Puerto 725.. Seguridad

Imagen de NEO

Forums: 

Qué tal amigos.

Aquí por preguntarles su opinión.

Una maquinita de por ahí con clave de root 123456 :) ha caído víctima de un hacker.
Me llamaron.. Recuperé la clave de password y aparentemente todo felicidad.
Este infeliz ha borrado su rastro muy bien.. De lo único que me pude percatar es que ha descargado un archivo irq.tgz y lo ha tratado de instalar.
Alguien sabe qué hace ese programa?

Haciendo un nmap localhost veo abierto el puerto 725?
Ya lo he bloqueado, pero he estado buscando en la web y no encuentro algo que me explique para qué se lo utiliza.

Alguien lo conoce? (al puerto, no al hacker :))

Saludos
NEO

mira el

Imagen de androidePathfinder

mira el enlace:

https://www.grc.com/x/portprobe=725

Prueba la vulnerbilidad del puerto 725...

El atacante busca un puerto abierto... o abre uno (como en tu caso).. en realidad no importa cual puerto sea.. porque lo que se busca es tomar el control de dicho puerto.

Al parecer ese archivo irq.tgz era para instalar algun demonio o aplicacion que mantenga abierto ese puerto y por ese puerto puedes:

* Eludir cortafuegos o listas de control de acceso.
* No ser registradas por sistemas de detección de intrusos, ni orientados a red ni en el propio host escaneado.
* Simular tráfico normal y real para no levantar sospechas ante un analizador de red.

una tecnica de hackeo llamada "stealth scanning"

Ya más no te puedo explicar.... para que otros no intenten violentar sistemas de esta forma...

La solucion.... para la proxima tener control absoluto de todos tus puertos mediante iptables... lógico. Si tienes que proteger algo importante entonces hay que tomarse el tiempo de cerrar todas las posibilidades de ataques hacker. Ahora reinstala..

Ahhh.... y por favor.... que usen claves menos inutiles.... que DIFFIIIICIL adivinarla... uff!!! 123456
si o pueden memorizar claves que usen un usb lector de huella digital y ya... o algo por el estilo.

La máquina ya fue

Imagen de acl

La máquina ya fue comprometida y por tanto puede que tenga instalado cualquier cantidad de rootkits. Hacer un netstat (o cualquier otro comando, de hecho) no es garantía de nada y todo lo que obtienes son datos sospechosos.

Probablemente la máquina la usan como centro de control de una red de zombies o como atacante de otros sistemas y el puerto abierto que ves lo usa el administrador para controlar tu máquina. Ese archivo irq.tgz es probablemente el código fuente de un servidor que acepta comandos de irc o algo por el estilo.

La batalla en esa máquina está perdida. Hay que reinstalar (en este caso, no hay otra solución), documentar, educar y facturar. No sirve de nada recuperar la clave de root y cambiarla. Si dejaron una puerta (ventana o caliche) abierta van a volver a entrar.

Hola amigos.. Gracias por

Imagen de NEO

Hola amigos.. Gracias por sus respuestas.

Jaja.. pues si tienen toda la razón, no es ni mérito del "hacker" entrar a una pc que tiene abierto el puerto de ssh y con clave root 123456.. Peores cosas he visto aquí en la billa del señor jaja.

Lo bueno es que ya hay mas gente con linux, y de estas cosas la gente (usuarios de casa) van aprendiendo mas y mas, algo positivo.. qué tal? :)

Me explicaron que cambiaron de ISP en esa casita, y que el anterior ISP les protegía con un ruteador que tenía firewall, por eso esta pobre pc estaba tan vulnerable.

Bueno pues voy a seguir su recomendación... Meterele fuego, formatear, configurar y facturar! :)

Gracias de nuevo.

Saludos
NEO