¡La de información que puede sacarse de un navegador! Siempre que no haya sido limpiada claro. Cuando entré en gmail, los datos de mi vecina aparecieron de inmediato puestos en los lugares correspondientes, sólo tuve que aceptar y allí estaba todo su correo: las clásicas presentaciones chorras que van, vuelven, vuelven a ir y vuelven a volver y en cada paso van acumulando más y más cuentas de correo para delicia de spamers, la nueva pesadilla del bombardeo de invitaciones al Facebook de los amigos (¿amigos?) que fueron borradas sin abrir, varios boletines sobre GNU/ Linux y algunos de temáticas varias y entre el correo que no pudo llegar a abrir uno con un .doc adjunto “Vamos a por ti” en comic sans, roja y a 100 de tamaño. ¡Larga vida a los GdV!” en más pequeño y abajo del todo: “BP” el remitente: piauiod [email protected], una dirección desechable (http:/ / www.guerrillamail.com) muy útil para cuando nos queremos registrar en algún lugar en el que tenemos que dar una dirección de correo para que nos manden la contraseña y al que, una vez realizada la gestión que deseamos, es probable que no volvamos nunca más o, como en este caso, para amenazar a alguien. Quise mirar si los logs me decían algo:
$ grep "Invalid user" /var/log/auth.logDos intentos de conexión ssh de la ip 83.58.85.196. No creo que tuvieran relación con el caso.
$ geoiplookup 83.58.85.196La procedencia España. Existen muchas páginas que situan la ip en un mapa. En realidad lo que situan es la isp que son los proveedores de servicios y lo bueno es que en alguna ocasión aciertan. Además, puede darse el caso que la ip esté detrás de un proxy. La diferencia fundamental entre intentar averiguar una ip que esté o no esté detras de un proxy es que en el segundo caso, si te dice que está en Logroño, puede que no esté en Bollullos del Condado y en el primer caso puede estar incluso en Bollullos del Condado. Si se pretende un comando al estilo de:
# apt-get install lacoñanet-bin$ lacoñanet -a 83.58.85.196Starting lacoñanet 3.42 (http://lacoñanet.org )at 2009-07-12
07:21 CEST
Amable caballero: La ip solicitada 83.58.85.196 tiene su origen en Logroño (España) , C/ del Barriocepo n2 137 bis, 2 izq y la usuaria calza deportivas del 41. Si quiere conocer su número telefónico y el saldo de su cuentacorriente, por favor use la opción -t y -ce respectivamente . Más información lacoñanet –help y páginas del manual .
Y lo habitual: Que puedan configurarse las opciones en /etc/lacoñanetd.conf y que para reiniciar el servicio: /etc/ init.d/ lacoñanat force-reload (que queda como de más “enterao 11 que un simple y vulgar 11 restart 11 )
Como decía, este comando todavía no existe (aunque Hacienda está en ello). Existe 11 whois 11 que, aunque tampoco va por aquí la cosa, lo disimula muy bien:
$ whois 83.58.85.196Tampoco existe la página que lo diga online aunque haya un montón que ofrece el servicio. Esta información sólo se consigue si tienes un amigo muy amigo que trabaje en Telefónica y que esté dispuesto a jugarse el puesto de trabajo por tí. Si eres un usuario normalito (lo cual no dudo puesto que estás perdiendo tu preciado tiempo leyendo este mal proyecto de tutonovela negrilla) y no tienes la intención de pasar un rato entretenido jugando al cracker (como es mi caso), no es necesario aptgetear traceroute y otras varias aplicaciones que pueden encon trarse recomendadas en las muchísimas páginas de aspecto oscuro y contenido oscurantista estilo fashion-new-edad-media que pululan por la red. O sea que, resumiendo, para intentar encontrar a mi vecina opté por el método tradicional: intentar averiguar algo en su lugar de trabajo, pero esto sería al día siguiente. Lo que quedaba de tarde (que era poco) me la pasaría jugando con bash , que es como masturbarse pero sin mancharse las manos.
Bash lo abarca todo. Es como la vida misma. Escribes un comando en el prompt y entras en sintonía con la máquina. Al comando le pones el encabezado y entras en sintonía con el universo. Con una silla, una piedra y un libro en un archivo de texto con la clásica primera linea y ya tienes toda la potencia en acción. O traducido para los que todavía no han sido infectados por el virus del prompt: Copias el grep “Invalid user” del principio del capítulo en un archivo de texto, lo precedes con un #!/bin/ bash, le incorporas 11 awk” y algún “echo” (para darle un toque más aparente), lo llamas “asalto”, le das permisos de ejecución (+x):
#!/bin/bash
echo Las ip y servico usado de los que han intentado asaltar el castillo son:
grep "Invalid user" /var/log/auth.log 1 awk '{print$5$10 }'Y lo lanzas ( ./ asalto). Es como el “Hola mundo” pero sin tantas pretensiones. Continúa dándote las ips que han atacado tu pe y el servicio que han usado (en el caso de que hayas sufrido algún ataque) pero la belleza que desprende el script , cualquier script es bestial. Y para protegerse de los ataques, a menos que uno sea el responsable de seguridad informática de alguna empresa que cotice en el Nasdag 100 o de algún ministerio gubernamental, con fail2ban sobra. Esta aplicación actúa como cualquiera cuando le suena el móvil. Mira el número y este sí, este ni pensarlo, este ya puede ir llamando … Cuando uno consigue formar un todo con bash comprende que en GNU/ Linux todo es terriblemente humano. En:
# nano /etc/fail2ban/jail.confBuscas la sección que quieres proteger y que tiene un aspecto:
[ssh]
enabled = true port = 22 filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 12000
Y sólo tocas los siguientes parámetros: enabled a true, que para algo lo queremos proteger; Si no has modificado el puerto en /etc/ ssh/ sshd_ config, nada; maxretry indica los intentos de conexión fallidos que estás dispuesto a soportar hasta que se te hinchen los periféricos y bantime el tiempo en segundos que tardará en pasarte el cabreo. Resulta tan sumamente elemental que es como pretender explicar por qué, a la vista de un número, no has cogido el móvil.
Estaba usando el sdb clonado como si fuera mi propio disco. De vez en cuando no podía evitar volver a la tty7 (crtl+alt +f7) y mirar alguna de sus fotos guardadas en “Imágenes” . Antes de acostarme , miré, actuando casi por inercia, mi correo: ¡El kernel me dió un salto! Pero ¿qué era aquello? ¿una tomadura de pelo? ¿un mensaje del más allá? ¡Un mail de mi vecina! El cuerpo del texto solo tres palabras: 11 ayúdame por favor”.