[AsteriskBrasil] porta 20005 btx

Eng Eder de Souza eder.souza em bsd.com.br
Quinta Julho 11 13:07:06 BRT 2013 

Acho estranho heim todos os serviços estão sendo executados pelo usuário
asterisk, parecem ser legitimo, mas é melhor não arriscar ...

O processo que roda na porta 729 é o rpc.statd com o PID 1819

O outro processo da porta 20005 é o dialerd PID 2325

Repara que tem conexão estabelecida da porta 20005!

Se não usa estes serviços mate eles com kill -9 1819 e kill -9 2325

Sinceramente não acho que teve invasão por estas portas ...

Os IPs que falou não estão fazendo nada de mais, só estão logados na porta
443!

Elucide melhor como foi esta invasão ?

Alguém fez chamadas pelo seu Asterisk ??




Em 11 de julho de 2013 12:42, Eduardo Pereira <edupbar em gmail.com> escreveu:

>  O resultado:
>
> rpc.statd  1819       rpcuser    7u  IPv4   5636       TCP *:netviewdm1
> (LISTEN)
>
> Estes ips 192.168.1.10 e 192.168.1.4, sao PAs logadas na interface elastix
> callcenter com softfone 3cx.
> COMMAND     PID          USER   FD   TYPE DEVICE SIZE NODE NAME
> dialerd    2320      asterisk    3u  IPv4  17250       TCP
> localhost:34127->localhost:5038 (ESTABLISHED)
> dialerd    2321      asterisk    7u  IPv4  17249       TCP
> localhost:34126->localhost:5038(
> ESTABLISHED)
>
> dialerd    2325      asterisk    9u  IPv4   7123       TCP *:20005
> (LISTEN)
>
> dialerd    2325      asterisk   10u  IPv4  17247       TCP
> localhost:34125->localhost:5038
> (ESTABLISHED)
>
> dialerd    2325      asterisk   11u  IPv4 585896       TCP
> localhost:20005->localhost:34557
> (ESTABLISHED)
>
> dialerd    2325      asterisk   12u  IPv4 585121       TCP
> localhost:20005->localhost:41387 (ESTABLISHED)
> httpd     27466      asterisk   14u  IPv4 585108       TCP 192.168.1.253:
> https->192.168.1.10:49180 (ESTABLISHED)
> httpd     27466      asterisk   19u  IPv4 585120       TCP
> localhost:41387->localhost:20005 (ESTABLISHED)
> httpd     27467      asterisk    3u  IPv4   6802       TCP *:http (LISTEN)
> httpd     27467      asterisk    4u  IPv4   6808       TCP *:https (LISTEN)
> httpd     27491      asterisk    3u  IPv4   6802       TCP *:http (LISTEN)
> httpd     27491      asterisk    4u  IPv4   6808       TCP *:https (LISTEN)
> httpd     28226      asterisk    3u  IPv4   6802       TCP *:http (LISTEN)
> httpd     28226      asterisk    4u  IPv4   6808       TCP *:https (LISTEN)
> httpd     28226      asterisk   14u  IPv4 585883       TCP 192.168.1.253:
> https->192.168.1.4:50737 (ESTABLISHED)
> httpd     28226      asterisk   19u  IPv4 585895       TCP
> localhost:34557->localhost:20005 (ESTABLISHED)
>
>
> Em 11-07-2013 12:29, Eng Eder de Souza escreveu:
>
>  Em tempo tbm dá pra fazer assim :
>
> lsof -t -i:20005
>  lsof -t -i:729
>
>
> Em 11 de julho de 2013 12:23, Eng Eder de Souza <eder.souza em bsd.com.br>escreveu:
>
>>  Claro que sim !
>>
>>
>> Em solo Linux como root execute:
>>
>> lsof -i
>>
>> Com isso você vai ter o nome da aplicação que está rodando, o PID e a
>> porta por número ou nome do serviço!
>>
>>
>>
>>
>> Em 11 de julho de 2013 12:06, Eduardo Pereira <edupbar em gmail.com>escreveu:
>>
>>  Eder, bom dia!
>>>
>>> não tenho serviços de vídeo...
>>> tentai encontra os processos que estão abrindo estas portas porem não
>>> encontrei nenhum serviço estranho.
>>> Existe alguma forma de descobrir o processo especifico desta porta?
>>>
>>>
>>> Em 11-07-2013 11:58, Eng Eder de Souza escreveu:
>>>
>>>  Oi Eduardo !
>>>
>>> Se você não tem nenhum serviço de videotexto rodando neste servidor é
>>> motivo para ficar preocupado, veja alguns serviços que rodam nesta porta :
>>>
>>>   20005 tcp trojan MoSucker trojan *SG*  20005 tcp trojan [trojan]
>>> MoSucker *Trojans*  20005 tcp,udp openwebnet OpenWebNet protocol for
>>> electric network *IANA*  20005 tcp btx xcept4 (Interacts with German
>>> Telekom's CEPT videotext service) *SANS*  20005 tcp Mosucker [trojan]
>>> Mosucker *SANS*  20005 tcp btx xcept4 (Interacts with German Telekom's
>>> CEPT videotext service) *Nmap*
>>>
>>>
>>> A porta 729 também é perigosa, permite descobrir remotamente quais
>>> serviços rodam em seu servidor !
>>>
>>> Ambas podem ser atacadas via DoS, possuem exploits no submundo !
>>>
>>> Feche estas portas em seu firewall imediatamente!
>>>
>>> Veja quais serviços estão rodando desnecessariamente em mate todos...
>>>
>>> Fica complicado saber sem mais detalhes da invasão(logs), se estas foram
>>> as portas de entrada !
>>>
>>>
>>>
>>>
>>> Em 11 de julho de 2013 11:30, Eduardo Pereira <edupbar em gmail.com>escreveu:
>>>
>>>> Caros, bom dia!
>>>>
>>>> Tive um asterisk invadido e após isso percebi duas portas abertas
>>>> chamadas netviewdm1 e btx!.
>>>> Algum conhece estas portas?
>>>> Fruto do ataque??
>>>>
>>>> [root em pbx ~]# nmap 127.0.0.1
>>>>
>>>> Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-07-11
>>>> 11:28 BRT
>>>> Interesting ports on localhost (127.0.0.1):
>>>> Not shown: 1674 closed ports
>>>> PORT      STATE SERVICE
>>>> 80/tcp    open  http
>>>> 111/tcp   open  rpcbind
>>>> 443/tcp   open  https
>>>> 729/tcp   open  netviewdm1
>>>> 3306/tcp  open  mysql
>>>> 20005/tcp open  btx?
>>>>
>>>> Att
>>>> _______________________________________________
>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>>>> www.Khomp.com.
>>>> _______________________________________________
>>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>>>> _______________________________________________
>>>> Para remover seu email desta lista, basta enviar um email em branco
>>>> para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>>
>>>
>>>
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
>>> _______________________________________________
>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>>
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>>> www.Khomp.com.
>>> _______________________________________________
>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>
>>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130711/d97316c6/attachment-0001.htm

Mais detalhes sobre a lista de discussão AsteriskBrasil