[AsteriskBrasil] porta 20005 btx

Luiz Henrique G. Granja lgranja em gmail.com
Quinta Julho 11 12:32:41 BRT 2013 

Bom Dia,

usando o fuser, por exemplo:

#fuser -v 22/tcp
                     USER        PID ACCESS COMMAND
22/tcp:              root       1523 F.... sshd
                     root       4981 f.... sshd
                     root       7015 F.... sshd


Mas se você tem certeza que foi "invadido", aconselho a fazer um "backup" e
refazer o Servidor do zero!!!



Em 11 de julho de 2013 11:23, Eng Eder de Souza <eder.souza em bsd.com.br>escreveu:

> Claro que sim !
>
>
> Em solo Linux como root execute:
>
> lsof -i
>
> Com isso você vai ter o nome da aplicação que está rodando, o PID e a
> porta por número ou nome do serviço!
>
>
>
>
> Em 11 de julho de 2013 12:06, Eduardo Pereira <edupbar em gmail.com>escreveu:
>
>  Eder, bom dia!
>>
>> não tenho serviços de vídeo...
>> tentai encontra os processos que estão abrindo estas portas porem não
>> encontrei nenhum serviço estranho.
>> Existe alguma forma de descobrir o processo especifico desta porta?
>>
>>
>> Em 11-07-2013 11:58, Eng Eder de Souza escreveu:
>>
>>  Oi Eduardo !
>>
>> Se você não tem nenhum serviço de videotexto rodando neste servidor é
>> motivo para ficar preocupado, veja alguns serviços que rodam nesta porta :
>>
>>    20005 tcp trojan MoSucker trojan *SG*  20005 tcp trojan [trojan]
>> MoSucker *Trojans*  20005 tcp,udp openwebnet OpenWebNet protocol for
>> electric network *IANA*  20005 tcp btx xcept4 (Interacts with German
>> Telekom's CEPT videotext service) *SANS*  20005 tcp Mosucker [trojan]
>> Mosucker *SANS*  20005 tcp btx xcept4 (Interacts with German Telekom's
>> CEPT videotext service) *Nmap*
>>
>>
>> A porta 729 também é perigosa, permite descobrir remotamente quais
>> serviços rodam em seu servidor !
>>
>> Ambas podem ser atacadas via DoS, possuem exploits no submundo !
>>
>> Feche estas portas em seu firewall imediatamente!
>>
>> Veja quais serviços estão rodando desnecessariamente em mate todos...
>>
>> Fica complicado saber sem mais detalhes da invasão(logs), se estas foram
>> as portas de entrada !
>>
>>
>>
>>
>> Em 11 de julho de 2013 11:30, Eduardo Pereira <edupbar em gmail.com>escreveu:
>>
>>> Caros, bom dia!
>>>
>>> Tive um asterisk invadido e após isso percebi duas portas abertas
>>> chamadas netviewdm1 e btx!.
>>> Algum conhece estas portas?
>>> Fruto do ataque??
>>>
>>> [root em pbx ~]# nmap 127.0.0.1
>>>
>>> Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-07-11
>>> 11:28 BRT
>>> Interesting ports on localhost (127.0.0.1):
>>> Not shown: 1674 closed ports
>>> PORT      STATE SERVICE
>>> 80/tcp    open  http
>>> 111/tcp   open  rpcbind
>>> 443/tcp   open  https
>>> 729/tcp   open  netviewdm1
>>> 3306/tcp  open  mysql
>>> 20005/tcp open  btx?
>>>
>>> Att
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>>> www.Khomp.com.
>>> _______________________________________________
>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
>> _______________________________________________
>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>> www.Khomp.com.
>> _______________________________________________
>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>



-- 

____________________
Att
Luiz Henrique G. Granja
lgranja em gmail.com
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130711/958f02e0/attachment-0001.htm

Mais detalhes sobre a lista de discussão AsteriskBrasil