Intrusos 66 235 184 161hopone internet corporation

[devnul]

A alguien le suena de algo hopone internet corporation. Tengo a unos cuantos tíos con una privatedns colgados de mi PC, pero no encuentro ningún troyano, backdor, etc.

Spammersí?
Conexiones activas.

Proto dirección local dirección remota estado.

Tcp rotwailer:epmap rotwailer:0 listening.

Tcp rotwailer:Microsoft-ds rotwailer:0 listening.

Tcp rotwailer:1025 rotwailer:0 listening.

Tcp rotwailer:1027 rotwailer:0 listening.

Tcp rotwailer:2859 rotwailer:0 listening.

Tcp rotwailer:2871 rotwailer:0 listening.

Tcp rotwailer:3047 rotwailer:0 listening.

Tcp rotwailer:3049 rotwailer:0 listening.

Tcp rotwailer:3054 rotwailer:0 listening.

Tcp rotwailer:3056 rotwailer:0 listening.

Tcp rotwailer:3058 rotwailer:0 listening.

Tcp rotwailer:3060 rotwailer:0 listening.

Tcp rotwailer:3077 rotwailer:0 listening.

Tcp rotwailer:3274 rotwailer:0 listening.

Tcp rotwailer:3277 rotwailer:0 listening.

Tcp rotwailer:3279 rotwailer:0 listening.

Tcp rotwailer:3282 rotwailer:0 listening.

Tcp rotwailer:3283 rotwailer:0 listening.

Tcp rotwailer:3284 rotwailer:0 listening.

Tcp rotwailer:3285 rotwailer:0 listening.

Tcp rotwailer:3286 rotwailer:0 listening.

Tcp rotwailer:3287 rotwailer:0 listening.

Tcp rotwailer:5000 rotwailer:0 listening.

Tcp rotwailer:netbios-ssn rotwailer:0 listening.

Tcp rotwailer:2859 IP-209-172-61-166.reverse, privatedns, com:5190 established.

Tcp rotwailer:2871 spf7-1.us4.outblaze, com:smtp established.

Tcp rotwailer:3047 IP-209-172-61-232.reverse, privatedns, com:5190 established.

Tcp rotwailer:3049 phalse.2600. Com:smtp established.

Tcp rotwailer:3054 66.235.184.161:5190 established.

Tcp rotwailer:3056 IP-209-172-61-233.reverse, privatedns, com:5190 established.

Tcp rotwailer:3058 mx01.ubot, com:smtp established.

Tcp rotwailer:3060 mail, itsindy, com:smtp established.

Tcp rotwailer:3274 IP-209-172-61-202.reverse, privatedns, com:5190 established.

Tcp rotwailer:3277 66.36.243.96:5190 established.

Tcp rotwailer:3279 69.50.218.79:5190 established.

Tcp rotwailer:3282 69.50.218.79:5555 established.

Tcp rotwailer:3283 mailhost, onenet, net:smtp established.

Tcp rotwailer:3285 mail2.Microsoft, com:smtp fin_wait_1.

Tcp rotwailer:3286 IP-209-172-61-164.reverse, privatedns, com:5190 established.

Tcp rotwailer:3287 mail2.Microsoft, com:smtp syn_sent.

Tcp rotwailer:3076 rotwailer:0 listening.

Tcp rotwailer:3076 localhost:3077 established.

Tcp rotwailer:3077 localhost:3076 established.

Tcp rotwailer:3284 localhost:3076 syn_sent.

Udp rotwailer:Microsoft-ds *:*.

Udp rotwailer:isakmp *:*.

Udp rotwailer:1044 *:*.

Udp rotwailer:1049 *:*.

Udp rotwailer:1172 *:*.

Udp rotwailer:1184 *:*.

Udp rotwailer:1188 *:*.

Udp rotwailer:1189 *:*.

Udp rotwailer:1190 *:*.

Udp rotwailer:3299 *:*.

Udp rotwailer:3305 *:*.

Udp rotwailer:ntp *:*.

Udp rotwailer:netbios-ns *:*.

Udp rotwailer:netbios-dgm *:*.

Udp rotwailer:1900 *:*.

Udp rotwailer:ntp *:*.

Udp rotwailer:1900 *:*.

[amok]

Devnul, prueba con the cleaner, me huele mucho y mal a troyano. Suerte.

[devnul]

Ya lo he probado, junto el ad-aware y nada de nada. De momento le estoy dando con una broadcast al cabrón de la 66.36 mientras encuentro algo.

[devnul]

Proto dirección local dirección remota estado. Tcp rotwailer:epmap rotwailer:0 listening. Tcp rotwailer:Microsoft-ds rotwailer:0 listening.

Tcp rotwailer:1025 rotwailer:0 listening.

Tcp rotwailer:1027 rotwailer:0 listening.
************************************************** **.

Tcp rotwailer:3077 rotwailer:0 listening.
************************************************** **.

Tcp rotwailer:5000 rotwailer:0 listening.

Tcp rotwailer:netbios-ssn rotwailer:0 listening.
************************************************** **.

Tcp rotwailer:3076 rotwailer:0 listening.

Tcp rotwailer:3076 localhost:3077 established.

Tcp rotwailer:3077 localhost:3076 established.
************************************************** **.

Udp rotwailer:Microsoft-ds *:*.

Udp rotwailer:isakmp *:*.

Udp rotwailer:1044 *:*.

Udp rotwailer:1049 *:*.

Udp rotwailer:1172 *:*.

Udp rotwailer:1184 *:*.

Udp rotwailer:1188 *:*.

Udp rotwailer:1189 *:*.

Udp rotwailer:1190 *:*.

Udp rotwailer:3299 *:*.

Udp rotwailer:3305 *:*.

Udp rotwailer:ntp *:*.

Udp rotwailer:netbios-ns *:*.

Udp rotwailer:netbios-dgm *:*.

Udp rotwailer:1900 *:*.

Udp rotwailer:ntp *:*.

Udp rotwailer:1900 *:*.

Los que están entre ******* son los que me preocupan. Yo no tengo ningún server de ftp/smtp, y estos puertos se utilizan para el acceso remoto a ellos.

No tengo ningún programa que los use, los programas de detección de troyanos etc no me encuentran nada, he tirado al tío, pero, sin embargo, los tengo abiertos. Odio Windows.

[dryaner]

Pásate a Linux.

[amok]

Pasarte a Linux sería una muy buena opción. Iptables es muy, muy cómodo, y configurable. Pero si decides seguir con m$, instálate algún firewall como el conseal que antes era.

Gratuito ahora no, creo, y capas esos servicios.

[devnul]

Si no fuera por que utilizo el a:m y en Linux no va, estaría en Linux (aunque no lo toco desde la Suse 7) y no en esa xxxx de so.

[amok]

Mv m$ > /dev/null.

[Leander]

Instalate el Kerio personal firewall. Es de lo mejorcito.
www.Kerio.com.

[viriathus]

Lástima que Kerio abandone ese producto.

[devnul]

Ya me lo he instalado Leander, gracias.

[devnul]

Ya se lo que pasaba. Después de estar husmeando con el netstat y viendo el escaneo de puertos que hacían, luego las conexiones SMTP etc, llegue a la conclusión que tenía que ser el cimuz.x, y efectivamente, así era.

Ya está solucionado gracias a todos.