[MASOCH-L] Sipvicious

Alexandre J. Correa (Onda) alexandre at onda.net.br
Thu Apr 24 23:40:06 BRT 2014


o csf+lfd possui um sistema que quando voce instala, ele gera um md5 de 
todos os binarios principais do sistema... e qualquer alteração ele te 
avisa...


On 24/04/2014 23:35, Rafael Possamai wrote:
> O problema eh que se algo mais foi feito, por exemplo um backdoor, ou
> alteracao de arquivo binario, nao tem como voce saber. Tem rootkits que
> alteram ps, netstat, etc e escondem os tracos do invasor.
>
> O ideal eh, como voce fez agora, tomar estas providencias logo no inicio, e
> se puder, utilizar md5 hash nos seus arquivos binarios e talvez alguns
> arquivos de configuracao, pra se algo acontecer, voce poder comparar depois
> com os valores originais e saber se alguem fez modificacoes nos seus
> arquivos.
>
> Se pudesse, eu migraria o servico para uma outra maquina e comecava do zero
> nesse seu servidor, e depois eh soh migrar de volta.
>
> Outra coisa, Digo isso, nao dependa somente de um firewall, pois um invasor
> pode mudar um pacote tcp ou udp para que passe pelo firewall se nao tiver
> configurado 100%. Neste caso, pode usar modo stateful e pode rejeitar
> alguns tipos de pacotes, tipo fragmentos, invalid, etc.
>
>
> Att.,
> Rafael
>
>
>
>
>
>
>
>
> 2014-04-24 21:20 GMT-05:00 Alexandre J. Correa (Onda) <alexandre at onda.net.br
>> :
>> fail2ban ajuda bastante...
>>
>> csf+lfd firewall tambem
>>
>>
>>
>> On 24/04/2014 23:16, Rodrigo Augusto wrote:
>>
>>> Ola, muito bons dias! Instalei uma versao do elastix e nao tomei os
>>> devidos cuidados com senhas, troca de porta ssh,  firewal etc... Em fim, o
>>> servidor foi invadido e um elemento irregular jogou o sipvicious para rodar
>>> neste servidor...( fui avisado via cert )
>>> Vi as instancias, vi os arquivos, scrpts etc e removi... Troquei porta de
>>> ssh, nao permito login como root , apenas um usuario nao adm se loga no ssh
>>> e no firewall fiz o bloqueio das portas de gerencia para acesso apenas de
>>> um servidor vpn e uma reserva de outro bloco de outra operadora...
>>> Monitorei e nao evidenciei mais acoes de saida para os ips que nao fossem
>>> os dos ramais sip( sao poucos, e apenas para operacao das filiais da nossa
>>> outra empresa).
>>> Existe algo mais a ser feito que os colegas possam ponderar?!
>>> Nao sei se ha alguma falha no elastix/damons  que provocou isto ... Pois
>>> tenho outros servidores com linux instalado do zero enunca me aconteceu
>>> isto( rhel, debian, centos, um freebsd )
>>>
>>> Enviado via iPhone 
>>> Grupo Connectoway
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>
>> --
>> Sds.
>>
>> Alexandre Jeronimo Correa
>> Sócio-Administrador
>>
>> Office: +55 34 3351 3077
>>
>> Onda Internet
>> www.onda.net.br
>>
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l


-- 
Sds.

Alexandre Jeronimo Correa
Sócio-Administrador

Office: +55 34 3351 3077

Onda Internet
www.onda.net.br



More information about the masoch-l mailing list