[LUG.ro] Re: [LUG.ro] dedónde vino¿
lugro@lugro.org.ar
lugro@lugro.org.ar
Mon, 18 Jul 2005 10:49:22 -0300
Muy buen trabajo de M, seguro !!! pero hasta el "whois" es legal, de ahi para abajo
no te aconsejo nada..... por eso te decia que se pone dificil, para hacerlo legal
tenes que consultar a la empresa que le estaba dando el servicio y que ellos te
digan quien era o, si sus politicas se lo prohiben, que ellos le avisen del
problema......... bueno, al final no fue tan dificil eh !!??
Tene en cuenta que _tal vez_ esta IP la tenia asignada otra persona (si es
dinamica) cuando M consiguio la informacion.... tal vez estes avisando a la persona
equivocada.
Saludos. Pablo.
PD: no se si este mail va a conservar el hilo... lo respondo desde la web y puede
pasar cualquier cosa (incluso HTML) !!!!!
On Mon Jul 18 4:08 , Marcos Guglielmetti <> sent:
>El Lun 18 Jul 2005 00:11, Pablo escribió:
>> Esta es la primera maquina que mando el mail (segun lo que mandaste):
>>
>> Received: from pqwwg5nxwpazjat (unknown [200.58.209.38])
>> by hosting1.argentina.com (Postfix) with SMTP id 438E22F8710
>> for ; Sun, 17 Jul 2005 02:37:06 -0300 (ART)
>>
>> Ahora haciendo un tracert podemos ver, no el camino hasta ella, sino
>> el PTR al que apunta esta IP:
>>
>> ------------------------------------------------
>> G:\>tracert 200.58.209.38
>>
>> Tracing route to adsl200-58-209-38.epm.net.co [200.58.209.38]
>> over a maximum of 30 hops:
>>
>> 1 * * * Request timed out.
>> 2 151 ms 130 ms 139 ms ^C
>> -------------------------------------------------
>>
>> o, de la forma correcta pero requiere mas pasos....:
>> (estoy en win por lo que uso nslookup, si estas en linux usa dig o host)
>>
>> ------------------------------------------------
>> nslookup
>>
>> > set type=PTR
>> > 200.58.209.38
>>
>> Server: ns1.arnet.com.ar
>> Address: 200.45.191.35
>>
>> Non-authoritative answer:
>> 38.209.58.200.in-addr.arpa name = adsl200-58-209-38.epm.net.co
>>
>> 209.58.200.in-addr.arpa nameserver = birlocha.epm.net.co
>> 209.58.200.in-addr.arpa nameserver = lauta.epm.net.co
>> -----------------------------------------------------
>>
>> Te recomiendo que busques a alguno con adsl en colombia (.co) ....... ; ·)
>> con emp.net.co ..... que con fecha: Sun, 17 Jul 2005 02:37:06 -0300 (ART)
>> haya tenido esa ip asignada..... creo que se complica un poco la cosa pero
>> suerte.
>>
>> Saludos. Pablo Armando.
>
> Gracias, vamos bien!
>
>
>Mirá esto:
>De: M
>
>Hola,
>Los Received: se leen de abajo para arriba, y, a menos que los headers
>estén trucados(si, se puede hacer eso) el de más abajo es el primero.
>En este caso no están trucados, ya que todos pertenecen a
>argentina.com(en realidad, hay que verificar todos los pares de
>nombres/IP para estar bien seguro) , menos el primero(el de más abajo).
>Entonces, lo único que tenés es la IP del primer Received:
>
>200.58.209.38
>
>~$ host 200.58.209.38
>38.209.58.200.in-addr.arpa domain name pointer adsl200-58-209-38.epm.net.co.
>~$ whois 200.58.209.38
>% Copyright LACNIC lacnic.net
>% The data below is provided for information purposes
>% and to assist persons in obtaining information about or
>% related to AS and IP numbers registrations
>% By submitting a whois query, you agree to use this data
>% only for lawful purposes.
>% 2005-07-17 21:16:39 (BRT -03:00)
>
>inetnum: 200.58.208/20
>status: allocated
>owner: Empresas Publicas De Medellin
>ownerid: CO-EPME1-LACNIC
>responsible: Yomaira García O.
>address: Carrera 77 39b-16, -, -
>address: 940 - Medellin - CO
>country: CO
>phone: +57 4 3802921 []
>owner-c: YGO2
>tech-c: YGO2
>inetrev: 200.58.208/20
>nserver: LAUTA.EPM.NET.CO
>nsstat: 20050715 AA
>nslastaa: 20050715
>nserver: BIRLOCHA.EPM.NET.CO
>~$
>
>O sea, es un vínculo adsl en Colombia, probablemente en Medellín.
>
>Más información que puede ser útil:
>
>Date: Sun, 17 Jul 2005 00:36:41 +0000 (el timezone puede ser significativo,
>pero también depende de la conf. de la máquina)
>X-Mailer: TOL Mailer (bascando en google parece ser un spambot. Probablemente
>instalado en la IP anterior, o en una máquina NATeada por esa IP)
>
>~# nmap -O -v -v -F -TInsane 200.58.209.38
>
>Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-07-17 21:28 ART
>Initiating SYN Stealth Scan against adsl200-58-209-38.epm.net.co
>(200.58.209.38) [1221 ports] at 21:28
>Discovered open port 80/tcp on 200.58.209.38
>Discovered open port 23/tcp on 200.58.209.38
>Increasing send delay for 200.58.209.38 from 0 to 5 due to 14 out of 34
>dropped probes since last increase.
>SYN Stealth Scan Timing: About 9.50% done; ETC: 21:33 (0:04:45 remaining)
>...
>
>~$ /bin/echo -e "HEAD / HTTP/1.0\r\n" | nc 200.58.209.38 80
>HTTP/1.0 401 Unauthorized
>Date: Mon, 18 Jul 2005 03:11:06 GMT
>Content-Type: text/html
>WWW-Authenticate: Basic realm="Netopia-3000"
>Server: Allegro-Software-RomPager/4.03
>
>Ahi tenés el router adsl. Por ahí con un poco de suerte podés entrar y todo...
>
>~$ export HOST=200.58.209.38
>~$ telnet $HOST
>Trying 200.58.209.38...
>Connected to 200.58.209.38.
>Escape character is '^]'.
>
>login: admin
>Password:
>Login incorrect
>
>login: admin
>Password:
>
>Terminal shell v1.0
>Copyright ©2004 Netopia, Inc. All rights reserved.
>Netopia Model 3342 DSL USB
>Running Netopia SOC OS version 7.4.0 (build r1)
>Multimode ADSL Capable
>(Admin completed login: Full Read/Write access)
>
>herlinda arevalo/17029616>
>
>Je je. Bueno, por una de esas casualidades, ahí tenés el nombre de la probable
>dueña de la conexión.
>Buscala en internet, y mandale un mail(o llamala por tel.) y comentale que
>tiene un spam bot instalado en su PC(un Windows muuuy probablemente). Que
>saque el spambot, o que reinstale el windows.
>Y que le cambie la password de admin al router y habilite el firewall, por
>dios.
>
>
Tenga su cuenta de E-mail profesional con 300MB, antivirus y antispam GRATIS!