[caiu] Virus UBNT
José Nilton
jn em linkcariri.com
Dom Maio 15 14:08:08 BRT 2016
Boa tarde
alguém ja identificou por qual porta esta vindo esse vírus e ip ?
Em dom, 15 de mai de 2016 às 14:02, Diego Canton de Brito <
diegocanton em ensite.com.br> escreveu:
>
> Sim, a saída será os IPs que estão fazendo consultas DNS ao servidor, por
> xxx.xxx.xxx.xxx. que será tratada como nxdomain, essa resposta está sendo
> filtrada no comando, removido todos os demais dados e apresentado apenas os
> IPs possivelmente infectados, pois não são válidos e comuns as consultas
> pelo domínio "." (Domínio Ponto)
> Como disse quando postei o comando, ele deve ser executado em seu servidor
> DNS.
> --
> Enviado do aplicativo myMail para Android domingo, 15 maio 2016, 01:52PM
> -03:00 de Andrio Prestes Jasper < mascaraapj em gmail.com> :
>
> >Esses ips são da sua rede? provavelmente estão infectados.
> >
> >Em 15 de maio de 2016 12:49, Felipe L. Gobetti < fel3456 em gmail.com >
> escreveu:
> >
> >> Senhores,
> >> Executei o comando aqui nos servidores DNS, o que tem de retorno, é
> apenas
> >> IPs, um abaixo do outro.
> >> Isso significa que esta limpo??
> >>
> >> Em 15 de maio de 2016 11:47, Andrio Prestes Jasper <
> mascaraapj em gmail.com >
> >> escreveu:
> >>
> >> > meu caro, caso tenha acompanhado... não importa a complexidade da
> senha,
> >> o
> >> > virus consegue entrar assim mesmo, pois a falha que ele explora não
> >> precisa
> >> > de autenticação.
> >> >
> >> > Eu também achei que não tinha problema.
> >> > Até rodar o comando abaixo no servidor DNS, foi quando descobri alguns
> >> > clientes infectados mas que ainda não tinha dado problema.
> >> >
> >> > tcpdump -vvv -n port 53 -i eth0 | grep -i nxdomain | grep "ns: . " |
> cut
> >> > -f5-8 -d "." | cut -f3 -d " "
> >> >
> >> > Em 15 de maio de 2016 10:08, VPNVyrtual.Com < vpnvyrtual em gmail.com >
> >> > escreveu:
> >> >
> >> > > Eu tenho que admirar viu. A culpa desse caos são dos descuidados
> donos
> >> de
> >> > > provedores de meia boca que cometem a gafe de deixar seus
> equipamentos
> >> na
> >> > > porta 80 ou 443 e ainda deixa uma senha fraca (sem @#$, etc.).
> >> > > Venho acompanhando isso em forum polones a varios meses que falam de
> >> > coisas
> >> > > localizadas no leste Europeu, assim como um famoso rootkit que se
> >> camufla
> >> > > nos equipamentos MK (alguem se lembra dos cracks do autocad que
> mandava
> >> > > arquivos para a China?).
> >> > >
> >> > > A UBNT vem falando e adicionando regras de segurança ja faz tempo.
> >> > >
> >> > > Aqui tenho cerca de 80% com firmware proprio e o restante 5.63 e
> 5.64.
> >> > Não
> >> > > tive o menor problema. Quanto ao EdgeSwitch é uma cagada da UBNT não
> >> > > permitir trocar o usuario master (tem que ser ubnt). Consegui
> somente
> >> via
> >> > > Cli.
> >> > >
> >> > > Quanto ao EdgeRouter vai pelo mesmo rumo.
> >> > >
> >> > >
> >> > > Demais coisas beijos e abraços e boa sorte, ja que aprender a lingua
> >> > > inglesa é uma obrigatoriedade e ficar alerta mais ainda. ahahahahaha
> >> > >
> >> > > -
> >> > > _______________________________________________
> >> > > caiu mailing list
> >> > > caiu em eng.registro.br
> >> > > https://eng.registro.br/mailman/listinfo/caiu
> >> > >
> >> > >
> >> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >> > >
> >> > > https://eng.registro.br/mailman/options/caiu
> >> > >
> >> >
> >> >
> >> >
> >> > --
> >> > Andrio Prestes Jasper
> >> > Celular: (65) 9320-3170 / 8444 0040
> >> > _______________________________________________
> >> > caiu mailing list
> >> > caiu em eng.registro.br
> >> > https://eng.registro.br/mailman/listinfo/caiu
> >> >
> >> >
> >> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >> >
> >> > https://eng.registro.br/mailman/options/caiu
> >> >
> >>
> >>
> >>
> >> --
> >>
> >> Att.
> >> Felipe L Gobetti
> >> fel3456 em gmail.com
> >> (44) 9829 6093
> >> _______________________________________________
> >> caiu mailing list
> >> caiu em eng.registro.br
> >> https://eng.registro.br/mailman/listinfo/caiu
> >>
> >>
> >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>
> >> https://eng.registro.br/mailman/options/caiu
> >>
> >
> >
> >
> >--
> >Andrio Prestes Jasper
> >Celular: (65) 9320-3170 / 8444 0040
> >_______________________________________________
> >caiu mailing list
> >caiu em eng.registro.br
> >https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> >--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> >https://eng.registro.br/mailman/options/caiu
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
--
José Nilton
Telefone : ( 88 ) 9612 - 0564
Skype : jn em linkcariri.com
Mais detalhes sobre a lista de discussão caiu