Javilonas
Trovador Loco
Developer
- Registrado
- 10 Sep 2006
- Mensajes
- 25.305
- Reacciones
- 2.688
- Puntos
- 322
Hola, buenas tardes.
Llevo mucho sin aparecer por el foro y entro exclusivamente para avisar y reportar algo que considero importante, ya que ha sido usando el protocolo Gbox mediante una versión antigua de Ncam y de una forma que no termino de comprender aún, por tanto más vale prevenir que curar.
Revisar vuestros receptores si tenéis el protocolo Gbox activo en algún receptor y mirar si tenéis alguna de estas dos IP conectadas como anónimas:
51.38.108.xxx y 51.89.125.xxx (por temas legales oculto los últimos dígitos). Da igual que no lo tengáis activo tampoco, revisarlo de todos modos, dada la manera en que estaban tirándole la red, no me extrañaría nada que incluso estén explotando esto forzándolo de algún modo.
En el caso éste en particular, hacía uso del protocolo Gbox exclusivamente a nivel interno, simplemente para enlazar 2 receptores en la misma vivienda, mediante IP privada (192.168.x.x).
Estas dos IP han sido ya reportadas a OVH, de casualidad las he encontrado tirando por toda la cara del receptor de un familiar el cual se quejaba de caídas importantes de internet, lentitud en la red y esas cosas, lo que menos me pensaba era que el receptor fuera el causante de ello, pero después de echarle un ojo a todo y no encontrar absolutamente nada y como dije antes, de casualidad por que aproveché el momento para mirar si tenía actualizado el listado de canales de paso que ya estaba ahí y me ha dado por mirar las conexiones entrantes y ¡¡Bingo!! ahí estaban chupando de lo lindo estas dos IP por todo el careto. Tampoco ha sido muy complicado darse cuenta, ya que como digo no comparte con nadie externo, por tanto las dos únicas IP que aparecían eran estas dos y encima conectadas de manera anónima. Que esa es otra, ¿Cómo cojones chupan por ese protocolo estando como anónimos?
Ni idea como habrán conseguido el paswd de Gbox de éste familiar puesto que no comparte con nadie, ni entiende de nada ni ha tocado nunca el aparato desde que le puse yo mismo la imagen y se lo configuré todo y de eso hace ya bastante, tanto es así que la versión que estaba usando de NCam era bastante antigua, pero de igual modo, no conozco que exista a día de hoy vulnerabilidad alguna en ese protocolo, lo que ya no puedo asegurar que si la exista en esa versión, tampoco me he podido entretener mucho más.
La imagen que estaba usando tampoco era la nuestra, puesto que cuando le monté el aparato en su casa no existía para su deco (hoy tampoco de manera pública, pero está en proceso).
Lo usaba de manera interna para enlazar el segundo receptor de su casa, tampoco sé como han conocido el puerto, ya que la IP del receptor que ha sido atacado no aparece por shodan en las búsquedas ni tampoco existía vulnerabilidad alguna que yo sepa en esa imagen, es más, es que no entiendo ni cómo cojones estaban tirando ya que ni el puerto por donde estaban tirando estaba abierto de manera pública, es todo muy extraño, pero ha sucedido y seguramente no sea el único.
¿Expediente X? ni idea, normalmente no suelo reportar este tipo de cosas, más que nada porque suelen ser culpa del dueño del receptor por compartir con personas externas que no conoce u otro tipo de cosas, pero que suelen ir acompañadas de la mano, pero viendo la situación y de la manera que ha sido todo, sin posibilidad alguna a que se metan de manera externa, considero importante este acceso no autorizado, mañana intentaré estudiar un poco más el tema y profundizar algo más en ello, por ahora ahí lo dejo para quien le sirva de algo conocer esta información.
Nunca está de más reportar este tipo de abusos a la comunidad.
Saludos
Llevo mucho sin aparecer por el foro y entro exclusivamente para avisar y reportar algo que considero importante, ya que ha sido usando el protocolo Gbox mediante una versión antigua de Ncam y de una forma que no termino de comprender aún, por tanto más vale prevenir que curar.
Revisar vuestros receptores si tenéis el protocolo Gbox activo en algún receptor y mirar si tenéis alguna de estas dos IP conectadas como anónimas:
51.38.108.xxx y 51.89.125.xxx (por temas legales oculto los últimos dígitos). Da igual que no lo tengáis activo tampoco, revisarlo de todos modos, dada la manera en que estaban tirándole la red, no me extrañaría nada que incluso estén explotando esto forzándolo de algún modo.
En el caso éste en particular, hacía uso del protocolo Gbox exclusivamente a nivel interno, simplemente para enlazar 2 receptores en la misma vivienda, mediante IP privada (192.168.x.x).
Estas dos IP han sido ya reportadas a OVH, de casualidad las he encontrado tirando por toda la cara del receptor de un familiar el cual se quejaba de caídas importantes de internet, lentitud en la red y esas cosas, lo que menos me pensaba era que el receptor fuera el causante de ello, pero después de echarle un ojo a todo y no encontrar absolutamente nada y como dije antes, de casualidad por que aproveché el momento para mirar si tenía actualizado el listado de canales de paso que ya estaba ahí y me ha dado por mirar las conexiones entrantes y ¡¡Bingo!! ahí estaban chupando de lo lindo estas dos IP por todo el careto. Tampoco ha sido muy complicado darse cuenta, ya que como digo no comparte con nadie externo, por tanto las dos únicas IP que aparecían eran estas dos y encima conectadas de manera anónima. Que esa es otra, ¿Cómo cojones chupan por ese protocolo estando como anónimos?
Ni idea como habrán conseguido el paswd de Gbox de éste familiar puesto que no comparte con nadie, ni entiende de nada ni ha tocado nunca el aparato desde que le puse yo mismo la imagen y se lo configuré todo y de eso hace ya bastante, tanto es así que la versión que estaba usando de NCam era bastante antigua, pero de igual modo, no conozco que exista a día de hoy vulnerabilidad alguna en ese protocolo, lo que ya no puedo asegurar que si la exista en esa versión, tampoco me he podido entretener mucho más.
La imagen que estaba usando tampoco era la nuestra, puesto que cuando le monté el aparato en su casa no existía para su deco (hoy tampoco de manera pública, pero está en proceso).
Lo usaba de manera interna para enlazar el segundo receptor de su casa, tampoco sé como han conocido el puerto, ya que la IP del receptor que ha sido atacado no aparece por shodan en las búsquedas ni tampoco existía vulnerabilidad alguna que yo sepa en esa imagen, es más, es que no entiendo ni cómo cojones estaban tirando ya que ni el puerto por donde estaban tirando estaba abierto de manera pública, es todo muy extraño, pero ha sucedido y seguramente no sea el único.
¿Expediente X? ni idea, normalmente no suelo reportar este tipo de cosas, más que nada porque suelen ser culpa del dueño del receptor por compartir con personas externas que no conoce u otro tipo de cosas, pero que suelen ir acompañadas de la mano, pero viendo la situación y de la manera que ha sido todo, sin posibilidad alguna a que se metan de manera externa, considero importante este acceso no autorizado, mañana intentaré estudiar un poco más el tema y profundizar algo más en ello, por ahora ahí lo dejo para quien le sirva de algo conocer esta información.
Nunca está de más reportar este tipo de abusos a la comunidad.
Saludos