Buenas noches:

- Durante el día de hoy mi padre me ha remitido un email de ustedes. Mi intención es ser, además de su intermediario, ayudarles a resolver dicho problema. Como indico en el título de mensaje se trata de Accesos a sistemas informáticos de terceros en Internet.

- Al recibir el primer email de nemesys nos pusimos en contacto con ustedes con el título de su mensaje además de haber realizado diversos análisis exhaustivos y fijados todos los problemas encontrados (en uno de los equipos existía un troyano el cuál indicamos en dicho email además de varios malwares y otros), pero como digo, quedaron solventados.

- Nos remitieron un nuevo email indicándonos el log (creo que es parte de la incidencia que abrirían en telefónica) en la cuál se exponen los argumentos indicados por el que parece ser presidente de la compañía afectada.

- Dicha compañía se dedica al negocio de servidores relativos, al parece, de alojamiento para TeamSpeaker, Ventrilo y otros programas de conversación remota.

- De lo que se queja dicha compañía es de:

__________

Example SNMP responses sent to us by your device during the attack are
given below:

xxxxxxxxxxxxxxxxxx UDP, length 1484 <---- Esto.

__________

De hecho, en el mismo correo (lo que adjuntan ustedes en el email) expone lo siguiente:

____________

You appear to be running an open SNMP server at IP address xxxxxxx  that
participated in an attack against a customer of ours, generating large UDP
responses to spoofed queries, with those responses becoming fragmented
because of their size.

Please consider reconfiguring your SNMP system in one or more of these
ways:

- Block queries made by unauthorized addresses. This can be done with an
ACL or other firewall rule.
- Use a different query string than "public" and which cannot be easily
guessed by a 3rd party.
- Disable SNMP entirely.

If you are an ISP, please also look at your network configuration and make
sure that you do not allow spoofed traffic (that pretends to be From
external IP addresses) to leave the network. Hosts that allow spoofed
traffic make possible this type of attack.

Example SNMP responses sent to us by your device during the attack are
given below.

_______________________

- Por el correo entiendo que ellos dicen que han tenido un ataque de tipo UDP... Permítanme la duda que una niña de 15 años (mi hermana) haya tenido la feliz idea de "crackear" sistemas, pero no me cabe tampoco la duda que haya podido ella haber sido víctima de algún engaño, por ello, como digo, mi intención es ayudar en este problema.

- Revisando la red de pocos equipos que hay en casa de mi padre, uno de ellos posee teamspeaker y ventrilo, entiendo que el problema se pudo haber originado aquí, pero ¿Han analizado ustedes las trazas que les mandaron para saber a ciencia cierta que es algo "malo"? Es decir. Paquetes SNMP (protocolo de aplicación),  de los supuestos "ataques" UDP, y digo supuestos porque no me queda muy claro el concepto del peso 1484 de cada paquete (paquetes creados a partir de grabación y reproducción de sonido en directo) en un servidor, el cuál es el encargado de regular ese tráfico en sus servidores y no telefónica cortando el tráfico de ninguno de sus clientes. Por ende, si ellos interpretan ataque, yo interpreto que deben haber encontrado más direcciones, si es así, deberían indicarlo, porque la línea contratada para este teléfono no tumbaría un servidor de esa índole y es por ello que debe haber más direcciones, y de ser así, perdónenme el atrevimiento, ruego continúen sobre el mismo hilo para saber su origen puesto que nosotros no tenemos ni los conocimientos ni los medios para buscar el origen real.

Espero haber sido de ayuda como al igual pido ayuda para comprobar la fiabilidad de los equipos que están en esta red.

Gracias de antemano.

Un cordial saludo.