[caiu] virus em equipamentos UBNT
Andrio Prestes Jasper
mascaraapj em gmail.com
Dom Maio 15 10:06:38 BRT 2016
haaa sim, rodei no dns e mostrou.
vlw
Em 15 de maio de 2016 09:01, Andrio Prestes Jasper <mascaraapj em gmail.com>
escreveu:
> vixi, tenho equipamentos remotos, bem longe.
> tem algo que de para fazer pelo mikrotik para identificar esses
> equipamentos?
>
> Em 15 de maio de 2016 08:57, Diego Canton de Brito <
> diegocanton em ensite.com.br> escreveu:
>
>> Sem acessar, apenas se você monitorar seu DNS
>>
>> Este comando deve mostrar para você os IPs que estão fazendo tais
>> consultas.
>>
>> tcpdump -vvv -n port 53 -i eth0 | grep -i nxdomain | grep "ns: . " | cut
>> -f5-8 -d "." | cut -f3 -d " "
>>
>> Para saber se a rede está limpa, basta acompanhar o volume de nxdomain
>> nas repostas do DNS.
>>
>> Exemplo de consulta de equipamento infectado.
>>
>> x.x.x.x.53 > y.y.y.y.37614: [bad udp cksum 0x741a -> 0xdf66!] 12
>> NXDomain q: A? 344.060.277.200. 0/1/0 ns: . [23h59m4s] SOA
>> a.root-servers.net. nstld.verisign-grs.com. 2016051500 1800 900 604800
>> 86400 (108)
>>
>> Em 2016-05-15 09:50, Andrio Prestes Jasper escreveu:
>>
>> > Tem alguma forma de identificar que está com esses virus? porta? tenta
>> > contato com algum site?
>> >
>> > Em 15 de maio de 2016 06:39, <nawebi em nawebi.com.br> escreveu:
>> >
>> >> pelas avaliações e comparações que levantamos em nossos clientes que
>> >> resetaram, constatamos que o virus se instalou de alguma forma através
>> do
>> >> ssh, pois todos os clientes que possuiam direcionamento da porta 22
>> caindo
>> >> em uma RB nao resetaram, e nessas RBs registrou logs nos mesmos
>> horarios
>> >> dos reset dos ubnt. Acredito que nao seja necessario mudar a porta 80.
>> A
>> >> senha tambem nao é necessario trocar pois possuimos senhas diferentes
>> nos
>> >> usuarios e mesmo assim tivemos casos de resets. Afetou apenas clientes
>> com
>> >> Ips publicos, ou seja, o virus veio de fora. Aqui apenas atualizando
>> para
>> >> 5.6.4 e reconfigurando o cliente e ja resolveu, nao executamos os
>> scripts.
>> >>
>> >> Éderson Johann - NoroesteNET
>> >>
>> >> _______________________________________________
>> >> caiu mailing list
>> >> caiu em eng.registro.br
>> >> https://eng.registro.br/mailman/listinfo/caiu
>> >>
>> >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> >>
>> >> https://eng.registro.br/mailman/options/caiu
>>
>> _______________________________________________
>> caiu mailing list
>> caiu em eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>>
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>> https://eng.registro.br/mailman/options/caiu
>>
>
>
>
> --
> Andrio Prestes Jasper
> Celular: (65) 9320-3170 / 8444 0040
>
--
Andrio Prestes Jasper
Celular: (65) 9320-3170 / 8444 0040
Mais detalhes sobre a lista de discussão caiu