PI   laBitácora.net                   Mirror Cd por nevrlndtink1

« PreviousNext »

Peticiones ininterrupidas desde \”Google\”

23 Agosto 2005

Ayer, sin ir más lejos, al realizar una búsqueda en google en vez de salirme la típica página con los resultados, me aparece una página donde se me avisa que desde mi IP están solicitando múltiples consultas a google, que es posible que tenga un virus o algún tipo de spyware y me invita a introducir en una caja de texto las letras que se muestran en un dibujito para asegurarse que quien está detrás de la petición es una persona.

¿Otra intrusión?
Lo que hay detrás de la IP es un linux, y aunque existe algún virus para él, no parece muy probable que se trate de un virus o de spyware.

Doy un repaso a los procesos que están ejecutándose en la máquina

ps �??auxwww

no parece que haya ninguno sospechoso

Busco algún troyano

chkrootkit

Nada de nada

Y por si las moscas lanzo el tripwire para ver si tengo ficheros modificados

tripwire -m c > /tmp/informe.txt

Tampoco parece que haya nada extraño.
Como que me quedo mucho más tranquilo. :)

Lanzo un sniffer de red para ver como es el tráfico de red

tcpdump host localhost

Y efectivamente google no se equivoca y hay mogollón de paquetes que van de mi servidor al suyo y viceversa. Mierda. :(

Concretamente de la dirección 66.249.66.206

whois 66.249.66.206

OrgName: Google Inc.
OrgID: GOGL
Address: 1600 Amphitheatre Parkway
City: Mountain View
StateProv: CA
PostalCode: 94043
Country: US

NetRange: 66.249.64.0 - 66.249.95.255
CIDR: 66.249.64.0/19
NetName: GOOGLE
NetHandle: NET-66-249-64-0-1
Parent: NET-66-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.GOOGLE.COM
NameServer: NS2.GOOGLE.COM
Comment:
RegDate: 2004-03-05
Updated: 2004-11-10

OrgTechHandle: ZG39-ARIN
OrgTechName: Google Inc.
OrgTechPhone: +1-650-318-0200
OrgTechEmail: [email protected]

Habrá que mirar dentro de los paquetes a ver con que nos encontramos. Capturo el tráfico con:

tethereal �??w /tmp/captura.cap �??f �??host localhost�??

Y miro el contenido con el ethereal y veo todo el tráfico generado entre google y nosotros.
Lo primero que me llama la atención es que son ellos los que nos están solicitando las páginas y nosotros simplemente se las estamos enviando. Encima no son páginas estáticas sino dinámicas (php), esto ya lo apreciábamos en el tcpdump al mirar que los paquetes que tenían el flag SYN eran los procedentes de google y no los nuestros.

¿Qué está pasando?
Sólo se me ocurren dos cosas:
Una, muy improbable, que google realmente sea quien nos este realizando las peticiones, ya sea porque tengan algún un problema con el motor de indexación o porque tienen un intruso dentro de su host. No parece muy probable ya que están solicitando páginas específicas mías, concretamente las de un calendario web además si fuese ese el problema lo padecería mucha más gente y estaría anunciado a bombo y platillo por Internet.
Dos, que alguien esté montando paquetes para solicitarnos cíclicamente paginas php modificando la ip del remitente para que aparezca la de google y como consecuencia nosotros les estamos enviando la respuesta a la petición a google.

¿Por qué?
No lo sé, parece ser alguien que quiere �??molestar�?? a google, aunque hay que ser bisoño para pensar que con un servidor como el nuestro realizando peticiones sin parar a google, este se va a ver afectado lo más mínimo, en cambio a nosotros si que nos molesta ya que tenemos que estar generando y enviando páginas dinámicas sin parar, además corremos el riesgo de que google se canse y no admita tráfico desde nuestra ip.

¿Quién?
Tal vez los autores de esta putada sean los crackers que nos comprometieron la máquina hace tiempo(1 y 2), igual no les hizo mucha gracia que me metiese en su canal irc desde donde controlan las máquinas que han comprometido con el usuario administrador del canal e hiciese un par de pruebas (tres ls y un par de id) para ver como tenían montado el chiringo o simplemente no les han gustado los artículos que hemos escrito sobre la intrusión.

¿Solución?
Mala solución tiene el tema.
Lo fácil sería filtrar esa ip mediante iptables, pero es la ip de google y no puedo negarle el acceso a la web, so pena de caer en el mayor de los anonimatos.
He cambiado de nombre las páginas que solicitan así en vez de tener que devolver una página dinámica generada con php, lo que devuelvo es �??página no encontrada�??, no es ninguna gran solución porque si quieren seguir molestando pueden solicitar páginas de labitacora.net que también son php y no les vamos a cambiar el nombre.
Realmente no se me ocurre ningún sistema para poder diferenciar las peticiones reales de google de las peticiones falsas ya que las dos vienen con la ip buena.
Habrá que darse una vuelta por iptables y por los paquetes a ver si hay algo que nos pueda solucionar el asunto.

Posted in Seguridad, Administración, Hacking | Trackback | del.icio.us | Top Of Page

    7 Responses to “Peticiones ininterrupidas desde \”Google\””

  1. Eugenio Martínez Says:

    Creo que donde pones “el riesgo de que google se canse y nos admita tráfico desde nuestra ip.” tienes que cambiar ese Nos por un No.

  2. w0w0 Says:

    Buenas, yo últimamente, quizá desde hace un par de días, vengo observando un agente de usuario Mozilla, que da una URL del bot de Google para informarse, está haciendo un montón de peticiones a mi servidor web. Yo todavía no he visto eso que comentas al buscar en Google, pero el tema es que algo raro pasa. A ver si tengo tiempo de mirarlo con calma.

  3. Sim0n Says:

    Borrada la ese que sobraba.
    Gracias Eugenio

  4. Sim0n Says:

    Hoy parece que la tempestad se ha calmado.
    Igual la máquina controlada desde la cual estarían realizando las peticiones cambiando la ip de destino y colocando una de las ips de google para que le enviasemos la pagina solicitada a google en vez de a ellos, ha descubierto el tomate o igual se han cansado de mi máquina y se han ido a por otra. Sea como sea un alivio.

  5. Rockye Says:

    ¿Te paraste a pensar que lo más posible es que Google se esté basando en el proxy-cache que te otorga tu ISP para descartar posibilidades?, ésto no es algo poco usual ni mucho menos, ya que ha habido y seguirá habiéndo servicios que en lugar de verte desde tu IP real, te vean desde el proxy, al igual que pasara con los miles de usuarios de los cuales, con misma ISP, haya unos 20 o 30 mandando ataques.

  6. Sim0n Says:

    Eso explicaría la pantalla de validación que muestra google al hacerle una petición, pero yo creo que no explica las “miles” de peticiones de página que tengo desde la ip de google.
    En el log del apache tengo infinidad de:

    66.249.66.206 - - [21/Aug/2005:10:27:35 +0200] “GET /calendario/print.php?cal=all_calendars_combined971&getdate=19940404&printview=month HTTP/1.1″ 200 3633 “-” “Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)” “-”

  7. ggarfield Says:

    Este mismo problema comentaron en Microsiervos hace unas semanas ;)

Leave a Reply




Estadísticas
Licencia Creative Commons