Resultados 1 al 15 de 15






Consulta ¿Que info podéis darme de esta IP? 216.163.188.233


Estás en el tema Consulta ¿Que info podéis darme de esta IP? 216.163.188.233 dentro del subforo Seguridad y Redes en LonasDigital. Resulta que estoy montando el nuevo servidor dedicado a donde vamos a alojarnos, pues bien... Estoy modificando las rutas del phpmyadmin por otra diferente por securizarlo y demás un poco, editando los archivos de configuración y demás. Pues bien... Me da por mirar los logs de acceso una vez ya terminado de proteger todo y en el log al principio sólo salía mi IP (lo normal), lo cual es normal puesto que soy el único que conoce esa ruta recién creada y para nada es una ruta que pueda contener...



Este tema tuvo 2354 Visitas y 14 Respuestas

Actualmente hay 1 usuarios viendo este tema. (0 miembros y 1 visitantes)

  1. #1
    Avatar de lonas

    lonas ha iniciado este hilo.
    lonas está desconectado
    Título:  ✔ User Verified ™ Rango:  Admin & Developer
    Fecha de ingreso
    Sep-2006
    Receptor
    Formuler F1
    Firmware
    OpenLD-3.0
    Nacionalidad
    Espana
    Ubicación
    Planeta Marte
    Edad
    36
    Temas
    1614
    Mensajes
    23,411


    Resulta que estoy montando el nuevo servidor dedicado a donde vamos a alojarnos, pues bien... Estoy modificando las rutas del phpmyadmin por otra diferente por securizarlo y demás un poco, editando los archivos de configuración y demás.

    Pues bien... Me da por mirar los logs de acceso una vez ya terminado de proteger todo y en el log al principio sólo salía mi IP (lo normal), lo cual es normal puesto que soy el único que conoce esa ruta recién creada y para nada es una ruta que pueda contener en búsqueda para escanear un roboot que se dedique a realizar escaneos a diestro y siniestro por la red (es personal y muy hardcore, creada a conciencia para evitar precisamente este tipo de cosas) así que al darle al actualizar de nuevo por última vez antes de cerrarlo. veo en el log que 1 segundo después de mi en una de las líneas últimas me aparece que la IP 216.163.188.233 acaba de visitar esa ruta O_o.

    ¿Cómo es posible? si esta ruta está recién creada, nadie la conoce y dudo que esté preestablecida por defecto en algún scripts malicioso que solo se dedique a escanear, ¿de donde cojones sale esa IP? según he estado viendo parece ser que es de USA http://www.dnsstuff.com/tools#ipInfo...16.163.188.233 y https://geoiptool.com/en/?host=216.1...16.163.188.233 y http://www.ip-tracker.org/locator/ip...16.163.188.233 pero no encuentro mas info sobre ella y si proviene de algún servidor de alguna compañía o que.

    ¿Por qué este hilo? pues por que es la primera vez que me sucede, he escaneado el PC en busca de troyanos, virus y demás, sin encontrar nada, lo único novedoso que tengo es el W10 (Windows 10), nada mas. Y me estoy rayando un poco.

    Alguno puede decirme algo acerca de esta IP?

    Adjunto parte del log:

    Código:
    216.163.188.233 - - [09/Aug/2015:08:39:27 +0200] "GET /RUTA_HARDCORE/ HTTP/1.0" 200 9275 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0"
    79.xxx.92.xxx - - [09/Aug/2015:08:40:26 +0200] "GET /RUTA_HARDCORE/ HTTP/1.0" 200 2938 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.130 Safari/537.36"
    El primero es el de marras y el segundo es mío, de veras que no entiendo nada, primero pensé... Anda!! será algún roboot de google o bing, pero al intentar buscar info y no encontrar nada pues ya me hace dudar.

    Posiblemente sea una tontería, pero como no estoy seguro y soy muy maniático/paranóico con estas cosas, prefiero asegurarme y preguntar por si alguien sabe decirme de donde proviene esta IP con seguridad. No me gusta ser mal pensado, pero en mi entorno lo único nuevo que tengo es Windows10 y el tema del keylogger no me mola nada de nada y ahora con esto ya me diréis que puedo pensar.

    Se aceptan risas y demás, pero también se aceptan planteamientos y razonamientos serios.

    Un saludo

    Si te gustó este post, dale arriba a los botones de Me gusta (facebook) Twitter y google +1 que no te llevará ni 5 segundos xD

    Recuerda:
    El trabajo que realizo es de manera altruista y seguirá siendo así siempre, pero nunca viene mal un poco de ayuda,apoyo y motivación para continuar creando y creciendo en lo que uno realiza.
    Si estas satisfecho y te apetece,puedes contribuir con una donación :

    No se resuelven dudas por Privados ni por E-mail,las incidencias se consultan en el foro y se resuelven entre todos.

    Sígueme en Twitter: https://twitter.com/javilonas


    Citar Citar  


  2. QoinPro.com: Free Bitcoins every 24 hours


  3. #2
    Avatar de lonas

    lonas ha iniciado este hilo.
    lonas está desconectado
    Título:  ✔ User Verified ™ Rango:  Admin & Developer
    Fecha de ingreso
    Sep-2006
    Receptor
    Formuler F1
    Firmware
    OpenLD-3.0
    Nacionalidad
    Espana
    Ubicación
    Planeta Marte
    Edad
    36
    Temas
    1614
    Mensajes
    23,411


    Añado log extraído del mismo para que se vea la diferencia entre un escaneo a lo que es el acceso de arriba:

    Código:
    74.58.15.76 - - [09/Aug/2015:08:45:39 +0200] "HEAD /myadminphp/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:39 +0200] "HEAD /mysql-admin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:40 +0200] "HEAD /mysql/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:40 +0200] "HEAD /mysql/admin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:40 +0200] "HEAD /mysql/db/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:40 +0200] "HEAD /mysql/dbadmin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:40 +0200] "HEAD /mysql/mysqlmanager/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:40 +0200] "HEAD /mysql/pMA/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:40 +0200] "HEAD /mysql/pma/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:40 +0200] "HEAD /mysql/sqlmanager/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:40 +0200] "HEAD /mysql/web/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:40 +0200] "HEAD /mysqladmin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:40 +0200] "HEAD /mysqlmanager/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:41 +0200] "HEAD /php-my-admin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:41 +0200] "HEAD /php-myadmin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:41 +0200] "HEAD /phpMyAdmin-2/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:41 +0200] "HEAD /phpMyAdmin-3/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:41 +0200] "HEAD /phpMyAdmin-4/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:41 +0200] "HEAD /phpMyAdmin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:41 +0200] "HEAD /phpMyAdmin2/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:41 +0200] "HEAD /phpMyAdmin3/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:41 +0200] "HEAD /phpMyAdmin4/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:41 +0200] "HEAD /phpMyadmin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:42 +0200] "HEAD /phpmanager/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:42 +0200] "HEAD /phpmy-admin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:42 +0200] "HEAD /phpmy/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:42 +0200] "HEAD /phpmyAdmin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:42 +0200] "HEAD /phpmyadmin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:42 +0200] "HEAD /phpmyadmin1/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:42 +0200] "HEAD /phpmyadmin2/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:42 +0200] "HEAD /phpmyadmin3/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:42 +0200] "HEAD /phpmyadmin4/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:42 +0200] "HEAD /phppma/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:42 +0200] "HEAD /pma/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:43 +0200] "HEAD /pma2011/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:43 +0200] "HEAD /pma2012/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:43 +0200] "HEAD /pma2013/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:43 +0200] "HEAD /pma2014/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:43 +0200] "HEAD /pma2015/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:43 +0200] "HEAD /program/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:43 +0200] "HEAD /shopdb/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:43 +0200] "HEAD /sql/myadmin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:43 +0200] "HEAD /sql/php-myadmin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:43 +0200] "HEAD /sql/phpMyAdmin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:44 +0200] "HEAD /sql/phpMyAdmin2/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:44 +0200] "HEAD /sql/phpMyAdmin3/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:44 +0200] "HEAD /sql/phpMyAdmin4/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:44 +0200] "HEAD /sql/phpmanager/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:44 +0200] "HEAD /sql/phpmy-admin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:44 +0200] "HEAD /sql/phpmyadmin2/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:44 +0200] "HEAD /sql/phpmyadmin3/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:44 +0200] "HEAD /sql/phpmyadmin4/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:44 +0200] "HEAD /sql/sql-admin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:44 +0200] "HEAD /sql/sql/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:44 +0200] "HEAD /sql/sqladmin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:45 +0200] "HEAD /sql/sqlweb/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:45 +0200] "HEAD /sql/webadmin/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:45 +0200] "HEAD /sql/webdb/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    74.58.15.76 - - [09/Aug/2015:08:45:45 +0200] "HEAD /sqlmanager/ HTTP/1.0" 404 - "-" "Mozilla/5.0 Jorgee"
    Esto si es de un roboot/server zombie escaneando a punta pala en busca de la ruta correcta, pero el de arriba que os digo es que recién creada accedió a la misma.
    Si te gustó este post, dale arriba a los botones de Me gusta (facebook) Twitter y google +1 que no te llevará ni 5 segundos xD

    Recuerda:
    El trabajo que realizo es de manera altruista y seguirá siendo así siempre, pero nunca viene mal un poco de ayuda,apoyo y motivación para continuar creando y creciendo en lo que uno realiza.
    Si estas satisfecho y te apetece,puedes contribuir con una donación :

    No se resuelven dudas por Privados ni por E-mail,las incidencias se consultan en el foro y se resuelven entre todos.

    Sígueme en Twitter: https://twitter.com/javilonas


    Citar Citar  

  4. #3
    Avatar de lonas

    lonas ha iniciado este hilo.
    lonas está desconectado
    Título:  ✔ User Verified ™ Rango:  Admin & Developer
    Fecha de ingreso
    Sep-2006
    Receptor
    Formuler F1
    Firmware
    OpenLD-3.0
    Nacionalidad
    Espana
    Ubicación
    Planeta Marte
    Edad
    36
    Temas
    1614
    Mensajes
    23,411


    120 visitas y ni una sola opinión al respecto :(
    Si te gustó este post, dale arriba a los botones de Me gusta (facebook) Twitter y google +1 que no te llevará ni 5 segundos xD

    Recuerda:
    El trabajo que realizo es de manera altruista y seguirá siendo así siempre, pero nunca viene mal un poco de ayuda,apoyo y motivación para continuar creando y creciendo en lo que uno realiza.
    Si estas satisfecho y te apetece,puedes contribuir con una donación :

    No se resuelven dudas por Privados ni por E-mail,las incidencias se consultan en el foro y se resuelven entre todos.

    Sígueme en Twitter: https://twitter.com/javilonas


    Citar Citar  

  5. #4
    Avatar de aguilarmercader

    aguilarmercader está desconectado
    Título:  Viejo Troll Cascarrabias Rango:  Usuario PREMIUM
    Fecha de ingreso
    Sep-2012
    Receptor
    GQUAD-QUATRO
    Firmware
    LD 2.9 GTI
    Nacionalidad
    Espana
    Ubicación
    San Javier (MURCIA)
    Edad
    39
    Temas
    150
    Mensajes
    3,101


    No sabría qué decir...

    P.d. Desde la piscina se ven de otro modo los problemas, o por lo menos a otro ritmo ;)
    Saludos.


    Citar Citar  

  6. #5
    Avatar de Teddy_San

    Teddy_San está desconectado
    Título:  Usuario PREMIUM Rango:  Usuario PREMIUM
    Fecha de ingreso
    Nov-2014
    Receptor
    QuadHD+IpBox
    Firmware
    OpenLD 2.9
    Nacionalidad
    Espana
    Edad
    38
    Temas
    6
    Mensajes
    118


    Fijate que el navegador que han utilizado es firefox, lo cual me puede hacer pensar que se trata de un scanner ejecutado desde red tor, por lo que no vas a tener narices de poder localizar quien ha sido...


    Citar Citar  

  7. #6
    Avatar de lonas

    lonas ha iniciado este hilo.
    lonas está desconectado
    Título:  ✔ User Verified ™ Rango:  Admin & Developer
    Fecha de ingreso
    Sep-2006
    Receptor
    Formuler F1
    Firmware
    OpenLD-3.0
    Nacionalidad
    Espana
    Ubicación
    Planeta Marte
    Edad
    36
    Temas
    1614
    Mensajes
    23,411


    Cita Iniciado por Teddy_San Ver mensaje
    Fijate que el navegador que han utilizado es firefox, lo cual me puede hacer pensar que se trata de un scanner ejecutado desde red tor, por lo que no vas a tener narices de poder localizar quien ha sido...
    Pero es que sólo ha accedido a la ruta nueva, nada mas, es el único acceso que existe en todo el log y fue justo después de yo crear la nueva ruta, es muy extraño todo.
    Si te gustó este post, dale arriba a los botones de Me gusta (facebook) Twitter y google +1 que no te llevará ni 5 segundos xD

    Recuerda:
    El trabajo que realizo es de manera altruista y seguirá siendo así siempre, pero nunca viene mal un poco de ayuda,apoyo y motivación para continuar creando y creciendo en lo que uno realiza.
    Si estas satisfecho y te apetece,puedes contribuir con una donación :

    No se resuelven dudas por Privados ni por E-mail,las incidencias se consultan en el foro y se resuelven entre todos.

    Sígueme en Twitter: https://twitter.com/javilonas


    Citar Citar  

  8. #7
    Avatar de Teddy_San

    Teddy_San está desconectado
    Título:  Usuario PREMIUM Rango:  Usuario PREMIUM
    Fecha de ingreso
    Nov-2014
    Receptor
    QuadHD+IpBox
    Firmware
    OpenLD 2.9
    Nacionalidad
    Espana
    Edad
    38
    Temas
    6
    Mensajes
    118


    Pues en ese caso a lo mejor simplemente es un robot del propio proveedor de servicios para testear nuevas rutas, si no hay mas accesos no tienes de que preocuparte


    Citar Citar  

  9. Los siguientes usuarios agradecieron a Teddy_San por su mensaje :

    lonas (09-08-15)

  10. #8
    Avatar de fr3n2y

    fr3n2y está desconectado
    Título:  Amigo de Lonas Rango:  Amigo de Lonas
    Fecha de ingreso
    Jun-2013
    Nacionalidad
    Espana
    Temas
    10
    Mensajes
    78


    Buenas,

    Doy por hecho que no tienes el fichero robots.txt en el nuevo servidor y que mucho menos tienes la ruta secreta en dicho fichero.

    Que navegador has usado? Lo del acceso unico y directo a la nueva URL es extraño, pero podrias probar a inventarte otra ruta y hacer lo mismo, a ver si misteriosamente tambien vuelven a acceder. Si vuelven a acceder, pruebalo otra vez con otro navegador... por descartar temas de que el navegador envie de alguna forma a los sites que accedes para incorporarlos en algun motor de busqueda o algo extraño.

    Sobre las redes tor... se puede consultar si una determinada IP se utiliza como gateway de salida de redes tor, mucha gente bloquea dichos accesos. Aunque no tienes garantias 100%, lo que esta claro es que si te dice que es de redes tor, sera cierto. A mi me extrañaria que fuera de redes tor.

    Por otra parte, la IP pertenece a COMMTOUCH-INC, que parece que tiene alguna relacion con Panda Antivirus (modulo antispam). Por casualidad utilizas este antivirus?

    Podria ser que hayas enviado a algun colega la URL secreta y algun receptor tenga relacion con esa plataforma antispam.

    Hay que tener en cuenta que hoy en dia hay mucho analisis "activo" en busca de malware, spear phishing, etc. por lo que habria que saber por donde ha pasado ese link para tener mas informacion (mails enviados, donde esta alojado el servidor, etc.).

    Con la informacion que publicas, poco mas te puedo decir.

    Saludos,

    EDITO: Para poneros la salida del whois, que da informacion sobre el propietario de las IPs, creo que no lo habias mirado:

    NetRange: 216.163.176.0 - 216.163.191.255CIDR: 216.163.176.0/20
    NetName: COMMTOUCH-INC
    NetHandle: NET-216-163-176-0-1
    Parent: NET216 (NET-216-0-0-0-0)
    NetType: Direct Assignment
    OriginAS:
    Organization: Commtouch Inc. (COMMTO)
    RegDate: 1999-09-01
    Updated: 2012-03-02
    Ref: http://whois.arin.net/rest/net/NET-216-163-176-0-1




    OrgName: Commtouch Inc.
    OrgId: COMMTO
    Address: 1731 Embarcadero Road
    Address: Suite 230
    City: Palo Alto
    StateProv: CA
    PostalCode: 94303
    Country: US
    RegDate: 1999-09-01
    Updated: 2015-06-05
    Ref: http://whois.arin.net/rest/org/COMMTO


    Citar Citar  

  11. Los siguientes usuarios agradecieron a fr3n2y por su mensaje :

    lonas (09-08-15)

  12. #9
    Avatar de lonas

    lonas ha iniciado este hilo.
    lonas está desconectado
    Título:  ✔ User Verified ™ Rango:  Admin & Developer
    Fecha de ingreso
    Sep-2006
    Receptor
    Formuler F1
    Firmware
    OpenLD-3.0
    Nacionalidad
    Espana
    Ubicación
    Planeta Marte
    Edad
    36
    Temas
    1614
    Mensajes
    23,411


    Puede que el panda tenga algo que ver. Es el antivirus que uso. El navegador con el que navego es el Chrome.

    Efectivamente no existía aún robot.txt alguno.

    Podría tratarse del plugin del panda en el navegador que haya analizado la ruta?

    Todo apunta a que si. Lástima no haberme percatado antes de la relación con panda.

    Ahora realizaré de nuevo lo mismo con otro directorio y miraré el log.

    Gracias!! Me estaba creando ya un gorrito de papel de aluminio y todo jeje

    Si te gustó este post, dale arriba a los botones de Me gusta (facebook) Twitter y google +1 que no te llevará ni 5 segundos xD

    Recuerda:
    El trabajo que realizo es de manera altruista y seguirá siendo así siempre, pero nunca viene mal un poco de ayuda,apoyo y motivación para continuar creando y creciendo en lo que uno realiza.
    Si estas satisfecho y te apetece,puedes contribuir con una donación :

    No se resuelven dudas por Privados ni por E-mail,las incidencias se consultan en el foro y se resuelven entre todos.

    Sígueme en Twitter: https://twitter.com/javilonas


    Citar Citar  

  13. #10
    Avatar de lonas

    lonas ha iniciado este hilo.
    lonas está desconectado
    Título:  ✔ User Verified ™ Rango:  Admin & Developer
    Fecha de ingreso
    Sep-2006
    Receptor
    Formuler F1
    Firmware
    OpenLD-3.0
    Nacionalidad
    Espana
    Ubicación
    Planeta Marte
    Edad
    36
    Temas
    1614
    Mensajes
    23,411


    Cita Iniciado por Teddy_San Ver mensaje
    Fijate que el navegador que han utilizado es firefox, lo cual me puede hacer pensar que se trata de un scanner ejecutado desde red tor, por lo que no vas a tener narices de poder localizar quien ha sido...
    Eso es lo extraño, que solo existe ese acceso. Ahora crearé un nuevo directorio y accederé al mismo vía web.

    Si te gustó este post, dale arriba a los botones de Me gusta (facebook) Twitter y google +1 que no te llevará ni 5 segundos xD

    Recuerda:
    El trabajo que realizo es de manera altruista y seguirá siendo así siempre, pero nunca viene mal un poco de ayuda,apoyo y motivación para continuar creando y creciendo en lo que uno realiza.
    Si estas satisfecho y te apetece,puedes contribuir con una donación :

    No se resuelven dudas por Privados ni por E-mail,las incidencias se consultan en el foro y se resuelven entre todos.

    Sígueme en Twitter: https://twitter.com/javilonas


    Citar Citar  

  14. #11
    Avatar de fr3n2y

    fr3n2y está desconectado
    Título:  Amigo de Lonas Rango:  Amigo de Lonas
    Fecha de ingreso
    Jun-2013
    Nacionalidad
    Espana
    Temas
    10
    Mensajes
    78


    El navegador no es de fiar. Quiero decir, las soluciones antiAPT, contra spear fishings, etc. Simulan comportamientos humanos.

    Entonces, si la url ha sido visible por el panda, puede decidir analizarla para saber si en esa url hay algun malware o similar. Y lo hacen accediendo, bajando la muestra y ejecutandola. Por eso podrias ver el acceso.

    En cualquier caso, tiene pinta de ser algun tema de AV mas que de navegador, pero a saber




    Citar Citar  

  15. #12
    Avatar de lonas

    lonas ha iniciado este hilo.
    lonas está desconectado
    Título:  ✔ User Verified ™ Rango:  Admin & Developer
    Fecha de ingreso
    Sep-2006
    Receptor
    Formuler F1
    Firmware
    OpenLD-3.0
    Nacionalidad
    Espana
    Ubicación
    Planeta Marte
    Edad
    36
    Temas
    1614
    Mensajes
    23,411


    Pues he realizado los pasos como dije que haría, he creado un archivo para ver la info de los módulos php que acabo de instalar y me ha aparecido este nuevo acceso:

    Código:
    216.163.188.234 - - [09/Aug/2015:16:39:50 +0200] "GET /phpinfo.php HTTP/1.0" 200 186 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0"
    Si lo consultamos por el whois http://whois.arin.net/rest/net/NET-216-163-176-0-1 parece ser que es de la misma compañía.
    Si te gustó este post, dale arriba a los botones de Me gusta (facebook) Twitter y google +1 que no te llevará ni 5 segundos xD

    Recuerda:
    El trabajo que realizo es de manera altruista y seguirá siendo así siempre, pero nunca viene mal un poco de ayuda,apoyo y motivación para continuar creando y creciendo en lo que uno realiza.
    Si estas satisfecho y te apetece,puedes contribuir con una donación :

    No se resuelven dudas por Privados ni por E-mail,las incidencias se consultan en el foro y se resuelven entre todos.

    Sígueme en Twitter: https://twitter.com/javilonas


    Citar Citar  

  16. #13
    Avatar de fr3n2y

    fr3n2y está desconectado
    Título:  Amigo de Lonas Rango:  Amigo de Lonas
    Fecha de ingreso
    Jun-2013
    Nacionalidad
    Espana
    Temas
    10
    Mensajes
    78


    Desactiva el AV y prueba de nuevo, asi veremos que pasa

    EDITO: Por cierto, desde que accedes hasta sale el otro acceso, cuanto tiempo pasa?


    Citar Citar  

  17. #14
    Avatar de lonas

    lonas ha iniciado este hilo.
    lonas está desconectado
    Título:  ✔ User Verified ™ Rango:  Admin & Developer
    Fecha de ingreso
    Sep-2006
    Receptor
    Formuler F1
    Firmware
    OpenLD-3.0
    Nacionalidad
    Espana
    Ubicación
    Planeta Marte
    Edad
    36
    Temas
    1614
    Mensajes
    23,411


    Con el panda desactivado:

    Código:
    213.186.33.62 - - [09/Aug/2015:17:33:17 +0200] "GET / HTTP/1.0" 200 1045 "-" "-"
    Es el único acceso no conocido que encuentro. Los accesos anteriores eran de 1 segundo después del mío, en este caso es de 3 minutos de diferencia. ¿Extraño que no?

    Me da a mi que voy a formatear de nuevo el server y empezar de 0 la instalación y configuración desde una maquina virtual por que ya no me fío de nada.
    Si te gustó este post, dale arriba a los botones de Me gusta (facebook) Twitter y google +1 que no te llevará ni 5 segundos xD

    Recuerda:
    El trabajo que realizo es de manera altruista y seguirá siendo así siempre, pero nunca viene mal un poco de ayuda,apoyo y motivación para continuar creando y creciendo en lo que uno realiza.
    Si estas satisfecho y te apetece,puedes contribuir con una donación :

    No se resuelven dudas por Privados ni por E-mail,las incidencias se consultan en el foro y se resuelven entre todos.

    Sígueme en Twitter: https://twitter.com/javilonas


    Citar Citar  

  18. #15
    Avatar de Teddy_San

    Teddy_San está desconectado
    Título:  Usuario PREMIUM Rango:  Usuario PREMIUM
    Fecha de ingreso
    Nov-2014
    Receptor
    QuadHD+IpBox
    Firmware
    OpenLD 2.9
    Nacionalidad
    Espana
    Edad
    38
    Temas
    6
    Mensajes
    118


    La última ip es de ovh, por lo que tranquilo que no veo nada raro... y tor lo puedes descartar, si se han conectado usando la .233 y .224, son consecutivas por lo que no son el sistema habitual de conexión por proxies

    inetnum: 213.186.33.0 - 213.186.33.255
    netname: OVH
    descr: OVH SAS
    descr: Shared Hosting Servers
    descr: Internet, Cloud und Dedicated Server Hosting- OVH
    country: FR
    admin-c: OK217-RIPE
    tech-c: OTC2-RIPE
    status: ASSIGNED PA
    mnt-by: OVH-MNT
    source: RIPE # Filtered

    role: OVH Technical Contact
    address: OVH SAS
    address: 2 rue Kellermann
    address: 59100 Roubaix
    address: France
    admin-c: OK217-RIPE
    tech-c: GM84-RIPE
    nic-hdl: OTC2-RIPE
    abuse-mailbox: abuse@ovh.net
    mnt-by: OVH-MNT
    source: RIPE # Filtered

    person: Octave Klaba
    address: OVH SAS
    address: 2 rue Kellermann
    address: 59100 Roubaix
    address: France
    phone: +33 9 74 53 13 23
    nic-hdl: OK217-RIPE
    abuse-mailbox: abuse@ovh.net
    mnt-by: OVH-MNT
    source: RIPE # Filtered

    % Information related to '213.186.32.0/19AS16276'

    route: 213.186.32.0/19
    descr: OVH ISP
    descr: Paris, France
    origin: AS16276
    mnt-by: OVH-MNT
    source: RIPE # Filtered


    Citar Citar  

  19. Los siguientes usuarios agradecieron a Teddy_San por su mensaje :

    lonas (09-08-15)

Subir