Emule: Alertas en el Firewall

Archivado
Tras muchos rumores y alertas, hoy mismo he comprobado que, verdaderamente, la red P2P por excelencia esta siendo vigilada de cerca.

Adjunto un log de mi firewall y un aviso de entrada.

Desde que he conectado no han parado de llegarme intentos de acceso al puerto 4662 desde varias IPs.

Cuando he abierto el emule, ya ha sido descarado, tal y como muestra la imagen que adjunto.


Opinad vosotros mismos, pero a mi, la verdad, esto ya me preocupa bastante.

Adjuntos

emule.jpg (0 Bytes)

como puedo saber si me esta pasando a mi lo mismo ?

como lo miro ??

q jeta tienen , intentan a cojonar a la peña.
skorzo, perdon mi ignorancia, pero que es todo esto?? quien se supone que nos espia?? a ti te han conseguido espiar?? Bueno. me podias explicar un poco todo esto por favor.

Gracias.


EDITO
o si no podias dar alguna web que hable sobre ello?? gracias
Marcox, para verlo puedes usar un Firewall. El que usa Skorzo (creo) es el Kerio, al menos yo lo tengo y es calcado, solo que yo lo tengo en inglés. Por cierto Skorzo. ¿de donde has bajado el parche en castellano? ¿es para la 2.1.5 o la 2.1.4? es que yo he visto el de la .4 pero lo he probado en el .5 y no iba.
¿Cómo sabes que te están espiando y que no se están conectando simplemente?¿Son ips conocidas? Y que has echo ¿chapar el puerto ? (o sea olvidarte del emule?)
¿Son muchas preguntas?¿O sigo haciendo más?¿Eh? XD
Venga habla tío, que nos tienes en vilo.
Un saludo
En la ultima version de la mula hay una opcion q es "modo seguro" esta en Preferencias---- Servidor.

Con eso creo que no pueden ver tu IP nio nada.

Saludos
Ya supongo que habiais oido que las redes emule estaban siendo "espiadas" de algun modo.

Lo que os he puesto se resume en que varias Ips estan haciendo escaneos a mi IP sobre el puerto del emule, para ver si lo tengo abierto....osea, para saber si uso emule.

Cuando he abierto el emule, esos scaneos han detectado que el emule estaba abierto y han intentado establecer algun tipo de conexion, que no tengo claro de que tipo sera, pero lo ha intentado.

De todo este lio se deriva el uso del Peerguardian y del bloqueo de IPs que traen las ultimas versiones del emule, que supongo que bloquean las conexiones de una seria de ips y rangos de ip a los puertos del emule, por lo general el 4662.

¿ que pasa si cambiamos todos ese puerto y accedemos por otro cualquiera?

mmmmm
Escrito originalmente por SkOrZo
¿ que pasa si cambiamos todos ese puerto y accedemos por otro cualquiera?

Me parece una excelente idea

Ultimamente se esta pasando tres pueblos la gentuza esta. ¿porque no vienen a mi casa a ver que tecleo tambien?

Ya estamos tardando en cambiar el puerto
Escrito originalmente por musikal
Marcox, para verlo puedes usar un Firewall. El que usa Skorzo (creo) es el Kerio, al menos yo lo tengo y es calcado, solo que yo lo tengo en inglés. Por cierto Skorzo. ¿de donde has bajado el parche en castellano? ¿es para la 2.1.5 o la 2.1.4? es que yo he visto el de la .4 pero lo he probado en el .5 y no iba.
¿Cómo sabes que te están espiando y que no se están conectando simplemente?¿Son ips conocidas? Y que has echo ¿chapar el puerto ? (o sea olvidarte del emule?)
¿Son muchas preguntas?¿O sigo haciendo más?¿Eh? XD
Venga habla tío, que nos tienes en vilo.
Un saludo


Vamos a responder.

Uso el Outpost Firewall, que viene en castellano, y para mi es con diferencia el mejor.

Decir si me espian o se estan conectando....tengo el emule cerrado e intenta hacer scan de puertos cada 3 minutos a mi puerto 4662, yo creo que eso es hasta denunciable.

Son ips que pertenecen, todas ellas, a las ips o rangos de ips identificadas por el peer guardian como "habitualeS" en estas practicas de scan de puertos P2P.

POdeis activar la proteccion del emule para cortar acceso a las ips que le digais...pero yo lo tengo puesto y el primero en saltarme ha sido el firewall. No se, quiza si le digo al firewall "adelante", el emule las bloqee, pero lo dudo.

COn lo cual, dejar de usar el emule...pero parece exagerado.


Quiza baste con cortar el acceso de esas ips al emule desde el firewall, aunque estoy aun probando porque no quiero cortar el paso a todas.
Chicos, yo creo voy a chapar el puerto 4662 de mi router y voy a darle paso al emule por otro cualquiera.


A ver quien puede mas.
Pues seria la mejor solucion, pero ke otras alternativas podemos utilizar?

salu2
y la pregunta de siempre. me espian, ¿y que? Que me pueden hacer "espiandome". Si son de los archifamosos SGAE o similares lo entiendo, pero el resto?

Gracias por disminuir mi ignorancia
Y que ? pues nada, si te paras a pensar quiza no pase nada.

Tampoco pasa nada si alguien le toma la matricula a tu coche, pero al menos a mi me mosquea.
pero que pueden hacer?? y hasta que punto pueden espiar??
SkOrZo, ¿y si hacemos un whois a esas IP a ver si sacamos algo en claro?

Si no tienes whois mandame la IP por privado y pongo aqui los resultados

Saludos
Escrito originalmente por RaUleX
[B]SkOrZo, ¿y si hacemos un whois a esas IP a ver si sacamos algo en claro?

Si no tienes whois mandame la IP por privado y pongo aqui los resultados

Saludos [/B]



y como se hace un whois??

perdon por preguntar tanto...
Pues yo en mi caso me voy a la consola y pongo
# whois [direccion IP]


XD

En windows no se como se hara, tambien se puede probar a tracear la IP a ver a donde llega. El VisualRoute esta muy chulo para esas cosas, queda como en las peliculas :)

El whois te da cierta informacion sobre que hay tras esa IP. No te van a decir el nombre y apellidos de nadie pero quiza se pueda sacar algo "curioso" o "revelador"

Saludos
pues aqui te da el nombre

http://www.elotrolado.net/showthread.php?s=&threadid=209076&pagenumber=2
Tienes un mensaje privado Raulex ;)
IP numero 1:
inetnum: 213.98.0.0 - 213.98.180.255
netname: RIMA
descr: Telefonica De Espana SAU (NCC#2000108569)
descr: Red de servicios IP
descr: Spain
country: ES
admin-c: LJP5-RIPE
tech-c: FLT14-RIPE
rev-srv: scmrro3.nombres.ttd.es
rev-srv: scmrro4.nombres.ttd.es
rev-srv: ns.ripe.net
status: ASSIGNED PA
remarks: ***************************************************
remarks: For ABUSE/SPAM/INTRUSION issues
remarks: PLEASE CONTACT THROUGH LINK
remarks: http://www.telefonicaonline.com/nemesys/
remarks: or send mail to nemesys@telefonica.es
remarks: any mail to adminis.ripe@telefonica.es will be ignored
remarks: ***************************************************
notify: adminis.ripe@telefonica.es
mnt-by: MAINT-AS3352
changed: adminis.ripe@telefonica.es 20001124
changed: adminis.ripe@telefonica.es 20020530
source: RIPE

route: 213.98.128.0/18
descr: TTDNET (Red de servicios IP)
origin: AS3352
mnt-by: MAINT-AS3352
mnt-routes: MAINT-AS3352
mnt-lower: MAINT-AS3352
changed: administracion.ripe@telefonica-data.com 20010404
changed: administracion.ripe@telefonica-data.com 20020118
changed: administracion.ripe@telefonica-data.com 20020313
source: RIPE

person: L Jimenez
address: TELEFONICA DE ESPANA
address: Emilio Vargas, 4
address: 28043-MADRID
address: SPAIN
phone: +34 91 5846497
fax-no: +34 91 5842650
e-mail: adminis.ripe@telefonica.es
nic-hdl: LJP5-RIPE
remarks: ***************************************************
remarks: For ABUSE/SPAM/INTRUSION issues
remarks: PLEASE CONTACT THROUGH LINK
remarks: http://www.telefonicaonline.com/nemesys/
remarks: or send mail to nemesys@telefonica.es
remarks: any mail to adminis.ripe@telefonica.es will be ignored
remarks: ***************************************************
notify: ah@telefonica.es
changed: adminis.ripe@telefonica.es 20020530
source: RIPE

person: Francisco Lorenzo de Tuero
address: TELEFONICA DE ESPANA
address: Emilio Vargas, 4
address: 28043-MADRID
address: SPAIN
phone: +34 91 5194446
fax-no: +34 91 5846936
remarks: ***************************************************
remarks: For ABUSE/SPAM/INTRUSION issues
remarks: PLEASE CONTACT THROUGH LINK
remarks: http://www.telefonicaonline.com/nemesys/
remarks: or send mail to nemesys@telefonica.es
remarks: any mail to adminis.ripe@telefonica.es will be ignored
remarks: ***************************************************
e-mail: tecnic.ripe@telefonica.es
nic-hdl: FLT14-RIPE
notify: ah@telefonica.es
changed: ah@telefonica.es 20020225
changed: adminis.ripe@telefonica.es 20020530
source: RIPE


IP numero 2:
inetnum: 213.97.0.0 - 213.97.255.255
netname: RIMA
descr: Telefonica De Espana SAU (NCC#2000013794)
descr: Red de servicios IP
descr: Spain
country: ES
admin-c: LJP5-RIPE
tech-c: FLT14-RIPE
rev-srv: scmrro3.nombres.ttd.es
rev-srv: scmrro4.nombres.ttd.es
rev-srv: ns.ripe.net
status: ASSIGNED PA
remarks: ***************************************************
remarks: For ABUSE/SPAM/INTRUSION issues
remarks: PLEASE CONTACT THROUGH LINK
remarks: http://www.telefonicaonline.com/nemesys/
remarks: or send mail to nemesys@telefonica.es
remarks: any mail to adminis.ripe@telefonica.es will be ignored
remarks: ***************************************************
notify: adminis.ripe@telefonica.es
mnt-by: MAINT-AS3352
changed: adminis.ripe@telefonica.es 20000302
changed: adminis.ripe@telefonica.es 20020530
changed: administracion.ripe@telefonica-data.com 20030121
source: RIPE

route: 213.97.0.0/16
descr: TTDNET (Red de servicios IP)
origin: AS3352
mnt-by: MAINT-AS3352
mnt-routes: MAINT-AS3352
mnt-lower: MAINT-AS3352
changed: administracion.ripe@telefonica-data.com 20010308
changed: administracion.ripe@telefonica-data.com 20020118
changed: administracion.ripe@telefonica-data.com 20020313
source: RIPE

person: L Jimenez
address: TELEFONICA DE ESPANA
address: Emilio Vargas, 4
address: 28043-MADRID
address: SPAIN
phone: +34 91 5846497
fax-no: +34 91 5842650
e-mail: adminis.ripe@telefonica.es
nic-hdl: LJP5-RIPE
remarks: ***************************************************
remarks: For ABUSE/SPAM/INTRUSION issues
remarks: PLEASE CONTACT THROUGH LINK
remarks: http://www.telefonicaonline.com/nemesys/
remarks: or send mail to nemesys@telefonica.es
remarks: any mail to adminis.ripe@telefonica.es will be ignored
remarks: ***************************************************
notify: ah@telefonica.es
changed: adminis.ripe@telefonica.es 20020530
source: RIPE

person: Francisco Lorenzo de Tuero
address: TELEFONICA DE ESPANA
address: Emilio Vargas, 4
address: 28043-MADRID
address: SPAIN
phone: +34 91 5194446
fax-no: +34 91 5846936
remarks: ***************************************************
remarks: For ABUSE/SPAM/INTRUSION issues
remarks: PLEASE CONTACT THROUGH LINK
remarks: http://www.telefonicaonline.com/nemesys/
remarks: or send mail to nemesys@telefonica.es
remarks: any mail to adminis.ripe@telefonica.es will be ignored
remarks: ***************************************************
e-mail: tecnic.ripe@telefonica.es
nic-hdl: FLT14-RIPE
notify: ah@telefonica.es
changed: ah@telefonica.es 20020225
changed: adminis.ripe@telefonica.es 20020530
source: RIPE


Son practicamente iguales, contrasto las otras despues y si veo algo interesante os aviso, pero creo que sera practicamente lo mismo

Y ahora va la insistente, que es la mas curiosa

inetnum: 80.128.0.0 - 80.146.159.255
netname: DTAG-DIAL16
descr: Deutsche Telekom AG
country: DE
admin-c: DTIP
tech-c: DTST
status: ASSIGNED PA
remarks: ************************************************************
remarks: * ABUSE CONTACT: abuse@t-ipnet.de IN CASE OF HACK ATTACKS, *
remarks: * ILLEGAL ACTIVITY, VIOLATION, SCANS, PROBES, SPAM, ETC. *
remarks: ************************************************************
mnt-by: DTAG-NIC
changed: ripe.dtip@telekom.de 20010807
changed: ripe.dtip@telekom.de 20030211
source: RIPE

route: 80.128.0.0/11
descr: Deutsche Telekom AG, Internet service provider
origin: AS3320
mnt-by: DTAG-RR
changed: bp@nic.dtag.de 20010807
source: RIPE

person: DTAG Global IP-Addressing
address: Deutsche Telekom AG
address: D-90449 Nuernberg
address: Germany
phone: +49 180 5334332
fax-no: +49 180 5334252
e-mail: ripe.dtip@telekom.de
nic-hdl: DTIP
mnt-by: DTAG-NIC
changed: ripe.dtip@telekom.de 20030210
source: RIPE

person: Security Team
address: Deutsche Telekom AG
address: Germany
phone: +49 180 5334332
fax-no: +49 180 5334252
e-mail: abuse@t-ipnet.de
nic-hdl: DTST
mnt-by: DTAG-NIC
changed: abuse@t-ipnet.de 20030210
source: RIPE


¿¿¿DE ALEMANIA???
Que sacas en claro RauleX ? Aparte de la IP extraña de Alemania...el resto?


De TELEFONICA? Tu como lo interpretas?
No seais alarmistas, que eso no quiere decir nada.

Aunque no tengas corriendo el emule/xmule/edonkey/etc o lo que sea, al apagarlo no has avisado a los miles de clientes restantes, de que no vas a aceptar más peticiones, por lo tanto ellos seguirán pidiendo/enviando, hasta que se den cuenta de que ya no respondes a las mismas.

Aparte, los clientes como el emule, tienen una 'memoria' (los famosos créditos), en los que busca en las últimas direcciones IP que se conectó, para no tener que volver a consultar a los servers ;)

Saludos

PD: Por cierto, menos las de Alemania, las demás son whois de ADSL de telefónica, seguramente otros emules, sin más.
Pues si, puede ser eso amigo.


Y entonces la de Alemania?
Escrito originalmente por SkOrZo
Pues si, puede ser eso amigo.


Y entonces la de Alemania?


Acaso en Alemania no usan el Emule? :Ð
Otro muy curioso:

inetnum: 210.85.0.0 - 210.85.255.255
netname: ETWEBS-TW
descr: ETWebs Taiwan Co. Ltd.
descr: Taiwan Cable Modem Service Provider
descr: Taiwan CATV operator
descr: General Internet Service Provider
country: TW
admin-c: HE6-AP
tech-c: HE6-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-AP-ETWEBS
changed: hostmaster@apnic.net 20010510
status: ALLOCATED PORTABLE
source: APNIC

person: Hostmaster ETWebs
nic-hdl: HE6-AP
e-mail: admin@ethome.net
address: 8F, No.19-5, San-Chong Rd., Nan-Guang Dist.,
address: Taipei City, Taiwan, R.O.C.
phone: +886-2-55813300
fax-no: +886-2-26551515
country: TW
changed: admin@ethome.net 20021105
mnt-by: MAINT-AP-ETWEBS
source: APNIC

Este es de taiwan XD


Pues yo lo que interpreto es que son ADLS normales y corrientes, no como la de A3TV que pasaron antes en un vinculo ;). Con estas IP poco se puede hacer, y posiblemente sea lo que dice Churly

De todas formas nunca esta de mas comprobar si nos la estan clavando o no ;). La idea de cambiar de puerto es buena, pienso hacerlo ya no porque ahora pase nada (que parece ser que no pasa nada), sino porque ¿quien nos dice a nosotros que la semana que viene no empiezan a espiar?

Parece ser una falsa alarma chicos


Saludos
Esperemos que sea falsa alarma .... de todas formas, a cambiar el puerto pero YA!! ;)
Juer me voy un momento y me llenaís 3 páginas. Al final tenía yo razón [chulito] ¿Pero que conseguimos cambiandonos todos de puerto? Escanearían ese otro y estaríamos igual... ¿O se trata de que os cambiéis vosotros y a los demás no den po´l ojal? [poraki]
¿es simplemente por no usar el que tiene la mayoría de la gente?
Por cierto Skorzo, se me había pasado. ¿Puedes decir que ventajas tiene el Outpost Firewall respecto a los demás (principalmente frente al Kerio, que es el que uso ;) )
Un saludo
Escrito originalmente por Churly
No seais alarmistas, que eso no quiere decir nada.

Aunque no tengas corriendo el emule/xmule/edonkey/etc o lo que sea, al apagarlo no has avisado a los miles de clientes restantes, de que no vas a aceptar más peticiones, por lo tanto ellos seguirán pidiendo/enviando, hasta que se den cuenta de que ya no respondes a las mismas.

Aparte, los clientes como el emule, tienen una 'memoria' (los famosos créditos), en los que busca en las últimas direcciones IP que se conectó, para no tener que volver a consultar a los servers ;)

Según esto, cuando a mí me salta mi cortafuegos cien veces al día contándome que están intentando entrar en mi sistema, ¿no son más que usuarios corrientes como yo, y no personas malignas que intentan romperme el ordenador? Y yo que me sentía víctima de los ataques de villanos...
Escrito originalmente por musikal
Por cierto Skorzo, se me había pasado. ¿Puedes decir que ventajas tiene el Outpost Firewall respecto a los demás (principalmente frente al Kerio, que es el que uso ;) )
Un saludo



por ahora, es que es mas facil y en español
Escrito originalmente por LadyStarlight

Según esto, cuando a mí me salta mi cortafuegos cien veces al día contándome que están intentando entrar en mi sistema, ¿no son más que usuarios corrientes como yo, y no personas malignas que intentan romperme el ordenador? Y yo que me sentía víctima de los ataques de villanos...



Desactiva las alertas, ya que es una tontería ;)

Aparte de lo que dije más arriba, tu mismo ISP puede lanzar pruebas cada poco para ver si sigues online.
Por favor, antes de volver a pulsar el botón de alerta roja, verificad que la información que dáis es real como para dar la alarma.
Nadie se ponga paranoico que bastantes preocupaciones tenemos ya de por sí.
TAmpoco se ha creado tanta alarma; yo creo que entre todos hemos sabido investigar el tema.

Yo solo no podia hacerlo, y les doy las gracias a todos.


Ya que eres moderador y yo el creador del hilo ¿ podrias renombrar el hilo como "Emule: Alertas en el Firewall" o algo asi por el estilo ?

GRACIAS
31 respuestas
Archivado
Volver a General