[MASOCH-L] Sipvicious

Rafael Possamai rafael at gav.ufsc.br
Thu Apr 24 23:35:16 BRT 2014 

O problema eh que se algo mais foi feito, por exemplo um backdoor, ou
alteracao de arquivo binario, nao tem como voce saber. Tem rootkits que
alteram ps, netstat, etc e escondem os tracos do invasor.

O ideal eh, como voce fez agora, tomar estas providencias logo no inicio, e
se puder, utilizar md5 hash nos seus arquivos binarios e talvez alguns
arquivos de configuracao, pra se algo acontecer, voce poder comparar depois
com os valores originais e saber se alguem fez modificacoes nos seus
arquivos.

Se pudesse, eu migraria o servico para uma outra maquina e comecava do zero
nesse seu servidor, e depois eh soh migrar de volta.

Outra coisa, Digo isso, nao dependa somente de um firewall, pois um invasor
pode mudar um pacote tcp ou udp para que passe pelo firewall se nao tiver
configurado 100%. Neste caso, pode usar modo stateful e pode rejeitar
alguns tipos de pacotes, tipo fragmentos, invalid, etc.


Att.,
Rafael








2014-04-24 21:20 GMT-05:00 Alexandre J. Correa (Onda) <alexandre at onda.net.br
>:

> fail2ban ajuda bastante...
>
> csf+lfd firewall tambem
>
>
>
> On 24/04/2014 23:16, Rodrigo Augusto wrote:
>
>> Ola, muito bons dias! Instalei uma versao do elastix e nao tomei os
>> devidos cuidados com senhas, troca de porta ssh,  firewal etc... Em fim, o
>> servidor foi invadido e um elemento irregular jogou o sipvicious para rodar
>> neste servidor...( fui avisado via cert )
>> Vi as instancias, vi os arquivos, scrpts etc e removi... Troquei porta de
>> ssh, nao permito login como root , apenas um usuario nao adm se loga no ssh
>> e no firewall fiz o bloqueio das portas de gerencia para acesso apenas de
>> um servidor vpn e uma reserva de outro bloco de outra operadora...
>> Monitorei e nao evidenciei mais acoes de saida para os ips que nao fossem
>> os dos ramais sip( sao poucos, e apenas para operacao das filiais da nossa
>> outra empresa).
>> Existe algo mais a ser feito que os colegas possam ponderar?!
>> Nao sei se ha alguma falha no elastix/damons  que provocou isto ... Pois
>> tenho outros servidores com linux instalado do zero enunca me aconteceu
>> isto( rhel, debian, centos, um freebsd )
>>
>> Enviado via iPhone 
>> Grupo Connectoway
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>
>
> --
> Sds.
>
> Alexandre Jeronimo Correa
> Sócio-Administrador
>
> Office: +55 34 3351 3077
>
> Onda Internet
> www.onda.net.br
>
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>

More information about the masoch-l mailing list