{"id":392,"date":"2008-06-08T21:29:50","date_gmt":"2008-06-09T00:29:50","guid":{"rendered":"http:\/\/www.maurom.com\/blog\/?p=392"},"modified":"2012-09-03T22:55:46","modified_gmt":"2012-09-04T01:55:46","slug":"curiosidades-en-los-logs","status":"publish","type":"post","link":"https:\/\/maurom.com\/blog\/2008\/06\/08\/curiosidades-en-los-logs\/","title":{"rendered":"Curiosidades en los logs"},"content":{"rendered":"

Hoy estuve un rato leyendo los logs del equipo en casa, y entre los que leo est\u00e1 el que genera PortSentry<\/a>. PortSentry que es un programa sencillo que escucha en ciertos puertos y al recibir una conexi\u00f3n en alguno de ellos registra la IP de origen, adem\u00e1s de permitir ejecutar alguna acci\u00f3n tras una cantidad dada de intentos de conexi\u00f3n. Este criterio trivial brinda una protecci\u00f3n b\u00e1sica ante un escaneo de puertos; lo que no implica que el intento sea un ataque, ya que podr\u00eda ser simplemente que yo mismo err\u00e9 de puerto al tratar de conectarme desde fuera a un servicio particular.<\/p>\n

Como en casa la m\u00e1quina es hogare\u00f1a y no hay problema en que bloquee lo que quiera, el software est\u00e1 configurado para adicionar la IP sospechosa al cl\u00e1sico archivo de control de accesos hosts.deny<\/span>.<\/p>\n

Recuerdo haber borrado hace unos meses todas las direcciones registradas en ese archivo, pero igual ya est\u00e1 bastante completito. La primer consulta con wc<\/span> nos da el total de direcciones registradas actualmente.<\/p>\n

$ grep DENY \/etc\/hosts.deny | wc -l\r\n3544<\/pre>\n
Luego de leer el archivo un rato encontr\u00e9 que ciertas redes ten\u00edan mayor cantidad de direcciones registradas, por lo que me pareci\u00f3 razonable hacer un conteo de frecuencias por red. Podr\u00edamos hacerlo un script en alg\u00fan lenguaje, pero hoy prefiero la consola.<\/p>\n
La l\u00ednea que sigue, por cr\u00edptica que parezca, lee el archivo hosts.deny, corta los primeros dos octetos de la direcci\u00f3n (supongo que la m\u00e1scara de red es \/16), las ordena por red, cuenta la frecuencia de aparici\u00f3n, vuelve a ordenar la lista por frecuencia, y finalmente extrae las 15 redes con mayor cantidad de IP registradas. No les parece preciosa?<\/p>\n
Por supuesto, pueden omitir el tail<\/span> final para obtener la lista completa.<\/p>\n
$ grep DENY \/etc\/hosts.deny | cut -d' ' -f2 | cut -d. -f1,2 | sort \\\r\n | uniq -c | sort -n | tail -15\r\n\r\nfreq red(\/16)<\/strong>\r\n 31 118.171<\/a>\r\n 31 88.80<\/a>\r\n 34 67.181<\/a>\r\n 42 61.59<\/a>\r\n 51 58.20<\/a>\r\n 52 122.124<\/a>\r\n 63 116.71<\/a>\r\n 81 216.219<\/a>\r\n 96 193.138<\/a>\r\n118 195.5<\/a>\r\n135 118.167<\/a>\r\n177 118.169<\/a>\r\n237 122.116<\/a>\r\n278 118.161<\/a>\r\n727 118.168<\/a><\/pre>\n
Salta a la vista la cantidad de direcciones 118.168.x.x registradas, pero adem\u00e1s tambi\u00e9n hay 118.169.x.x, 118.167.x.x y otras. El link que adicion\u00e9 a cada red apunta al informe correspondiente de ipinfo en SANS.<\/p>\n
Grafico obligatorio…<\/p>\n
\"\"<\/p>\n
Si nos centramos en el an\u00e1lisis de las direcciones tomando s\u00f3lo el primer octeto, puede apreciarse la diferencia de las redes 118.x.x.x respecto del resto de las redes.<\/p>\n
$ grep DENY \/etc\/hosts.deny | cut -d' ' -f2 | cut -d. -f1 | sort \\\r\n | uniq -c | sort -n | tail -12\r\n\r\nfreq red(\/8)<\/strong>\r\n  51  24\r\n  52  59\r\n  67  58\r\n  83  61\r\n  83  67\r\n  85 216\r\n  87 116\r\n  92  87\r\n 100 193\r\n 118 195\r\n 360 122\r\n1383 118<\/pre>\n
Sobre el total de 3544, la proporci\u00f3n es la siguiente:<\/p>\n
\"\"<\/p>\n
Segun whois.twnic.net<\/span>, los segmentos 118.x.x.x y 122.x.x.x que suman casi el 50% de las direcciones registradas por PortSentry en este equipo pertenecen a la red de Chunghwa Telecom Data communication Business Group<\/span> de Taiwan (www.hinet.net<\/a> por si alguno entiende). Parece que los muchachos est\u00e1n ocupados…<\/p>\n
Bueno ahora es el turno de ustedes. Alguno tiene resultados similares?
\nSaludos y buena semana!<\/p>\n","protected":false},"excerpt":{"rendered":"
Hoy estuve un rato leyendo los logs del equipo en casa, y entre los que leo est\u00e1 el que genera PortSentry. PortSentry que es un programa sencillo que escucha en ciertos puertos y al recibir una conexi\u00f3n en alguno de ellos registra la IP de origen, adem\u00e1s de permitir ejecutar alguna acci\u00f3n tras una cantidad […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[5,3],"_links":{"self":[{"href":"https:\/\/maurom.com\/blog\/wp-json\/wp\/v2\/posts\/392"}],"collection":[{"href":"https:\/\/maurom.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/maurom.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/maurom.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/maurom.com\/blog\/wp-json\/wp\/v2\/comments?post=392"}],"version-history":[{"count":0,"href":"https:\/\/maurom.com\/blog\/wp-json\/wp\/v2\/posts\/392\/revisions"}],"wp:attachment":[{"href":"https:\/\/maurom.com\/blog\/wp-json\/wp\/v2\/media?parent=392"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/maurom.com\/blog\/wp-json\/wp\/v2\/categories?post=392"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/maurom.com\/blog\/wp-json\/wp\/v2\/tags?post=392"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}