[MASOCH-L] Sipvicious
Alexandre J. Correa (Onda)
alexandre at onda.net.br
Fri Apr 25 00:13:15 BRT 2014
Vale a pena dar uma conferida sim, o CSF inclusive possui sistema de
cluster, onde um firewall pode compartilhar regras com N servidores...
aplicadas ao mesmo tempo etc..
On 24/04/2014 23:51, Rafael Possamai wrote:
> Boa, nao reconheci por esse nome, mas era isso que eu estava sugerindo.
> Valeu, Alexandre.
>
>
> 2014-04-24 21:40 GMT-05:00 Alexandre J. Correa (Onda) <alexandre at onda.net.br
>> :
>> o csf+lfd possui um sistema que quando voce instala, ele gera um md5 de
>> todos os binarios principais do sistema... e qualquer alteração ele te
>> avisa...
>>
>>
>>
>> On 24/04/2014 23:35, Rafael Possamai wrote:
>>
>>> O problema eh que se algo mais foi feito, por exemplo um backdoor, ou
>>> alteracao de arquivo binario, nao tem como voce saber. Tem rootkits que
>>> alteram ps, netstat, etc e escondem os tracos do invasor.
>>>
>>> O ideal eh, como voce fez agora, tomar estas providencias logo no inicio,
>>> e
>>> se puder, utilizar md5 hash nos seus arquivos binarios e talvez alguns
>>> arquivos de configuracao, pra se algo acontecer, voce poder comparar
>>> depois
>>> com os valores originais e saber se alguem fez modificacoes nos seus
>>> arquivos.
>>>
>>> Se pudesse, eu migraria o servico para uma outra maquina e comecava do
>>> zero
>>> nesse seu servidor, e depois eh soh migrar de volta.
>>>
>>> Outra coisa, Digo isso, nao dependa somente de um firewall, pois um
>>> invasor
>>> pode mudar um pacote tcp ou udp para que passe pelo firewall se nao tiver
>>> configurado 100%. Neste caso, pode usar modo stateful e pode rejeitar
>>> alguns tipos de pacotes, tipo fragmentos, invalid, etc.
>>>
>>>
>>> Att.,
>>> Rafael
>>>
>>>
>>>
>>>
>>>
>>>
>>>
>>>
>>> 2014-04-24 21:20 GMT-05:00 Alexandre J. Correa (Onda) <
>>> alexandre at onda.net.br
>>>
>>>> :
>>>> fail2ban ajuda bastante...
>>>>
>>>> csf+lfd firewall tambem
>>>>
>>>>
>>>>
>>>> On 24/04/2014 23:16, Rodrigo Augusto wrote:
>>>>
>>>> Ola, muito bons dias! Instalei uma versao do elastix e nao tomei os
>>>>> devidos cuidados com senhas, troca de porta ssh, firewal etc... Em
>>>>> fim, o
>>>>> servidor foi invadido e um elemento irregular jogou o sipvicious para
>>>>> rodar
>>>>> neste servidor...( fui avisado via cert )
>>>>> Vi as instancias, vi os arquivos, scrpts etc e removi... Troquei porta
>>>>> de
>>>>> ssh, nao permito login como root , apenas um usuario nao adm se loga no
>>>>> ssh
>>>>> e no firewall fiz o bloqueio das portas de gerencia para acesso apenas
>>>>> de
>>>>> um servidor vpn e uma reserva de outro bloco de outra operadora...
>>>>> Monitorei e nao evidenciei mais acoes de saida para os ips que nao
>>>>> fossem
>>>>> os dos ramais sip( sao poucos, e apenas para operacao das filiais da
>>>>> nossa
>>>>> outra empresa).
>>>>> Existe algo mais a ser feito que os colegas possam ponderar?!
>>>>> Nao sei se ha alguma falha no elastix/damons que provocou isto ... Pois
>>>>> tenho outros servidores com linux instalado do zero enunca me aconteceu
>>>>> isto( rhel, debian, centos, um freebsd )
>>>>>
>>>>> Enviado via iPhone
>>>>> Grupo Connectoway
>>>>> __
>>>>> masoch-l list
>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>
>>>>>
>>>> --
>>>> Sds.
>>>>
>>>> Alexandre Jeronimo Correa
>>>> Sócio-Administrador
>>>>
>>>> Office: +55 34 3351 3077
>>>>
>>>> Onda Internet
>>>> www.onda.net.br
>>>>
>>>>
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>
>> --
>> Sds.
>>
>> Alexandre Jeronimo Correa
>> Sócio-Administrador
>>
>> Office: +55 34 3351 3077
>>
>> Onda Internet
>> www.onda.net.br
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
--
Sds.
Alexandre Jeronimo Correa
Sócio-Administrador
Office: +55 34 3351 3077
Onda Internet
www.onda.net.br
More information about the masoch-l
mailing list