Ordenador default workstation en 3com812 sin internet
-
Veréis dispongo d euna red, con un p3, un p4 y un p166, todos en red con un router 3com812, como defaultworkstation tengo el p4, bien hace dos dias de repende me quede sin poder visitar paginas web o ver correo en ese pc, pero la conexion al irc se mantuvo hast ak me dio por salir y volver a entrar, cosa que no me dejo, así que pense que podian ser los DNS, pero no eran pork las otras dos makinas que tienen los mimos dns, funcionaban perfectamente.
Miré el router y vi que la luz de ADSL parpadeaba y la del p4 (default works…) también, pare todos los progeamas qu epodian usar conexión a internet.... pero seguian parpadeando, así que deduje que de alguna forma algo me estaba llegando desde internet...
Cambié la default workstation al p166 donde tengo un Linux, y de repente la makina p4 que antes no tenia internet recuperó todo, ahora era el p166 el que no tenia internet..... y no dejaba de parpadear su correspondiente luz del router. lo deje unos minutos, el p166 no tiene NINGUN SERVICIO ni software que.. pueda necesitar acceder a internet, y yo no accedí a él ni hice nada k pudiera significar trafico de red, pero sin embargo al hacer un ifconfg eth0 aparecio el siguiente trafico en la tarjeta de red:
RX bytes:958701 (936.2 Kb) TX bytes:1783739 (1.7 Mb)
No entiendo porque la máquina que pongo como default workstation se me queda sin poder acceder a internet, y el porque llega esa cantidad de datos. He pensado que alguien peude estar atacandome, pero tambien he pensado que el router se haya estropeado...... agluien puede ayudarme?
Estoy desesperado, no se si pedir un cambio de ip, o que hacer..... por favor ayuda
PD: el p3 le pasa igual si le pongo como default workstation en el router.
Salu2
-
Me respondo a mi mismo porque tengo nueva información que podría ser util:
He instalado un firewall y he visto que el trafico que viene son paquete UDP por el puerto 4156 , el origen son varias ip distintas que no conozco de nada.
He mapeado ese puerto ha la dirección 0.0.0.0 para que no me afecten, pero aún asi no me gusta k llegue eso a mi router.
Alguien conoce esto? a mi esto me suena a un ataque, es como sif uera un ataque desde varias ip a mi router, con paquetes UDP al puerto 4156 de este.
Alguna idea ?
-
Tiene toda la pinta de ser un ataque del tipo Dos (denegacion de servicio) o que te estan intentando clavar un troyano tipo backdoor y demas.
Yo en tu lugar intentaba cambiar el router por otro modelo al parecer se descubrio la forma de acceder a redes internas que usaban el router 3com debido a una vulnerabilidad de este ultimo (lo lei de pasada no puedo confirmarlo)
Espero que pronto puedas solucionarlo mientras tanto suerte y antivirus -
He leido que existe un virus para linux que por lo visto utiliza el puerto 4156, infecta servidores apache,
y VAYA QUE CASUALIDAD tengo uno en un ordenador de mi red interna!!!!!!
He mirado el log del firewall que he peusto para analizar el trafico y unas cuantas ips de las que venian los ataques son servidores apache, algunos estan con la pagina por defecto inclusive.
Son un montón de ips de origen distintas y cuando digo un montón me refiero a mas de 30 ips distintas de las qu provienen los paquetes al puerto 4156. Ya os podeis imaginar todas esas ips mandandome paquetes a mi…......... una burrada.
Voy a seguir indagando y sii todo sigue como creo, esos servidores estaran infectados por el virus, que por lo visto se llama Slapper y tiene variantes. A mi me ha tocado la que mete caña por el puerto 4156 ;), si se confirma lo que creo, claro.
Tengo kc osneguir un antivirus para mi linux y mirar a ver que encuentro.
-
Vaya no contaba con esa informacion (siempre se aprende algo nuevo) pero hay antivirus para linux? si quieres rematar la faena visita las webs de esos servers apache y avisales del problema que tienen quedaras como un señor
