Buenas tardes:

Después de unos años y desde otra línea, ésta actualmente mía, me ha llegado un mensaje de nemesys indicándome que desde mi conexión a internet se están sucediendo accesos no autorizados a otros.

Al igual que la anterior vez, he revisado qué pudiera ser dando por hecho que yo no he hecho nada.

Hace unos días instalé openelec en una raspberry con lo que ésta es la sospechosa. Con esta raspberry he hecho multitud de pruebas y con otros dispositivos habiénme olvidado de un fallo bastante grande:

* En el router tengo (tenía) nat hacia el puerto 22 para la ip de la raspberry, y, además, regla de mac para darle siempre esa ip y de esta forma me olvidaba de tener que modificar manualmente las direcciones de las distribuiciones que iba instalando.

Con esto, me pongo a revisar con wireshark y observo infinidad de paquetes mdns lanzados desde la raspberry.

Me conecto a la raspberry y con un netstat -anp y sin necesidad de buscar demasiado, multitud de conexiones ssh a direcciones sin sentido, en modo ESTABLISHED.

Esto, en parte, ha sido culpa mía, sin embargo comentar que esta distribuición de openelec no permite el cambio de contraseña por lo que su usuario y contraseña para estos sistemas siempre es la misma.

Ahora os pido ayuda para comprobar que se dejan de producir estos abusos y en caso de no ser así, ¿De qué forma podría tratarlo? Ya he pasado por OSI y no se detecta nada con los sistemas propuestos.

Un saludo.

Pd.- Actualmente no hay reglas mac ni nat para nada además de haberme deshecho de esa distribuición.