3
by: bambuka
Cada día me das mas pereza escribir o tengo menos cosas que contar no lo sé. En cualquier caso recientemente si que me ha sucedido algo digno de publicar.
Hace unos días cuando llego al trabajo y abro el correo me encuentro en mi cuenta personal/spamera un correo desde este servidor que decía tal que así:
Events between 01 10 11:20:05 and 01 10 22:27:32
Total events: 12
Signatures recorded: 1
Source IP recorded: 1
Destination IP recorded: 1
Events from same host to same destination using same method
==============================
===========================================
# of from to method
======================================================
12 192.1x.xx.167 192.1x.xx.1xx SCAN UPnP service discover attempt
Percentage and number of events from a host to a destination
======================================================
% # of from to
======================================================
100.00 12 192.1x.xx.167 192.1x.xx.1xx
Es una típica alerta del snort que no tendría importancia o muy posiblemente hubiera pasado desapercibida por mi de no ser por la hora. ¡¡¿¿A partir de las 11:20??!! ¡¡WTF!! A esa hora no debería haber en mi red ningún cliente con IP dinámica (en la red todos los host “titulares” tienen estática). Bueno me pongo a mirar los logs del servidor DHCP y…:
Jan 10 11:17:46 myhost dhcpd: DHCPDISCOVER from
00:18:de:cf:xx:82 via eth0
Jan 10 11:17:47 myhost dhcpd: DHCPOFFER on 192.1x.xx.167 to
00:18:de:cf:xx:82 (sandy-2d87b3a42) via eth0
¡¿Quién coño es sandy-2d87b3a42!???? Vaya así que tenemos una coleguita que ha decidido coger prestada mi red wireless (espero que sea coleguita porque como sea coleguito vaya nombre más ‘rosita’ para ponerle a su máquina). Bueno tampoco vamos a poner el grito en el cielo ¿quién no ha necesitado alguna vez, en un aprieto, la red de algún altruísta? Eso sí, que no lo tome por costumbre porque yo pago religiosamente y no es plan de llevar ‘una chepa’ encima en tiempos de crisis…
De acuerdo, lo primero que se me viene a la cabeza es conseguir su correo para enviarle un mail tipo CIA: “Está usted entrando en una zona restringida. Si vuelve a incurrir en tal acción será denunciada ante las autoridades… bla bla bla”. Ahora sólo necesito saber cuando se va a conectar para poner un snifer en la red porque sospechaba que ella no me iba a avisar, así, con la ayuda de bash me hice un pequeño script con nombre en clave calixta.sh para que me enviara un mail cuando volviera a usurpar mis aposentos.
Paso el día sin fortuna. es más pasaron dos días en que no pesqué nah de nah. Pero al tercer día… al tercer encontrame yo haciendo mis tareas a eso de las 11:30 cuando “pling” un mensaje cuyo asunto decía: Calixta esta conectada, proceda adecuadamente xD
Vaya parece que están picando vamos a ver si sacamos algo… enchufamos el snifer y al poco rato empiezan a saltar cositas.
Ya tengo su dirección de correo, no obstante, aún estoy pensando que broma gastarle porque entre otras cosas he visto que entra mucho por el facebook ese e igual me paso a actualizarles sus fotos, después de todo ella empezó primero xD
Artículos relacionados
Publicado en General | 3 Comentarios »