[GTER] RES: Portas 445, 135, 137...

Paulo Henrique paulohenriquef at gmail.com
Tue Jan 26 17:23:11 -02 2010 

Por isso acredito que deveria haver algo como a gerência da porta 25
para estas portas, sem falar de tantas outras como já foi citado por
outros colegas nesta lista e também na GTS-L.
Lembrem-se que o bloqueio pode ser um diferencial no serviço oferecido
ao usuário final.

t+

2010/1/26 Patrick Barreto Petronetto <patrick at vol.net.br>:
> E imagina com quantas maquinas isso não acontece, principalmente nas redes
> das grandes teles.
>
> Att,
> Patrick Barreto Petronetto
>
>
> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
> nome de Paulo Henrique
> Enviada em: terça-feira, 26 de janeiro de 2010 15:47
> Para: Sergio Ferreira
> Cc: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] Portas 445, 135, 137...
>
> A alguns dias postei uma mensagem na lista GTS, vou postar aqui o
> relato de uma experiência simples que fiz a alguns dias.
>
> Instalei  um Windows XP (sem nenhuma atualização ou service pack);
> Logo após concluir a instalação, pluguei o mesmo diretamente na
> internet, sem firewall, antivirus ou qualquer outra proteção;
> Não instalei nada, não acessei nada, simplesmente deixei a máquina
> conectada na rede de cara pra internet;
>
> Resultado:
>
> 11 minutos após plugar a máquina na rede teve início a tentativa de
> comprometimento da mesma pelas portas 135,137, 139 e 445;
> 1 minuto depois  a máquina foi reiniciada (pelo atacante/bot). Alguns
> minutos após o boot a máquina se conectou ao server C&C e logo depois
> já estava tentando compromenter outras máquinas.
> Mais algum tempo depois ela começou a enviar e-mail's/spam.
>
> Enquanto executava estas  atividades a máquina chegou a consumir cerca
> de 200kbps de banda;
>
> Com tudo isso deu pra ter idéia do tamanho do problema.
>
> t+
>
>
>
> 2010/1/26 Sergio Ferreira <sergio at wgo.com.br>:
>> Prezados,
>>
>>        Não seria útil se os provedores começassem a bloquear essas
> portas
>> para evitar a disseminação de vírus, trojans, etc ??
>>
>>        Os serviços nestas portas foram feitos para utilização em LAN e
> não
>> em WAN.
>>
>>        O volume de pacotes é enorme e consome muitos recursos de banda,
>> hardware e pessoal.
>>
>>        Aqui filtro esses pacotes a anos e nunca tive uma solicitação
> para
>> liberar essas portas.
>>
>>        Só um exemplo do meu filtro, o volume é enorme :
>>
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 189.38.236.197:2369
>> 189.38.32.8:135 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 189.38.236.197:4461
>> 189.38.32.9:135 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 189.38.236.197:4318
>> 189.38.32.12:135 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 189.38.236.197:1066
>> 189.38.32.13:135 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 189.38.138.189:3935
>> 189.38.43.119:135 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 94.236.201.116:3691
>> 187.44.72.106:445 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 89.18.8.29:3600
>> 189.38.42.118:445 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 189.38.236.197:3241
>> 189.38.32.24:135 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 189.38.236.197:3832
>> 189.38.32.23:135 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 78.48.12.192:2132
>> 189.38.38.46:445 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 189.120.218.30:2710
>> 189.38.47.98:445 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 189.38.236.197:4879
>> 189.38.32.25:135 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 201.50.15.37:4695
>> 187.44.79.46:445 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 189.38.236.197:1917
>> 189.38.32.35:135 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 189.38.236.197:4666
>> 189.38.32.39:135 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 89.36.78.71:1934
>> 187.44.76.52:445 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 189.38.236.197:2431
>> 189.38.32.40:135 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 189.38.236.197:1403
>> 189.38.32.44:135 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 189.38.236.197:3809
>> 189.38.32.45:135 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 94.177.23.106:2482
>> 187.44.72.87:445 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 189.38.236.197:2725
>> 189.38.32.47:135 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 189.38.236.197:3266
>> 189.38.32.48:135 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 62.227.149.182:1101
>> 189.38.40.68:445 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 83.69.242.76:4989
>> 189.38.44.86:445 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 189.38.236.197:1124
>> 189.38.32.57:135 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 189.38.236.197:4991
>> 189.38.32.58:135 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 140.247.58.26:2860
>> 187.44.66.105:445 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 189.38.236.197:4201
>> 189.38.32.62:135 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 114.47.173.64:2458
>> 189.38.41.103:445 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 189.38.236.197:1296
>> 189.38.32.70:135 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 189.38.236.197:2476
>> 189.38.32.71:135 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 189.38.236.197:1378
>> 189.38.32.75:135 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 189.38.236.197:2957
>> 189.38.32.76:135 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 123.140.242.240:4821
>> 187.44.64.75:445 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 78.106.179.130:4262
>> 189.38.41.120:445 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 201.47.80.67:60816
>> 189.38.37.107:24164 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 189.38.236.197:4742
>> 189.38.32.84:135 in via vlan6
>> Jan 26 10:26:52 proxy kernel: ipfw: 2880 Deny TCP 114.126.158.251:3487
>> 187.44.71.93:445 in via vlan6
>>
>>
>> Sérgio Ferreira
>> WGO Telecom
>> 64 3411 3000
>> 64 8119 1840
>>
>>
>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>
>
>
> --
> Paulo Henrique Fonseca
> paulohenriquef at gmail.com
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Paulo Henrique Fonseca
paulohenriquef at gmail.com

More information about the gter mailing list