete TCP de exactamente 55808 bytes. Así pues, el "troyano" además de enviar escaneos con IPs falsas, escucha todo el tráfico que tenga un window size de 55808. (poniendo la ethernet en modo promiscuo)

De esta manera, estamos ante un troyano que actúa de forma distribuída. Envía un SYN scan y la respuesta irá a otra IP que está spoofeada en la subred, de esta forma, si una de las IPs spoofeadas es real y corresponde a una máquina infectada, recogerá el resultado del scan.

Si esto es así, a medida que aumenta la "infección" a través de internet, más y más efectivo se volverá a la hora de escanear. Un comportamiento muy inteligente, si se me permite añadir

Cabe destacar que cada 24 horas funcionando se conecta a una IP para enviar los resultados, sin embargo, intrusec dice que el troyano tiene una característica (desactivada en la copia interceptada) que hace posible cambiar la IP a la que envia los resultados con un paquete especialmente creado.

El troyano no tiene código de autoexpansión, lo cual implica que debe ser instalado a mano. De momento sólo se ha detectado la presencia de esta "variante" en sistemas linux, pero se advierte que no se conoce si el troyano original es para windows, linux, o cualquier otro sistema operativo, además de advertir también que el código parece ser facilmente portable.

En fin, toda una amenaza, que crea un aumento de tráfico de tal calibre que la gente del backbone se está empezando a preocupar.

Más información en el artículo original (inglés, si algún alma caritativa tiene tiempo y ganas de traducir....) Información acerca de 55808

Según parece el troyano se instala en /tmp/... (tres puntos). Por lo menos asi actúa esta copia. así que ojo al dato con lo que instalamos recordad comprobar los md5sum e instalar sólo programas de confianza.


Imprimir
Version para
imprimir

Imprimir
Version
PDF
Comentarios
Es posible que se hayan omitido algunos comentarios considerados poco constructivos
1.  Re: Detectado tráfico extraño en internet (23/06/2003 15:51, #762)
  Por: MiKairos
El archivo del troyano esta alojado en "/tmp/.../", es decir, "/tmp/.../a", y lo que captura es escrito en el archiv r del mismo directorio. MiKairos

 
2.  Re: Detectado tráfico extraño en internet (23/06/2003 16:47, #764)
  Por: Phantom (http://www.desktopgirls.com)
Hola, hoy han comentado esto mismo en BarraPunto, concretamente aquí.

 
3.  Re: Detectado tráfico extraño en internet (30/06/2003 03:23, #783)
  Por: sanzebastian
Orale que interesante lo malo es que usan terminologia hasta cierto punto desconocida por la mayoria de las personas, no es posible un pequeño parrafo en palabras normales, o en forma figurada lo que hace el troyano, bye

 
4.  Re: Detectado tráfico extraño en internet (30/06/2003 10:38, #784)
  Por: Ballfire

mmmmmmm digamos que......

Imagina que tu y unos colegas os montais un chanchullo para recabar información de la gente del barrio, y operais de la siguiente manera:

Mandáis una carta con una encuesta pidiendo datos a cada vecino, pero resulta que en el remitente pones una dirección al azar de tu calle, pero que evidentemente no es la tuya, para minimizar la posibilidad de que te pillen caso de que la pasma se entere

Claro que... si el remitente es falso, está claro qe la respuesta de la encuesta no te llegará a ti.... Y ahí es donde entra la importancia de que haya mucha gente metida en el ajo; la respuesta no te llegará a ti, pero tal vez le llegue a un compinche tuyo en la misma calle; o tal vez tu recibas la respuesta a una encuesta que un compinche envió....

Asú, cuanta más peña metida en el ajo, mejor....

Mmmmmm.... bueno,.... yo creo que ahora si se entiende, no ? xD


 
Calificacion
***0
Votos: 15
SECCIONES
Artículo
Truco
Noticias
Breve
Enlace
Linuca
Libros
Tira ECOL
Tira Ecol
Modificado: 3/3/2006 17:03:23 | Tiempo Total: 0.012 segs | Kernel: Linux - x86_64 - 2.6.18-xen | Last Boot: 03/12/2010 01:21 CET
Powered By WEB-Bulma   Apache   Mysql   PHP   Gimp