Intentos acceso al ordenador.


  • 0

    Desde hace unos días estoy teniendo intentos de acceso al pc, a través del Svchost.exe, por parte de una IP, que según el trace del VR corresponde a una compañía llamada
    BellSouth.net Inc .
    Esta compañía aparentemente se dedica a dar servicios de internet y demás (supongo que como proveedor). ¿A que se deben estos intentos de acceso?.
    Como me mosqueaba el tema, cree una regla en Kerio, bloqueando el acceso a esa IP, y ahora recibo otros intentos de entrada de otra IP distinta, pero tambien perteneciente a esa misma compañía. ¿Sabeis de que va esto?. ¿Tendrá algo que ver con algún programa instalado?. Tanto AVP, como The cleaner y Ad-aware no detectan anomalía alguna.
    Un saludo.



  • 1

    Yo de tí modificaría esa regla para que interceptase tanto el UDP como el TCP. Y no solo a esa IP sino A TODAS.

    Y no solo el saliente sino tambien el entrante.
    En la casilla de verificación marcale LOG WHEN THIS RULE MATCHES y te saldrá al LOG cuando esa regla se cumpla.

    Yo tengo el WXP PRO en red con otros PC's y un switch y tambien me sale una por cada IP de cada PC de mi red, deniego, pero todo funciona de forma normal.

    Si el log se te llena de intentos de acceso de la misma IP yo de tí enviaría el LOG a alguna seccion de denuncias de tu ISP que hagan algo.

    Poco podrán hacer, pero al menos, una advertencia sí que les pueden dar.



  • 2

    Ya se ha hablado de este tema anteriormente, y la verdad es ke no se han sacado conclusiones finales sobre lo ke hace exactamente este archivo (o lo ke sea)

    aki tienes el enlace de la busqueda

    http://www.hardlimit.com/forum/search.php?action=showresults&searchid=83126&sortby=lastpost&sortorder=descending

    Yo creo ke son archivos de configuracion de diferentes parametros de la red , drivers, o algo asi por ke estan ejecutandose siempre

    Un saludo, :p



  • 3

    Actualízate también el AdWare y pásalo a todo tu equipo.

    No estaría de más que en opciones pusieras la configuración para que te buscase a fondo: dentro de archivos comprimidos,…

    Usa la última versión, la 6.0

    Te hago incapié en esto ahora porque hoy se ha dignado a cargarme la web que pones en tu post y es una web de publicidad, de las que instalan spyware en el equipo. En eso el Adware es todo un especialista de limpiador ;)



  • 4

    Ya, en principio no debería haber spy, trjanos y/o demás, ya que el ordenador está recien formateado, tiene pasado el ad-ware con el ultimo archivo de referencias, así como the cleaner y el AVP actualizado, con los máximos criterios de escaneo. Precisamtente porque iba a sacar una imagen con el Drive Image.
    Sin embargo sigue habiendo intentos de acceso. Lo que no tengo claro es eso de que esa compañía intala spyware, ¿no es una empresa de servicios y provee de conexión…?.



  • 5

    Pues no lo sé exactamente, pero muchos programas que a bombo y platillo se anuncian como freeware, subsanan sus gastos económicos (y algunos extras) instalandote spyware com radiate o aureate.

    Muestra de estos programas son el flashget, el mozilla, y si no lees los pasos del edonkey pues ya tienes un tercero :(



  • 6

    svchost es un programa del windows (2000, xp, etc.) que se encargar de parte de los servicios de internet.
    Probablemente esas IPs a las que has negado el acceso sean servidores DNS donde tu equipo consulta la resolucion de nombres de dominio. Puede ser que no notes nada o que un dia de buenas a primeras no puedas ni navegar, si es así ya sabes una posible razon

    Salu2
    Packo



  • 7

    Que no, que no. Que lo de svchost está controlado.
    La pregunta es por qué desde esa IP (bellsouth) hay intentos de acceso al pc, independientemente del proceso que utilice para quere entar.
    P.D. Mis DNS son de terra.



  • 8

    dime que ips son las que te salen

    salu2
    Packo



  • 9

    Son varias y diversas, pero TODAS corresponden a BellSouth.net inc , empresa que creo que se dedica a dar servicios en Internet. (al menos eso es lo que dice el VR a realizar un trace de las IP bloqueadas por Kerio).
    Lo que no entiendo es por que TODAS provienen de esa empresa.



  • 10

    dime una de ellas para hacer una prueba.

    Salu2
    Packo



  • 11

    Este es el último mensaje del Kerio

    IP 67.34.223.146

    Someone from adsl-34-223-146.bct.bellsouth.net [67.34.223.146], port 2515 wants to send UDP datagram to port 135 owned by 'Generic Host Process for Win32 Services' on your computer

    Así, todos los días varios mensajes con IP distintas, pero de la red de bellsouth.:confused:



  • 12

    A mi me paso igual hace un tiempo con otro asi, le hize una regla con el kerio y me olvide.
    A esto, por desgracia ahi que acostumbrarse, es lo ke ahi:nono:

    Un saludo, :rolleyes:



  • 13

    Son varias y diversas, pero TODAS corresponden a BellSouth.net inc , empresa que creo que se dedica a dar servicios en Internet. (al menos eso es lo que dice el VR a realizar un trace de las IP bloqueadas por Kerio).

    Hmmm… porque no te entran desde ahí, sino que posiblemente alguien está usando un proxy situado en esa empresa ? Juraría haber visto proxies anónimos de la bellsouth... posiblemente alguien te esté ahciendo un esaneo de puertos o algo .... siempre es UDP y port 135 ? O cambia ?



  • 14

    Siempre es UDP y port 135. ¿por qué?
    Si, ya me imaginé esa posibilidad del proxy. Lo que ocurre es que ¿no sería siempre la misma IP?

    Te hago un copypaste de 3 mensajes de alerta del kerio:

    Someone from adsl-34-223-146.bct.bellsouth.net [67.34.223.146], port 2515 wants to send UDP datagram to port 135 owned by 'Generic Host Process for Win32 Services' on your computer

    Someone from adsl-35-0-243.bct.bellsouth.net [67.35.0.243], port 3965 wants to send UDP datagram to port 135 owned by 'Generic Host Process for Win32 Services' on your computer

    Someone from adsl-153-73-86.bct.bellsouth.net [68.153.73.86], port 50469 wants to send UDP datagram to port 135 owned by 'Generic Host Process for Win32 Services' on your computer



  • 15

    Sino recuerdo mal,el puerto 135 era usado por el netbios,que es un agujero de seguridad del que muchos listillos se aprovechan,asi que seguramente te estaran escaneando el puerto para ver si lo tienes abierto o no.



  • 16

    Bueno, solucionado el problema.
    Plampax, efectivamente el 135 es usado por Netbios, y este protocolo es el usado por los tan de moda mensajes emergentes que en forma de spam se envian a través del mensajero del windows. Eso de "Messenger Service: Has ganado un premio…" o similiar. Así que esos eran los intentos de acceso al pc. (o al menos algunos de ellos.:sisi:

    Aquí más información http://www.hispasec.com/unaaldia/1587

    PD. Mi duda ahora está en el router, ya que creía que tenía filtrado todo tráfico Netbios entrante internet-red y veo que no es así, cosa que no entiendo ya que está activo el propio filtro que el 3com 812 trae especifico para ello.:confused:





Has perdido la conexión. Reconectando a Hardlimit.