[MASOCH-L] Sipvicious
Tiago Flôres
tiago at balensiefer.com.br
Fri Apr 25 00:33:22 BRT 2014
Rodrigo,
é legal tb saber por onde o invasor obteve acesso, que tipo de permissão
conseguiu, e qual(is) vulnerabilidade(s) explorou...etc
Vc poderia escanear as portas desse servidor a partir de uma outra
estação...com ponto de vista do invasor...tb procurar arquivos e qualquer
tipo de rastro que possa ter sido criado pelas ações, montar uma linha do
tempo...ver últimos arquivos modificados...sempre fica alguma coisa...vc
pode usar alguns root kits hunters prontos tb ....além de um pente fino nos
teus arquivos dos serviços elementares e dos teus deamons..
uma referência para os roots kits hunters..
http://www.maketecheasier.com/check-for-rootkits-on-linux-bsd-and-osx/
http://resources.infosecinstitute.com/free-detection-tools/
Como recomendado pelo colega Rafael, em um ambiente de produção, seria
aconselhado partir para uma nova instalacao.
boa sorte!
[]'s Tiago
Em 24 de abril de 2014 23:16, Rodrigo Augusto <rodrigo at 1telecom.com.br>escreveu:
> Ola, muito bons dias! Instalei uma versao do elastix e nao tomei os
> devidos cuidados com senhas, troca de porta ssh, firewal etc... Em fim, o
> servidor foi invadido e um elemento irregular jogou o sipvicious para rodar
> neste servidor...( fui avisado via cert )
> Vi as instancias, vi os arquivos, scrpts etc e removi... Troquei porta de
> ssh, nao permito login como root , apenas um usuario nao adm se loga no ssh
> e no firewall fiz o bloqueio das portas de gerencia para acesso apenas de
> um servidor vpn e uma reserva de outro bloco de outra operadora...
> Monitorei e nao evidenciei mais acoes de saida para os ips que nao fossem
> os dos ramais sip( sao poucos, e apenas para operacao das filiais da nossa
> outra empresa).
> Existe algo mais a ser feito que os colegas possam ponderar?!
> Nao sei se ha alguma falha no elastix/damons que provocou isto ... Pois
> tenho outros servidores com linux instalado do zero enunca me aconteceu
> isto( rhel, debian, centos, um freebsd )
>
> Enviado via iPhone
> Grupo Connectoway
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
--
-----BEGIN PGP 2048-BIT RSA FINGERPRINT-----
3C:B8:8F:AE:14:93:C9:56:28:F8:27:5E:B2:C1:A2:9B:28:6D:06:0F
-----END PGP 2048-BIT RSA FINGERPRINT-----
More information about the masoch-l
mailing list