[LUG.ro] Re: [LUG.ro] de dónde vino¿

Marcos Guglielmetti lugro@lugro.org.ar
Mon, 18 Jul 2005 09:08:26 +0200 

El Lun 18 Jul 2005 00:11, Pablo escribió:
> Esta es la primera maquina que mando el mail (segun lo que mandaste):
>
> Received: from pqwwg5nxwpazjat (unknown [200.58.209.38])
> by hosting1.argentina.com (Postfix) with SMTP id 438E22F8710
> for <Marcosg_AT_argentina.com>; Sun, 17 Jul 2005 02:37:06 -0300 (ART)
>
> Ahora haciendo un tracert podemos ver, no el camino hasta ella, sino
> el PTR al que apunta esta IP:
>
> ------------------------------------------------
> G:\>tracert 200.58.209.38
>
> Tracing route to adsl200-58-209-38.epm.net.co [200.58.209.38]
> over a maximum of 30 hops:
>
>   1     *        *        *     Request timed out.
>   2   151 ms   130 ms   139 ms  ^C
> -------------------------------------------------
>
> o, de la forma correcta pero requiere mas pasos....:
> (estoy en win por lo que uso nslookup, si estas en linux usa dig o host)
>
> ------------------------------------------------
> nslookup
>
> > set type=PTR
> > 200.58.209.38
>
> Server:  ns1.arnet.com.ar
> Address:  200.45.191.35
>
> Non-authoritative answer:
> 38.209.58.200.in-addr.arpa      name = adsl200-58-209-38.epm.net.co
>
> 209.58.200.in-addr.arpa nameserver = birlocha.epm.net.co
> 209.58.200.in-addr.arpa nameserver = lauta.epm.net.co
> -----------------------------------------------------
>
> Te recomiendo que busques a alguno con adsl en colombia (.co) ....... ; ·)
> con emp.net.co ..... que con fecha: Sun, 17 Jul 2005 02:37:06 -0300 (ART)
> haya tenido esa ip asignada..... creo que se complica un poco la cosa pero
> suerte.
>
> Saludos. Pablo Armando.

	Gracias, vamos bien!


Mirá esto:
De: M

Hola,
Los Received: se leen de abajo para arriba, y, a menos que los headers 
estén trucados(si, se puede hacer eso) el de más abajo es el primero.
En este caso no están trucados, ya que todos pertenecen a 
argentina.com(en realidad, hay que verificar todos los pares de 
nombres/IP para estar bien seguro) , menos el primero(el de más abajo).
Entonces, lo único que tenés es la IP del primer Received:

200.58.209.38

~$ host 200.58.209.38
38.209.58.200.in-addr.arpa domain name pointer adsl200-58-209-38.epm.net.co.
~$ whois 200.58.209.38
% Copyright LACNIC lacnic.net
%  The data below is provided for information purposes
%  and to assist persons in obtaining information about or
%  related to AS and IP numbers registrations
%  By submitting a whois query, you agree to use this data
%  only for lawful purposes.
%  2005-07-17 21:16:39 (BRT -03:00)

inetnum:     200.58.208/20
status:      allocated
owner:       Empresas Publicas De Medellin
ownerid:     CO-EPME1-LACNIC
responsible: Yomaira García O.
address:     Carrera 77 39b-16, -, -
address:     940 - Medellin - CO
country:     CO
phone:       +57 4 3802921 []
owner-c:     YGO2
tech-c:      YGO2
inetrev:     200.58.208/20
nserver:     LAUTA.EPM.NET.CO  
nsstat:      20050715 AA
nslastaa:    20050715
nserver:     BIRLOCHA.EPM.NET.CO
~$

O sea, es un vínculo adsl en Colombia, probablemente en Medellín.

Más información que puede ser útil:

Date: Sun, 17 Jul 2005 00:36:41 +0000 (el timezone puede ser significativo, 
pero también depende de la conf. de la máquina)
X-Mailer: TOL Mailer (bascando en google parece ser un spambot. Probablemente 
instalado en la IP anterior, o en una máquina NATeada por esa IP)

~# nmap -O -v -v -F -TInsane 200.58.209.38

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-07-17 21:28 ART
Initiating SYN Stealth Scan against adsl200-58-209-38.epm.net.co 
(200.58.209.38) [1221 ports] at 21:28
Discovered open port 80/tcp on 200.58.209.38
Discovered open port 23/tcp on 200.58.209.38
Increasing send delay for 200.58.209.38 from 0 to 5 due to 14 out of 34 
dropped probes since last increase.
SYN Stealth Scan Timing: About 9.50% done; ETC: 21:33 (0:04:45 remaining)
...

~$ /bin/echo -e "HEAD / HTTP/1.0\r\n" | nc 200.58.209.38 80
HTTP/1.0 401 Unauthorized
Date: Mon, 18 Jul 2005 03:11:06 GMT
Content-Type: text/html
WWW-Authenticate: Basic realm="Netopia-3000"
Server: Allegro-Software-RomPager/4.03

Ahi tenés el router adsl. Por ahí con un poco de suerte podés entrar y todo...

~$ export HOST=200.58.209.38
~$ telnet $HOST
Trying 200.58.209.38...
Connected to 200.58.209.38.
Escape character is '^]'.

login: admin
Password:
Login incorrect

login: admin
Password:

Terminal shell v1.0
Copyright ©2004 Netopia, Inc.  All rights reserved.
Netopia Model 3342 DSL USB
Running Netopia SOC OS version 7.4.0 (build r1)
Multimode ADSL Capable
(Admin completed login: Full Read/Write access)

herlinda arevalo/17029616>

Je je. Bueno, por una de esas casualidades, ahí tenés el nombre de la probable 
dueña de la conexión.
Buscala en internet, y mandale un mail(o llamala por tel.) y comentale que 
tiene un spam bot instalado en su PC(un Windows muuuy probablemente). Que 
saque el spambot, o que reinstale el windows.
Y que le cambie la password de admin al router y habilite el firewall, por 
dios.


	

	
		
___________________________________________________________ 
1GB gratis, Antivirus y Antispam 
Correo Yahoo!, el mejor correo web del mundo 
http://correo.yahoo.com.ar