Me esta atacando un hacker

wuebas · 31-ene-2016

Pues resulta que de un par de meses para aca he estado recibiendo emails de alerta de paginas como twiter, skype, hotmail, gmail, paypal donde se me indica que ha habido un acceso no autorizado a la cuenta. En algunos casos me instan a que cambie la contraseña en otros no. Bueno pues despues de hablar en el facebook con un responsable del incibe, me ha dicho que denuncie ya que podria darse el caso que la persona en cuestión consiga acceder a mis cuentas, en especial paypal y sacar sobre todo información bancaria. En un principio despues de enviar la correspondiente denuncia he revisado la ip de los remitentes de los correos que me estaban llegando y realmente no es ningún tipo de phishing, las ips de los remitentes son las ips reales de twiter, skype, gmail, etc. En gmail incluso me vino información sobre el navegador desde el que habian tratado de acceder y desde un sistema operativo que yo no uso, al acceder al registro de la página me encontre con que el atacante ya habia borrado sus huellas y ya no aparecia nada sospechoso.
Ayer a su vez me llego un emall supuestamente que me habia enviado yo mismo, lo abri y no habia nada escrito, de nuevo revise la ip del remitente y cual fue mi sorpresa al encontrarme con una ip china, más concretamente de shenzen, lugar donde solia comprar cosas por internet hace años. La ip con la que me encontra es esta: 113.99.121.81 . La pongo por si alguien quiere lanzar algún ataque contra ella o algo. De momento solo he hecho una busqueda en una página de internet y me devolvio la información del lugar exacto donde esta la ip. Tambien he hecho un escaneo rapido con nmap y me ha devuelto algunos puertos abiertos que tiene el susodicho atacante. Entiendo que yo sin darme cuenta hace años me registre en alguna página china para comprar algo y puse por desgracia la misma contraseña que utilizo para mis cuentas normales, por ello ahora el susodicho personaje esta entrando en mis cuentas. Tambien pense en la posibilidad de que este equivocado y sean cosas totalmente diferentes, ya que recibo a diario tb emails en el correo no deseado donde pone como remitente yo mismo y son enlaces a paginas porno. Entiendo que quizas las alertas saltan pq estan tratando de acceder desde algun proxy o desde la red tor o incluso que sea algún gracioso gastando una broma, aunque en gmail consiguio entrar al menos ya que borro las huellas que habia dejado. Este es el resultado que devuelve nmap:

Cita:

Initiating Ping Scan at 18:47
Scanning 113.99.121.81 [2 ports]
Completed Ping Scan at 18:47, 3.50s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 18:47
Completed Parallel DNS resolution of 1 host. at 18:47, 0.10s elapsed
Initiating Connect Scan at 18:47
Scanning 113.99.121.81 [1000 ports]
Discovered open port 8888/tcp on 113.99.121.81
Discovered open port 53/tcp on 113.99.121.81
Discovered open port 8081/tcp on 113.99.121.81
Increasing send delay for 113.99.121.81 from 0 to 5 due to max_successful_tryno increase to 5
Increasing send delay for 113.99.121.81 from 5 to 10 due to max_successful_tryno increase to 6
Warning: 113.99.121.81 giving up on port because retransmission cap hit (6).
Completed Connect Scan at 18:48, 58.78s elapsed (1000 total ports)
Initiating Service scan at 18:48
Scanning 3 services on 113.99.121.81
Completed Service scan at 18:49, 71.16s elapsed (3 services on 1 host)
NSE: Script scanning 113.99.121.81.
Initiating NSE at 18:49
Completed NSE at 18:50, 20.21s elapsed
Nmap scan report for 113.99.121.81
Host is up (0.52s latency).
Not shown: 989 closed ports
PORT STATE SERVICE VERSION
23/tcp filtered telnet
53/tcp open domain?
80/tcp filtered http
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
1720/tcp filtered H.323/Q.931
4444/tcp filtered krb524
8080/tcp filtered http-proxy
8081/tcp open http GoAhead-Webs embedded httpd
|_http-generator: ERROR: Script execution failed (use -d to debug)
|_http-methods: No Allow or Public header in OPTIONS response (status code 400)
|_http-title: Did not follow redirect to http://113.99.121.81/home.asp
8888/tcp open sip SDK 4.0.0.0 UPnP/1.0 MiniUPnPd/1.6 (Status: 501 Not Implemented)
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port8888-TCP:V=6.47%I=7%D=1/31%Time=56AE48FB%P=i686-pc-linux-gnu%r(GetR
SF:equest,10D,"HTTP/1\.0\x20404\x20Not\x20Found\r\nContent-Type:\x20text/h
SF:tml\r\nConnection:\x20close\r\nContent-Length:\x20134\r\nServer:\x20SDK
SF:\x204\.0\.0\.0\x20UPnP/1\.0\x20MiniUPnPd/1\.6\r\n\r\n<HTML><HEAD><TITLE
SF:>404\x20Not\x20Found</TITLE></HEAD><BODY><H1>Not\x20Found</H1>The\x20re
SF:quested\x20URL\x20was\x20not\x20found\x20on\x20 this\x20server\.</BODY><
SF:/HTML>\r\n")%r(HTTPOptions,122,"HTTP/1\.0\x20501\x20Not\x20Implemented\
SF:r\nContent-Type:\x20text/html\r\nConnection:\x20close\r\nContent-Length
SF::\x20149\r\nServer:\x20SDK\x204\.0\.0\.0\x20UPn P/1\.0\x20MiniUPnPd/1\.6
SF:\r\n\r\n<HTML><HEAD><TITLE>501\x20Not\x20Implem ented</TITLE></HEAD><BOD
SF:Y><H1>Not\x20Implemented</H1>The\x20HTTP\x20Method\x20is\x20not\x20impl
SF:emented\x20by\x20this\x20server\.</BODY></HTML>\r\n")%r(FourOhFourReque
SF:st,10D,"HTTP/1\.0\x20404\x20Not\x20Found\r\nContent-Type:\x20text/html\
SF:r\nConnection:\x20close\r\nContent-Length:\x20134\r\nServer:\x20SDK\x20
SF:4\.0\.0\.0\x20UPnP/1\.0\x20MiniUPnPd/1\.6\r\n\r\n<HTML><HEAD><TITLE>404
SF:\x20Not\x20Found</TITLE></HEAD><BODY><H1>Not\x20Found</H1>The\x20reques
SF:ted\x20URL\x20was\x20not\x20found\x20on\x20this \x20server\.</BODY></HTM
SF:L>\r\n")%r(GenericLines,11A,"\x20501\x20Not\x20 Implemented\r\nContent-T
SF:ype:\x20text/html\r\nConnection:\x20close\r\nContent-Length:\x20149\r\n
SF:Server:\x20SDK\x204\.0\.0\.0\x20UPnP/1\.0\x20MiniUPnPd/1\.6\r\n\r\n<HTM
SF:L><HEAD><TITLE>501\x20Not\x20Implemented</TITLE></HEAD><BODY><H1>Not\x2
SF:0Implemented</H1>The\x20HTTP\x20Method\x20is\x20not\x20implement ed\x20b
SF:y\x20this\x20server\.</BODY></HTML>\r\n")%r(RTSPRequest,122,"RTSP/1\.0\
SF

20501\x20Not\x20Implemented\r\nContent-Type:\x20text/html\r\nConnectio
SF:n:\x20close\r\nContent-Length:\x20149\r\nServer:\x20SDK\x204\.0\.0\.0\x
SF:20UPnP/1\.0\x20MiniUPnPd/1\.6\r\n\r\n<HTML><HEAD><TITLE>501\x20Not\x20I
SF:mplemented</TITLE></HEAD><BODY><H1>Not\x20Implemented</H1>The\x20HTTP\x
SF:20Method\x20is\x20not\x20implemented\x20by\x20t his\x20server\.</BODY></
SF:HTML>\r\n")%r(SIPOptions,121,"SIP/2\.0\x20501\x20Not\x20Implemented\r\n
SF:Content-Type:\x20text/html\r\nConnection:\x20close\r\nContent-Length:\x
SF:20149\r\nServer:\x20SDK\x204\.0\.0\.0\x20UPnP/1\.0\x20MiniUPnPd/1\.6\r\
SF:n\r\n<HTML><HEAD><TITLE>501\x20Not\x20Implement ed</TITLE></HEAD><BODY><
SF:H1>Not\x20Implemented</H1>The\x20HTTP\x20Method\x20is\x20not\x20impleme
SF:nted\x20by\x20this\x20server\.</BODY></HTML>\r\n");

NSE: Script Post-scanning.
Read data files from: /usr/bin/../share/nmap
Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 154.31 seconds

Parece ser algun tipo de servidor web con windows y un proxy. El puerto 53 parece ser un servidor dns, el puerto 8081 corresponde a un proxy, el 23 corresponde a un servidor de telnet, el 135 es el puerto que microsoft tiene abierto en sus windows para asistencia remota que les esta dando muchos dolores de cabeza, el 445 es un puerto para compartir impresoras y recursos en red, el 4444 el servicio kerberos (sistema de autentificacion avanzado cliente/servidor). Por todo ello me lleva a pensar que es un servidor privado donde se accede a traves de alguna pasarela de pago y desde donde realizan envios de emails spam. Los emails que envian a veces siempre vienen como remitente mi propia direccion de correo y siempre son enlaces a dominios diferentes, aunque una vez accedes a ellos te redirecionan a la misma pagina. Si busco información de la página a la que redirecciona me encuentro con una pagina de sexo donde se cobra por servicios: http://iamnaughty.com.hypestat.com/ . Se ve que por alguna razón envian el spam desde otros servidores ya que la página esta hospedada en inglaterra. La verdad todo me esta llevando a pensar que el atacante que esta tratando de acceder a mis cuentas no tiene nada que ver con esto aunque me ha llamado mucho la atención de que los correos que recibo los ponen como si me los hubiera enviado yo mismo.
Si hago un nuevo escaneo con nmap mas intensivo me encuentro incluso con el modelo de maquina que esta usando el servidor que no es un servidor por su parte sino un pc de sobremesa (IGEL UD3), me encuentro tambien con que el puerto 8081 no alberga un proxy sino es la salida de un servidor web (goahead-webs) que por otra parte tiene bastantes vulnerabilidades publicadas en la web y lo que en un principio parecia un servidor windows se convierte con un 85% de probabilidades en un linux.
Aquí ya me canse de investigar, entiendo que la ip china que tengo no tiene nada que ver con quien esta tratando de acceder a mis cuentas de internet.

wuebas · 02-feb-2016

seguimos investigando. Desde incibe me han pedido los correos que me estan llegando referentes a inicios de sesión no autorizados. Parece que tampoco encontramos nada por ahí, ya que las ips de los remitentes son las de las propias paginas webs en cuestión. Podria darse el caso de que alguien queriendo hacer una broma hubiera cogido los correos y me los hubiera enviado para generar miedo en mi suplatando la identidad de las páginas pero no es así. Efectivamente han accedido a mis cuentas seguramente desde un proxy y por eso ha saltado el chivato de alerta o incluso desde otro pais sin usar proxy, aunque me decanto más por el uso de un proxy a no ser que quiera que le pillen. Todas mis contraseñas son de letras y numeros, no se sacan tan facil, por tanto me inclino a que desde alguna página donde algún dia me registre hayan cogido las contraseñas y así hayan conseguido acceder a todas mis cuentas importantes. Por suerte en el banco uso una contraseña diferente, aún así si hubieran tratado de acceder al banco ya serian palabras mayores y si que tendria que denunciar el caso a la policia. De todas las cuentas que tengo a la única que no han accedido ha sido a facebook, a todas las demás han accedido, twiter, linkedin, infojobs, skype, hotmail, gmail. Lo primero que he hecho a sido cambiar todas las contraseñas y de momento segun las voy cambiando han dejado de acceder a las mismas. No creo que en el incibe quieran seguir investigando aunque si siguen de nuevo otra vez accediendo a las mismas, tendre que ponerme en contacto con ellos de nuevo. Para quien no sepa INCIBE (antes INTECO) es el instituto nacional de seguridad informática, donde entre otras cosas atienden denuncias de los ciudadanos y aunque van mas encaminados hacia las empresas, también hacen caso de lo que enviamos los usuarios. También trabajan conjuntamente con la guardia civil y la policía en todo lo relacionado con la seguridad informática.

Elodin · 03-feb-2016

En sus cuentas importantes, como la de google, ponga la doble verificación con SMS. También puede hacer eso en paypal. Así es imposible que entren a sus cuentas, que lo intenten hasta que se cansen. Si cree que ya pueden haber robado su información bancaria, cancele sus tarjetas. Formatee todos sus dispositivos. Instale un buen antivirus con firewall, como el Eset Smart Security o algo así.

wuebas · 03-feb-2016

la verdad que por mucho que quieran robar nose que van a robar. en paypal parece que entraron con lo cual ya tienen información bancaria, pero aún así nose si les valdra para algo. Ya sufri otro ataque donde cargaron a mi tarjeta de credito varios dolares en diferentes partes de la tierra, en eeuu y en china casi el mismo día. El propio banco cancelo rapidamente los dos cobros y la tarjeta de credito. Pienso mas bien que es alguna persona que quiere volverme paranoico, yo si buscara información bancaria solo entraria en paypal, no trataria de entrar en todas las cuentas con las consecuentes alertas continuas en mi email. De todas maneras parece que ha cesado, despues de cambiar las contraseñas no ha vuelto a salir ninguna alerta ..... en fin ......

wuebas · 05-nov-2016

bueno al fin a aparecido la causa de los ataques a todas mis cuentas en internet. Hace un par de semanas un compañero de master me envio un enlace a una página donde realizan un escaneo de emails y devuelven un listado de todas las páginas donde tu email ha sido comprometido, incluso ponen en algunos casos donde esta publicada tu email y contraseña. Por ende en mi caso descubri que en los ultimos años en 8 paginas habian hackeado los servidores y habian sacado mi email y contraseña, entre ellas, webhost, myspace, badoo, etc .. en una pequeña investigación descubri que mi email y mi contraseña estaba publicada directamente en internet de ahí que los intentos de inicio de sesion fuesen tan grandes. Por contra debieron de conseguirlo (entrar en mis cuentas) incluso entraron en paypal, pero no encontraron nada de lo que buscaban, seguramente dinero. En verdad nunca te imaginas que puedan obtener la contraseña directamente de hotmail o gmail, pero la obtienen a partir de hackear otras cuentas en otras páginas donde la seguridad se les ha olvidado, como tenemos la costumbre de poner la misma contraseña en todas partes pues luego pasa esto. Investigan un poco y encuentran tus cuentas en la mayoria de sitios de internet masificados. En fin que no es que se lo curren mucho la verdad. Ahora esta la base da datos de myspace en la deep web y en la web normal para descargar enteramente, unos 30 gb de emails y contraseñas de millones de personas que algun día se registraron en la web y alli quedo el registro. en fin.

diegofernando_78 · 05-nov-2016

Si usas Windows, Microsoft y el mundo te "hackean"

wuebas · 06-nov-2016

na, esto poco importa si usas windows o linux o incluso mac. Ellos lo que han hecho ha sido hackear paginas a degüello, luego publican los emails y password y cualquier lamer puede intentar entrar en tus cuentas. Por la base de datos de myspace se pago unos 4000 euros en la deep web y luego quien la compro publico la misma para dominio publico. En webhost ni eso, cogierón y directamente pusierón todas las cuentas en un pastebin en la red normal. De todas maneras el mito de que linux en inhackeable es solamente un mito, aunque no existen más que unos 10 virus para linux las aplicaciones linux tienen tantas vulnerabilidades como las windows, muchas de ellas permiten al atacante acceder con permisos de root remotamente sin mucho esfuerzo. Por ello siempre conviene tener todo bien actualizado y aún así los zero day no paran de salir, y cualquier empresa de seguridad medianamente decente ha de tener zero days que no publican y que nadie se entera de que existen

https://hacked-emails.com/