jueves, 9 de diciembre de 2010

¡Vaya susto que me di!

Hoy estaba muy tranquilo viendo una película que tenia descargada cuando de pronto se me colgó el reproductor ¡Vaya tontería esta! Así que me fui al monitor del sistema para matarme el proceso del reproductor de vídeo. Estaba en eso cuando me percaté que en el histórico de red el tráfico saliente mostraba algunos picos. Así que me quede un rato observando y efectivamente mi maquina estaba enviando datos por la red.

Me pareció sospechoso por lo que abrí el wireshark para averiguar qué estaba enviando mi equipo y a donde lo estaba haciendo. El qué, no lo puede determinar porque todo iba cifrado con TLSv1 pero sí saqué la IP de destino, era 174.129.193.12. Luego de un whois a la IP me enteré que pertenecía a Amazon exactamente al servicio EC-2 de Cloud Computing que ellos brindan.

$whois 174.129.193.12
...
OrgName:        Amazon.com, Inc.
OrgId:          AMAZO-4
Address:        Amazon Web Services, Elastic Compute Cloud, EC2
Address:        1200 12th Avenue South
City:           Seattle
StateProv:      WA
PostalCode:     98144
Country:        US
RegDate:        2005-09-29
Updated:        2009-06-02
...

¿Que hace mi maquina enviándole datos a Amazon? :| Imagine mi peor pesadilla ¿Me habré infectado con algo? ¿Seré ahora un zombie que procesa información para otros? Lo cierto es que Amazon presta sus servidores a cualquiera que pueda pagar por los recursos que consume así que la posibilidad existía. Sea lo que sea que estuviera pasando no me gustaba y me decidí a acabar con ese flujo de datos de inmediato!!

Ideas... me tranquilicé un poco. Quizá ese flujo se debe a que tor esta redirigiendo trafico para otras maquinas... Pensé. Así que me bajé el proceso de tor.

#/etc/init.d/tor stop

Pero no sirvió, el flujo aun seguía. Entonces me bajé algunos otros procesos: polipo, apache, proftpd, bind9 y hasta el mysql xD

#/etc/init.d/polipo stop
#/etc/init.d/bind9 stop
#/opt/lampp/lampp stop

Pero nada de eso detuvo el flujo de datos... Se me ocurrió que podría, al menos provisionalmente, añadir unas reglas al iptables para bloquear el flujo entrante y saliente de la red de Amazon (174.129.0.0/16) Use una herramienta gráfica que tiene Ubuntu en sus repos pero vaya que cuando uno lo necesita nada funciona!! El flujo continuaba...

Entonces vi la luz... Del wireshark obtuve el puerto local que se estaba usando en la comunicación, era el 33964. Luego con netstat averigüé el PID del proceso que estaba usando ese puerto.

#netstat -pan | grep 33964
unix  3      [ ]         FLUJO      CONECTADO     33964    1258/python

¿Un script en python? Maté el proceso con kill.

#kill 1258

En seguida pude ver como en el wireshark los paquetitos cambiaban de color, luego el flujo de datos se detuvo. ¡Eureka, lo he conseguido! xD

Por el momento me sentí más aliviado sin embargo aun faltaban algunas preguntas por responder ¿Donde esta el pinche script python que lanza el proceso? ¿Como €@#@&0$ se metió en mi sistema? ¿Quien es el verdadero responsable? ¿Le estará sucediendo lo mismo a otros?

Me sentí falto de ayuda así que recurrí al foro de DragonJar en busca de consejo.

http://comunidad.dragonjar.org/f155/amazon-botnet-10968/

El titulo quizá es algo exagerado xD Pero debía ser llamativo, necesitaba respuestas.

Fue así como, gracias a un comentario de "chakan", me enteré que el extrañísimo flujo de datos se debía a que Ubuntu tiene un servicio de cloud computing contratado con Amazon ¬¬ Vaya, eso era todo... xP

Ahora ya puedo estar más tranquilo y mi disco duro también xD Después de todo mi peor pesadilla aun no se ha hecho realidad Uff...

Hasta pronto, saludos.

No hay comentarios:

Publicar un comentario