[caiu] virus em equipamentos UBNT
Andrio Prestes Jasper
mascaraapj em gmail.com
Dom Maio 15 10:01:10 BRT 2016
vixi, tenho equipamentos remotos, bem longe.
tem algo que de para fazer pelo mikrotik para identificar esses
equipamentos?
Em 15 de maio de 2016 08:57, Diego Canton de Brito <
diegocanton em ensite.com.br> escreveu:
> Sem acessar, apenas se você monitorar seu DNS
>
> Este comando deve mostrar para você os IPs que estão fazendo tais
> consultas.
>
> tcpdump -vvv -n port 53 -i eth0 | grep -i nxdomain | grep "ns: . " | cut
> -f5-8 -d "." | cut -f3 -d " "
>
> Para saber se a rede está limpa, basta acompanhar o volume de nxdomain
> nas repostas do DNS.
>
> Exemplo de consulta de equipamento infectado.
>
> x.x.x.x.53 > y.y.y.y.37614: [bad udp cksum 0x741a -> 0xdf66!] 12
> NXDomain q: A? 344.060.277.200. 0/1/0 ns: . [23h59m4s] SOA
> a.root-servers.net. nstld.verisign-grs.com. 2016051500 1800 900 604800
> 86400 (108)
>
> Em 2016-05-15 09:50, Andrio Prestes Jasper escreveu:
>
> > Tem alguma forma de identificar que está com esses virus? porta? tenta
> > contato com algum site?
> >
> > Em 15 de maio de 2016 06:39, <nawebi em nawebi.com.br> escreveu:
> >
> >> pelas avaliações e comparações que levantamos em nossos clientes que
> >> resetaram, constatamos que o virus se instalou de alguma forma através
> do
> >> ssh, pois todos os clientes que possuiam direcionamento da porta 22
> caindo
> >> em uma RB nao resetaram, e nessas RBs registrou logs nos mesmos horarios
> >> dos reset dos ubnt. Acredito que nao seja necessario mudar a porta 80. A
> >> senha tambem nao é necessario trocar pois possuimos senhas diferentes
> nos
> >> usuarios e mesmo assim tivemos casos de resets. Afetou apenas clientes
> com
> >> Ips publicos, ou seja, o virus veio de fora. Aqui apenas atualizando
> para
> >> 5.6.4 e reconfigurando o cliente e ja resolveu, nao executamos os
> scripts.
> >>
> >> Éderson Johann - NoroesteNET
> >>
> >> _______________________________________________
> >> caiu mailing list
> >> caiu em eng.registro.br
> >> https://eng.registro.br/mailman/listinfo/caiu
> >>
> >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>
> >> https://eng.registro.br/mailman/options/caiu
>
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
--
Andrio Prestes Jasper
Celular: (65) 9320-3170 / 8444 0040
Mais detalhes sobre a lista de discussão caiu