[GTER] Obtendo informações de um invasor
Durval Menezes
durval at tmp.com.br
Wed Oct 13 09:21:35 -03 2004
Prezados Alex, Edison:
A pratica demonstra que, na maioria das vezes, o IP de onde vieram os pacotes
nao e' o "IP do invasor", e sim o IP de uma *outra* maquina que ele invadiu e
esta' usando como "trampolim" para chegar ate' a sua (inclusive para ocultar
a sua origem verdadeira).
Quando isso acontece, torna-se necessaria a colaboracao do "invadido"
(administrador desta outra maquina) para tentar identificar o real ponto de
origem do invasor; muitas vezes a melhor forma de obter esta colaboracao nao
e' comecar lancando mao de mandatos e advogados.
Esteja preparado para fazer isso umas duas ou tres vezes ate' chegar ao IP
final do invasor, pois os invasores realmente "competentes" usam "trampolins"
multiplos; esteja preparado tambem para "perder a pista" no meio do caminho,
pois muitas vezes uma das maquinas invadidas esta' tao comprometida e/ou
mal-gerenciada que, mesmo com toda a colaboracao e boa vontade do seu
administrador, fica inviavel determinar de onde o invasor veio para
chegar ate' ela.
Outra coisa *muito* importante e' ter a data/hora a mais precisa possivel
(de preferencia sincronizada por NTP) do momento em que o invasor estaria
usando o tal IP, pois caso este IP pertenca a uma faixa *variavel* de
enderecos (bancos de modem, PPPoE para banda larga, etc) nao vai ser
possivel identificar o usuario que praticou a invasao.
Outra coisa curiosa: o "path" e os hostnames para o IP que voce mostra
abaixo (200.155.112.12), a partir daqui sao completamente diferentes:
traceroute to 200.155.112.12 (200.155.112.12), 30 hops max, 38 byte
packets
1 192.168.0.1 (192.168.0.1) 0.241 ms 0.173 ms 0.101 ms
2 200.217.50.123 (200.217.50.123) 30.732 ms 31.840 ms 31.605 ms
3 200.195.51.209 (200.195.51.209) 30.156 ms 39.218 ms 39.814 ms
4 200.216.94.190 (200.216.94.190) 29.898 ms 40.578 ms 28.614 ms
5 200.223.254.133 (200.223.254.133) 39.928 ms 31.300 ms 28.623 ms
6 PO1-0.BOT-RJ-ROTB-01.telemar.net.br (200.223.131.166) 39.927 ms 30.731 ms 29.156 ms
7 200-153-5-134.customer.tdatabrasil.net.br (200.153.5.134) 39.855 ms 29.722 ms 39.826 ms
8 200-153-6-37.bbone.tdatabrasil.net.br (200.153.6.37) 50.142 ms 50.276 ms 200-153-6-33.bbone.tdatabrasil.net.br (200.153.6.33) 49.538 ms
9 FE-12-0-143-te-br-spo-ib-ra4.bbone.tdatabrasil.net.br (200.153.4.166) 49.432 ms FE-0-0-141-te-br-spo-ib-ra4.bbone.tdatabrasil.net.br (200.153.4.170) 39.872 ms 49.036 ms
10 200-232-68-210.customer.tdatabrasil.net.br (200.232.68.210) 110.000 ms 99.674 ms 200-232-98-22.customer.tdatabrasil.net.br (200.232.98.22) 70.048 ms
11 * 200-232-68-210.customer.tdatabrasil.net.br (200.232.68.210) 159.509 ms !A 200-232-68-206.customer.tdatabrasil.net.br (200.232.68.206) 70.336 ms !A
Um Grande Abraco,
--
Durval Menezes (durval AT tmp DOT com DOT br, http://www.tmp.com.br/)
On Tue, Oct 12, 2004 at 07:18:03PM -0300, Alex Vitola wrote:
>
> Descobrir o responsável pelo link é facil, como o Antonio respondeu pra
> vc, é de um provedor chamado Litoral.
>
> Como os dados estão são "publicos" basta pegar os nomes e telefones que
> estão na Fapesp e ligar pro caras e pedir satisfações, certo? errado !
>
> Recolha todo o material possivel sobre a invasão e procure um bom
> advogado. Não perca tempo ligando pro provedor, se for um provedor sério
> não lhe passará nenhuma informação, alias passará somente um mandato
> judicial, isso é politica de privacidade, e seu objetivo não é proteger
> o infrator, por mais que pareça..
>
> Muita gente acaba perdendo muito tempo indo pelo caminho inverso, neste
> tipo de situação.
>
> Você não sabe quem é o infrator, se é alguém da empresa, ou algum
> usuário(pelo que vi eles prestam serviço de acesso discado, banda larga,
> etc.), então ligar pra empresa pode digamos servir apenas para "alertar
> os gansos"(será que esta expressão é conhecida no resto do país?).
>
>
> --
> Alex Vitola
> vitola at terra.com.br
>
> On Tue, 12 Oct 2004 20:25:04 -0300
> Edison Bortolin <edison at coslinux.com.br> wrote:
>
> > Pessoal,
> >
> > Um servidor foi invadido. Verifiquei que haviam aplicações que não
> > apareciam na lista de processos do servidor. Eu removi o programa que
> > ele deixou e coloquei um outro para pegar o invasor. Ele mordeu a isca!
> >
> > O ip dele é: 200.155.112.12
> >
> > traceroute to 200.155.112.12 (200.155.112.12), 30 hops max, 38 byte packets
> > 1 192.168.71.1 (192.168.71.1) 83.881 ms 31.801 ms 57.856 ms
> > 2 200.220.128.254 (200.220.128.254) 9.879 ms 25.710 ms *
> > 3 embratel-S8-0-acc02.cas.embratel.net.br (200.231.7.165) 420.468 ms
> > 582.536 ms 516.343 ms
> > 4 200.230.159.21 (200.230.159.21) 608.548 ms 774.019 ms 286.496 ms
> > 5 ebt-A10-0-3-core03.spo.embratel.net.br (200.230.1.170) 363.303 ms
> > 248.986 ms 218.386 ms
> > 6 ebt-A3-0-1-dist03.sne.embratel.net.br (200.230.0.209) 778.754 ms
> > 686.584 ms 281.398 ms
> > 7 ebt-F8-0-0-acc02.sne.embratel.net.br (200.230.158.145) 191.471 ms
> > 606.284 ms 578.440 ms
> > 8 litoral-S9-4-acc02.sne.embratel.net.br (200.245.142.82) 510.794 ms
> > 413.940 ms 295.087 ms
> > 9 * * *
> > 10 * * *
> > 11 * * *
> > 12 * litoral-S9-4-acc02.sne.embratel.net.br (200.245.142.82) 212.697
> > ms !X *
> > 13 * * *
> > 14 * * *
> > 15 description-S9-7-acc02.sne.embratel.net.br (200.210.169.42) 289.187
> > ms !X * litoral-S9-4-acc02.sne.embratel.net.br (200.245.142.82) 317.508
> > ms !X
> >
> > Ajudem-me, por favor, a concluir algumas coisas ?
> >
> > Ele usa um link da Embratel correto ?
> > E está acessando, geograficamente, do litoral ???
> >
> > Será que é possÃvel descobrir o nome da pessoa ao qual pertence o Link ?
> >
> > Qualquer ajuda será bem vinda.
> >
> > Obrigado
> >
> > --
> > GTER list https://eng.registro.br/mailman/listinfo/gter
>
> --
> GTER list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list