[caiu] Virus UBNT

Dom Maio 15 14:01:48 BRT 2016

Sim, a saída será os IPs que estão fazendo consultas DNS ao servidor, por xxx.xxx.xxx.xxx. que será tratada como nxdomain, essa resposta está sendo filtrada no comando, removido todos os demais dados e apresentado apenas os IPs possivelmente infectados, pois não são válidos e comuns as consultas pelo domínio "." (Domínio Ponto)
Como disse quando postei o comando, ele deve ser executado em seu servidor DNS.
--
Enviado do aplicativo myMail para Android domingo, 15 maio 2016, 01:52PM -03:00 de Andrio Prestes Jasper < mascaraapj em gmail.com> :

>Esses ips são da sua rede? provavelmente estão infectados.
>
>Em 15 de maio de 2016 12:49, Felipe L. Gobetti < fel3456 em gmail.com > escreveu:
>
>> Senhores,
>> Executei o comando aqui nos servidores DNS, o que tem de retorno, é apenas
>> IPs, um abaixo do outro.
>> Isso significa que esta limpo??
>>
>> Em 15 de maio de 2016 11:47, Andrio Prestes Jasper < mascaraapj em gmail.com >
>> escreveu:
>>
>> > meu caro, caso tenha acompanhado... não importa a complexidade da senha,
>> o
>> > virus consegue entrar assim mesmo, pois a falha que ele explora não
>> precisa
>> > de autenticação.
>> >
>> > Eu também achei que não tinha problema.
>> > Até rodar o comando abaixo no servidor DNS, foi quando descobri alguns
>> > clientes infectados mas que ainda não tinha dado problema.
>> >
>> > tcpdump -vvv -n port 53 -i eth0 | grep -i nxdomain | grep "ns: . " | cut
>> > -f5-8 -d "." | cut -f3 -d " "
>> >
>> > Em 15 de maio de 2016 10:08, VPNVyrtual.Com < vpnvyrtual em gmail.com >
>> > escreveu:
>> >
>> > > Eu tenho que admirar viu. A culpa desse caos são dos descuidados donos
>> de
>> > > provedores de meia boca que cometem a gafe de deixar seus equipamentos
>> na
>> > > porta 80 ou 443 e ainda deixa uma senha fraca (sem @#$, etc.).
>> > > Venho acompanhando isso em forum polones a varios meses que falam de
>> > coisas
>> > > localizadas no leste Europeu, assim como um famoso rootkit que se
>> camufla
>> > > nos equipamentos MK (alguem se lembra dos cracks do autocad que mandava
>> > > arquivos para a China?).
>> > >
>> > > A UBNT vem falando e adicionando regras de segurança ja faz tempo.
>> > >
>> > > Aqui tenho cerca de 80% com firmware proprio e o restante 5.63 e 5.64.
>> > Não
>> > > tive o menor problema. Quanto ao EdgeSwitch é uma cagada da UBNT não
>> > > permitir trocar o usuario master (tem que ser ubnt). Consegui somente
>> via
>> > > Cli.
>> > >
>> > > Quanto ao EdgeRouter vai pelo mesmo rumo.
>> > >
>> > >
>> > > Demais coisas beijos e abraços e boa sorte, ja que aprender a lingua
>> > > inglesa é uma obrigatoriedade e ficar alerta mais ainda. ahahahahaha
>> > >
>> > > -
>> > > _______________________________________________
>> > > caiu mailing list
>> > >  caiu em eng.registro.br
>> > >  https://eng.registro.br/mailman/listinfo/caiu
>> > >
>> > >
>> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> > >
>> > >  https://eng.registro.br/mailman/options/caiu
>> > >
>> >
>> >
>> >
>> > --
>> > Andrio Prestes Jasper
>> > Celular: (65) 9320-3170 / 8444 0040
>> > _______________________________________________
>> > caiu mailing list
>> >  caiu em eng.registro.br
>> >  https://eng.registro.br/mailman/listinfo/caiu
>> >
>> >
>> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> >
>> >  https://eng.registro.br/mailman/options/caiu
>> >
>>
>>
>>
>> --
>>
>> Att.
>> Felipe L Gobetti
>>  fel3456 em gmail.com
>> (44) 9829 6093
>> _______________________________________________
>> caiu mailing list
>>  caiu em eng.registro.br
>>  https://eng.registro.br/mailman/listinfo/caiu
>>
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>>  https://eng.registro.br/mailman/options/caiu
>>
>
>
>
>-- 
>Andrio Prestes Jasper
>Celular: (65) 9320-3170 / 8444 0040
>_______________________________________________
>caiu mailing list
>caiu em eng.registro.br
>https://eng.registro.br/mailman/listinfo/caiu
>
>
>--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
>https://eng.registro.br/mailman/options/caiu