[AsteriskBrasil] porta 20005 btx
Eduardo Pereira
edupbar em gmail.com
Quinta Julho 11 12:42:49 BRT 2013
O resultado:
rpc.statd 1819 rpcuser 7u IPv4 5636 TCP *:netviewdm1
(LISTEN)
Estes ips 192.168.1.10 e 192.168.1.4, sao PAs logadas na interface
elastix callcenter com softfone 3cx.
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
dialerd 2320 asterisk 3u IPv4 17250 TCP
localhost:34127->localhost:5038 (ESTABLISHED)
dialerd 2321 asterisk 7u IPv4 17249 TCP
localhost:34126->localhost:5038( ESTABLISHED)
dialerd 2325 asterisk 9u IPv4 7123 TCP *:20005 (LISTEN)
dialerd 2325 asterisk 10u IPv4 17247 TCP
localhost:34125->localhost:5038 (ESTABLISHED)
dialerd 2325 asterisk 11u IPv4 585896 TCP
localhost:20005->localhost:34557 (ESTABLISHED)
dialerd 2325 asterisk 12u IPv4 585121 TCP
localhost:20005->localhost:41387 (ESTABLISHED)
httpd 27466 asterisk 14u IPv4 585108 TCP
192.168.1.253:https->192.168.1.10:49180 (ESTABLISHED)
httpd 27466 asterisk 19u IPv4 585120 TCP
localhost:41387->localhost:20005 (ESTABLISHED)
httpd 27467 asterisk 3u IPv4 6802 TCP *:http (LISTEN)
httpd 27467 asterisk 4u IPv4 6808 TCP *:https (LISTEN)
httpd 27491 asterisk 3u IPv4 6802 TCP *:http (LISTEN)
httpd 27491 asterisk 4u IPv4 6808 TCP *:https (LISTEN)
httpd 28226 asterisk 3u IPv4 6802 TCP *:http (LISTEN)
httpd 28226 asterisk 4u IPv4 6808 TCP *:https (LISTEN)
httpd 28226 asterisk 14u IPv4 585883 TCP
192.168.1.253:https->192.168.1.4:50737 (ESTABLISHED)
httpd 28226 asterisk 19u IPv4 585895 TCP
localhost:34557->localhost:20005 (ESTABLISHED)
Em 11-07-2013 12:29, Eng Eder de Souza escreveu:
> Em tempo tbm dá pra fazer assim :
> lsof -t -i:20005
> lsof -t -i:729
>
>
> Em 11 de julho de 2013 12:23, Eng Eder de Souza <eder.souza em bsd.com.br
> <mailto:eder.souza em bsd.com.br>> escreveu:
>
> Claro que sim !
> Em solo Linux como root execute:
> lsof -i
> Com isso você vai ter o nome da aplicação que está rodando, o PID
> e a porta por número ou nome do serviço!
>
>
> Em 11 de julho de 2013 12:06, Eduardo Pereira <edupbar em gmail.com
> <mailto:edupbar em gmail.com>> escreveu:
>
> Eder, bom dia!
>
> não tenho serviços de vídeo...
> tentai encontra os processos que estão abrindo estas portas
> porem não encontrei nenhum serviço estranho.
> Existe alguma forma de descobrir o processo especifico desta
> porta?
>
>
> Em 11-07-2013 11:58, Eng Eder de Souza escreveu:
>> Oi Eduardo !
>> Se você não tem nenhum serviço de videotexto rodando neste
>> servidor é motivo para ficar preocupado, veja alguns serviços
>> que rodam nesta porta :
>> 20005 tcp trojan MoSucker trojan /SG/
>> 20005 tcp trojan [trojan] MoSucker /Trojans/
>> 20005 tcp,udp openwebnet OpenWebNet protocol for electric
>> network /IANA/
>> 20005 tcp btx xcept4 (Interacts with German Telekom's CEPT
>> videotext service) /SANS/
>> 20005 tcp Mosucker [trojan] Mosucker /SANS/
>> 20005 tcp btx xcept4 (Interacts with German Telekom's CEPT
>> videotext service) /Nmap/
>>
>> A porta 729 também é perigosa, permite descobrir remotamente
>> quais serviços rodam em seu servidor !
>> Ambas podem ser atacadas via DoS, possuem exploits no submundo !
>> Feche estas portas em seu firewall imediatamente!
>> Veja quais serviços estão rodando desnecessariamente em mate
>> todos...
>> Fica complicado saber sem mais detalhes da invasão(logs), se
>> estas foram as portas de entrada !
>>
>>
>> Em 11 de julho de 2013 11:30, Eduardo Pereira
>> <edupbar em gmail.com <mailto:edupbar em gmail.com>> escreveu:
>>
>> Caros, bom dia!
>>
>> Tive um asterisk invadido e após isso percebi duas portas
>> abertas
>> chamadas netviewdm1 e btx!.
>> Algum conhece estas portas?
>> Fruto do ataque??
>>
>> [root em pbx ~]# nmap 127.0.0.1
>>
>> Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at
>> 2013-07-11 11:28 BRT
>> Interesting ports on localhost (127.0.0.1):
>> Not shown: 1674 closed ports
>> PORT STATE SERVICE
>> 80/tcp open http
>> 111/tcp open rpcbind
>> 443/tcp open https
>> 729/tcp open netviewdm1
>> 3306/tcp open mysql
>> 20005/tcp open btx?
>>
>> Att
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP.
>> Conheça em www.Khomp.com <http://www.Khomp.com>.
>> _______________________________________________
>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para
>> R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank -- Appliance Asterisk - Acesse
>> www.aligera.com.br <http://www.aligera.com.br>.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email
>> em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>>
>>
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com <http://www.Khomp.com>.
>> _______________________________________________
>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br <http://www.aligera.com.br>.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscribe em listas.asteriskbrasil.org <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com <http://www.Khomp.com>.
> _______________________________________________
> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2,
> ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br
> <http://www.aligera.com.br>.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em
> branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130711/1b2a245e/attachment-0001.htm
Mais detalhes sobre a lista de discussão AsteriskBrasil