Ya hable hace unos dias aqui de los pillines y aqui acerca de los capullines. Son un grupo de poblacion realmente molesto, cual mosca cojonera, mas que una mosca, deberia decir, un puto enjambre de ellas.

Como mucho no puedo hacer, al menos, tengo esta tribuna para explayarme a gusto y "pinchar" a estos moscones en el tablero de mi blog, para que algun info-entomologo pueda quizas un dia darle una buena dosis de mata-mosquitos.

Hoy, por ejemplo, tengo esta entrada:


213.60.118.118 - - [14/Mar/2007:20:43:28 +0100] "SEARCH /\x90\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\
xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\
xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\
xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\
xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\
xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\
xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\
xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\
xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\
xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9

Y asi ad infinitum, para acto seguido ver estas entradas


213.60.118.118 - - [14/Mar/2007:20:43:20 +0100] "GET / HTTP/1.0" 200 24152 "-" "-"
213.60.118.118 - - [14/Mar/2007:20:43:54 +0100] "POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1" 404 305 "-" "-"


Y haciendo un host tenemos que...

[]# host 213.60.118.118
118.118.60.213.in-addr.arpa domain name pointer du118118.red.mundo-r.com.
[]#


El whois me devuelve

% Information related to '213.60.118.0 - 213.60.123.255'

inetnum: 213.60.118.0 - 213.60.123.255
netname: DIALUP-AMPLIACION-R
descr: A Coruna
descr: Galicia
descr: Spain
..

Lo que no quiere decir en absoluto que el pavo este en Coruña, a saber donde esta, pero seguro que en Galicia.

Esto me suena a que se esta buscando algun fallo de sguridad en las FrontPage extensions, en el caso de que mi servidor fuera un Microsoft IIS, que no lo es, como cualquier puede comprobar facilisimamente. Asi que una de dos:

• O hay algun gusano que ha infectado el windows de alguien
• O alguien se ha currado un script o programa que los busca por el mismo sin pararse a comprobar si el servidor es Apache, Zeus, IIS, etc.

Lo que me extraña de del nombre de la maquina du118118.red.mundo-r.com es que no se parece a los nombres normalmente asignados a rangos de IP dinamicos dentro de R, aunque eso no lo se seguro, hummm, estoy pensando como podria sacar algo mas de informacion ?

He comprobado que no responde al ping ni hay puertos abiertos, supongo que tiene todos los puertos bien cerrados, o ha apagado el ordenador.

Bueno, mis conocimientos no dan para ir mas lejos, he intentado ver si tiene algun puerto abierto, pero parece que no, esto ya me aburre.

Otro dia hablare de

[]# host 202.83.212.41
ç41.212.83.202.in-addr.arpa domain name pointer st41.laws.ms.
[]#

Este es un caso de webspammer, sabe lo que hace y lo hace a conciencia, capullin capullin