[GTER] Obtendo informações de um invasor

Durval Menezes durval at tmp.com.br
Wed Oct 13 09:21:35 -03 2004


Prezados Alex, Edison:

A pratica demonstra que, na maioria das vezes, o IP de onde vieram os pacotes
nao e' o "IP do invasor", e sim o IP de uma *outra* maquina que ele invadiu e
esta' usando como "trampolim" para chegar ate' a sua (inclusive para ocultar
a sua origem verdadeira).

Quando isso acontece, torna-se necessaria a colaboracao do "invadido"
(administrador desta outra maquina) para tentar identificar o real ponto de
origem do invasor; muitas vezes a melhor forma de obter esta colaboracao nao
e' comecar lancando mao de mandatos e advogados.

Esteja preparado para fazer isso umas duas ou tres vezes ate' chegar ao IP
final do invasor, pois os invasores realmente "competentes" usam "trampolins"
multiplos; esteja preparado tambem para "perder a pista" no meio do caminho,
pois muitas vezes uma das maquinas invadidas esta' tao comprometida e/ou
mal-gerenciada que, mesmo com toda a colaboracao e boa vontade do seu
administrador, fica inviavel determinar de onde o invasor veio para
chegar ate' ela.

Outra coisa *muito* importante e' ter a data/hora a mais precisa possivel
(de preferencia sincronizada por NTP) do momento em que o invasor estaria
usando o tal IP, pois caso este IP pertenca a uma faixa *variavel* de
enderecos (bancos de modem, PPPoE para banda larga, etc) nao vai ser
possivel identificar o usuario que praticou a invasao.

Outra coisa curiosa: o "path" e os hostnames para o IP que voce mostra
abaixo (200.155.112.12), a partir daqui sao completamente diferentes:

traceroute to 200.155.112.12 (200.155.112.12), 30 hops max, 38 byte
packets
 1  192.168.0.1 (192.168.0.1)  0.241 ms  0.173 ms  0.101 ms
 2  200.217.50.123 (200.217.50.123)  30.732 ms  31.840 ms  31.605 ms
 3  200.195.51.209 (200.195.51.209)  30.156 ms  39.218 ms  39.814 ms
 4  200.216.94.190 (200.216.94.190)  29.898 ms  40.578 ms  28.614 ms
 5  200.223.254.133 (200.223.254.133)  39.928 ms  31.300 ms  28.623 ms
 6  PO1-0.BOT-RJ-ROTB-01.telemar.net.br (200.223.131.166)  39.927 ms 30.731 ms  29.156 ms
 7  200-153-5-134.customer.tdatabrasil.net.br (200.153.5.134)  39.855 ms 29.722 ms  39.826 ms
 8  200-153-6-37.bbone.tdatabrasil.net.br (200.153.6.37)  50.142 ms 50.276 ms 200-153-6-33.bbone.tdatabrasil.net.br (200.153.6.33)  49.538 ms
 9  FE-12-0-143-te-br-spo-ib-ra4.bbone.tdatabrasil.net.br (200.153.4.166)  49.432 ms FE-0-0-141-te-br-spo-ib-ra4.bbone.tdatabrasil.net.br (200.153.4.170) 39.872 ms  49.036 ms
10  200-232-68-210.customer.tdatabrasil.net.br (200.232.68.210)  110.000 ms  99.674 ms 200-232-98-22.customer.tdatabrasil.net.br (200.232.98.22) 70.048 ms
11  * 200-232-68-210.customer.tdatabrasil.net.br (200.232.68.210) 159.509 ms !A 200-232-68-206.customer.tdatabrasil.net.br (200.232.68.206)  70.336 ms !A

Um Grande Abraco,
-- 
   Durval Menezes (durval AT tmp DOT com DOT br, http://www.tmp.com.br/)

On Tue, Oct 12, 2004 at 07:18:03PM -0300, Alex Vitola wrote:
> 
> Descobrir o responsável pelo link é facil, como o Antonio respondeu pra
> vc, é de um provedor chamado Litoral.
> 
> Como os dados estão são "publicos" basta pegar os nomes e telefones que
> estão na Fapesp e ligar pro caras e pedir satisfações, certo? errado !
> 
> Recolha todo o material possivel sobre a invasão e procure um bom
> advogado. Não perca tempo ligando pro provedor, se for um provedor sério
> não lhe passará nenhuma informação, alias passará somente um mandato
> judicial, isso é politica de privacidade, e seu objetivo não é proteger
> o infrator, por mais que pareça..
> 
> Muita gente acaba perdendo muito tempo indo pelo caminho inverso, neste
> tipo de situação.
> 
> Você não sabe quem é o infrator, se é alguém da empresa, ou algum
> usuário(pelo que vi eles prestam serviço de acesso discado, banda larga,
> etc.), então ligar pra empresa pode digamos servir apenas para "alertar
> os gansos"(será que esta expressão é conhecida no resto do país?).
> 
> 
> -- 
> Alex Vitola
> vitola at terra.com.br
> 
> On Tue, 12 Oct 2004 20:25:04 -0300
> Edison Bortolin <edison at coslinux.com.br> wrote:
> 
> > Pessoal,
> > 
> > Um servidor foi invadido. Verifiquei que haviam aplicações que não 
> > apareciam na lista de processos do servidor. Eu removi o programa que 
> > ele deixou e coloquei um outro para pegar o invasor.  Ele mordeu a isca!
> > 
> > O ip dele é: 200.155.112.12
> > 
> > traceroute to 200.155.112.12 (200.155.112.12), 30 hops max, 38 byte packets
> >  1  192.168.71.1 (192.168.71.1)  83.881 ms  31.801 ms  57.856 ms
> >  2  200.220.128.254 (200.220.128.254)  9.879 ms  25.710 ms *
> >  3  embratel-S8-0-acc02.cas.embratel.net.br (200.231.7.165)  420.468 ms  
> > 582.536 ms  516.343 ms
> >  4  200.230.159.21 (200.230.159.21)  608.548 ms  774.019 ms  286.496 ms
> >  5  ebt-A10-0-3-core03.spo.embratel.net.br (200.230.1.170)  363.303 ms  
> > 248.986 ms  218.386 ms
> >  6  ebt-A3-0-1-dist03.sne.embratel.net.br (200.230.0.209)  778.754 ms  
> > 686.584 ms  281.398 ms
> >  7  ebt-F8-0-0-acc02.sne.embratel.net.br (200.230.158.145)  191.471 ms  
> > 606.284 ms  578.440 ms
> >  8  litoral-S9-4-acc02.sne.embratel.net.br (200.245.142.82)  510.794 ms  
> > 413.940 ms  295.087 ms
> >  9  * * *
> > 10  * * *
> > 11  * * *
> > 12  * litoral-S9-4-acc02.sne.embratel.net.br (200.245.142.82)  212.697 
> > ms !X *
> > 13  * * *
> > 14  * * *
> > 15  description-S9-7-acc02.sne.embratel.net.br (200.210.169.42)  289.187 
> > ms !X * litoral-S9-4-acc02.sne.embratel.net.br (200.245.142.82)  317.508 
> > ms !X
> > 
> > Ajudem-me, por favor, a concluir algumas coisas ?
> > 
> > Ele usa um link da Embratel correto ?
> > E está acessando, geograficamente, do litoral ???
> > 
> > Será que é possível descobrir o nome da pessoa ao qual pertence o Link ?
> > 
> > Qualquer ajuda será bem vinda.
> > 
> > Obrigado
> > 
> > --
> > GTER list    https://eng.registro.br/mailman/listinfo/gter
> 
> --
> GTER list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list