[MASOCH-L] Sipvicious
Rafael Possamai
rafael at gav.ufsc.br
Thu Apr 24 23:51:27 BRT 2014
Boa, nao reconheci por esse nome, mas era isso que eu estava sugerindo.
Valeu, Alexandre.
2014-04-24 21:40 GMT-05:00 Alexandre J. Correa (Onda) <alexandre at onda.net.br
>:
> o csf+lfd possui um sistema que quando voce instala, ele gera um md5 de
> todos os binarios principais do sistema... e qualquer alteração ele te
> avisa...
>
>
>
> On 24/04/2014 23:35, Rafael Possamai wrote:
>
>> O problema eh que se algo mais foi feito, por exemplo um backdoor, ou
>> alteracao de arquivo binario, nao tem como voce saber. Tem rootkits que
>> alteram ps, netstat, etc e escondem os tracos do invasor.
>>
>> O ideal eh, como voce fez agora, tomar estas providencias logo no inicio,
>> e
>> se puder, utilizar md5 hash nos seus arquivos binarios e talvez alguns
>> arquivos de configuracao, pra se algo acontecer, voce poder comparar
>> depois
>> com os valores originais e saber se alguem fez modificacoes nos seus
>> arquivos.
>>
>> Se pudesse, eu migraria o servico para uma outra maquina e comecava do
>> zero
>> nesse seu servidor, e depois eh soh migrar de volta.
>>
>> Outra coisa, Digo isso, nao dependa somente de um firewall, pois um
>> invasor
>> pode mudar um pacote tcp ou udp para que passe pelo firewall se nao tiver
>> configurado 100%. Neste caso, pode usar modo stateful e pode rejeitar
>> alguns tipos de pacotes, tipo fragmentos, invalid, etc.
>>
>>
>> Att.,
>> Rafael
>>
>>
>>
>>
>>
>>
>>
>>
>> 2014-04-24 21:20 GMT-05:00 Alexandre J. Correa (Onda) <
>> alexandre at onda.net.br
>>
>>> :
>>> fail2ban ajuda bastante...
>>>
>>> csf+lfd firewall tambem
>>>
>>>
>>>
>>> On 24/04/2014 23:16, Rodrigo Augusto wrote:
>>>
>>> Ola, muito bons dias! Instalei uma versao do elastix e nao tomei os
>>>> devidos cuidados com senhas, troca de porta ssh, firewal etc... Em
>>>> fim, o
>>>> servidor foi invadido e um elemento irregular jogou o sipvicious para
>>>> rodar
>>>> neste servidor...( fui avisado via cert )
>>>> Vi as instancias, vi os arquivos, scrpts etc e removi... Troquei porta
>>>> de
>>>> ssh, nao permito login como root , apenas um usuario nao adm se loga no
>>>> ssh
>>>> e no firewall fiz o bloqueio das portas de gerencia para acesso apenas
>>>> de
>>>> um servidor vpn e uma reserva de outro bloco de outra operadora...
>>>> Monitorei e nao evidenciei mais acoes de saida para os ips que nao
>>>> fossem
>>>> os dos ramais sip( sao poucos, e apenas para operacao das filiais da
>>>> nossa
>>>> outra empresa).
>>>> Existe algo mais a ser feito que os colegas possam ponderar?!
>>>> Nao sei se ha alguma falha no elastix/damons que provocou isto ... Pois
>>>> tenho outros servidores com linux instalado do zero enunca me aconteceu
>>>> isto( rhel, debian, centos, um freebsd )
>>>>
>>>> Enviado via iPhone
>>>> Grupo Connectoway
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>>>>
>>> --
>>> Sds.
>>>
>>> Alexandre Jeronimo Correa
>>> Sócio-Administrador
>>>
>>> Office: +55 34 3351 3077
>>>
>>> Onda Internet
>>> www.onda.net.br
>>>
>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>
>
> --
> Sds.
>
> Alexandre Jeronimo Correa
> Sócio-Administrador
>
> Office: +55 34 3351 3077
>
> Onda Internet
> www.onda.net.br
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
More information about the masoch-l
mailing list