[AsteriskBrasil] porta 20005 btx
Eduardo Pereira
edupbar em gmail.com
Quinta Julho 11 13:19:12 BRT 2013
Sim, foram realizadas chamadas, a GVT chegou a bloquear o E1 por ter
identificado chamadas internacionais na madrugada.
Verifiquei que quem invadiu utilizou uma falha no vtigercrm. Por uma url
de um dos modulos do vtiger conseguiu ler arquivos das pastas etc e
asterisk.
Em 11-07-2013 13:07, Eng Eder de Souza escreveu:
> Acho estranho heim todos os serviços estão sendo executados pelo
> usuário asterisk, parecem ser legitimo, mas é melhor não arriscar ...
> O processo que roda na porta 729 é o rpc.statd com o PID 1819
> O outro processo da porta 20005 é o dialerd PID 2325
> Repara que tem conexão estabelecida da porta 20005!
> Se não usa estes serviços mate eles com kill -9 1819 e kill -9 2325
> Sinceramente não acho que teve invasão por estas portas ...
> Os IPs que falou não estão fazendo nada de mais, só estão logados na
> porta 443!
> Elucide melhor como foi esta invasão ?
> Alguém fez chamadas pelo seu Asterisk ??
>
>
> Em 11 de julho de 2013 12:42, Eduardo Pereira <edupbar em gmail.com
> <mailto:edupbar em gmail.com>> escreveu:
>
> O resultado:
>
> rpc.statd 1819 rpcuser 7u IPv4 5636 TCP *:netviewdm1
> (LISTEN)
>
> Estes ips 192.168.1.10 e 192.168.1.4, sao PAs logadas na interface
> elastix callcenter com softfone 3cx.
> COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
> dialerd 2320 asterisk 3u IPv4 17250 TCP
> localhost:34127->localhost:5038 (ESTABLISHED)
> dialerd 2321 asterisk 7u IPv4 17249 TCP
> localhost:34126->localhost:5038( ESTABLISHED)
> dialerd 2325 asterisk 9u IPv4 7123 TCP *:20005 (LISTEN)
> dialerd 2325 asterisk 10u IPv4 17247 TCP
> localhost:34125->localhost:5038 (ESTABLISHED)
> dialerd 2325 asterisk 11u IPv4 585896 TCP
> localhost:20005->localhost:34557 (ESTABLISHED)
> dialerd 2325 asterisk 12u IPv4 585121 TCP
> localhost:20005->localhost:41387 (ESTABLISHED)
> httpd 27466 asterisk 14u IPv4 585108 TCP
> 192.168.1.253:https->192.168.1.10:49180
> <http://192.168.1.10:49180> (ESTABLISHED)
> httpd 27466 asterisk 19u IPv4 585120 TCP
> localhost:41387->localhost:20005 (ESTABLISHED)
> httpd 27467 asterisk 3u IPv4 6802 TCP *:http (LISTEN)
> httpd 27467 asterisk 4u IPv4 6808 TCP *:https (LISTEN)
> httpd 27491 asterisk 3u IPv4 6802 TCP *:http (LISTEN)
> httpd 27491 asterisk 4u IPv4 6808 TCP *:https (LISTEN)
> httpd 28226 asterisk 3u IPv4 6802 TCP *:http (LISTEN)
> httpd 28226 asterisk 4u IPv4 6808 TCP *:https (LISTEN)
> httpd 28226 asterisk 14u IPv4 585883 TCP
> 192.168.1.253:https->192.168.1.4:50737 <http://192.168.1.4:50737>
> (ESTABLISHED)
> httpd 28226 asterisk 19u IPv4 585895 TCP
> localhost:34557->localhost:20005 (ESTABLISHED)
>
>
> Em 11-07-2013 12:29, Eng Eder de Souza escreveu:
>> Em tempo tbm dá pra fazer assim :
>> lsof -t -i:20005
>> lsof -t -i:729
>>
>>
>> Em 11 de julho de 2013 12:23, Eng Eder de Souza
>> <eder.souza em bsd.com.br <mailto:eder.souza em bsd.com.br>> escreveu:
>>
>> Claro que sim !
>> Em solo Linux como root execute:
>> lsof -i
>> Com isso você vai ter o nome da aplicação que está rodando, o
>> PID e a porta por número ou nome do serviço!
>>
>>
>> Em 11 de julho de 2013 12:06, Eduardo Pereira
>> <edupbar em gmail.com <mailto:edupbar em gmail.com>> escreveu:
>>
>> Eder, bom dia!
>>
>> não tenho serviços de vídeo...
>> tentai encontra os processos que estão abrindo estas
>> portas porem não encontrei nenhum serviço estranho.
>> Existe alguma forma de descobrir o processo especifico
>> desta porta?
>>
>>
>> Em 11-07-2013 11:58, Eng Eder de Souza escreveu:
>>> Oi Eduardo !
>>> Se você não tem nenhum serviço de videotexto rodando
>>> neste servidor é motivo para ficar preocupado, veja
>>> alguns serviços que rodam nesta porta :
>>> 20005 tcp trojan MoSucker trojan /SG/
>>> 20005 tcp trojan [trojan] MoSucker /Trojans/
>>> 20005 tcp,udp openwebnet OpenWebNet protocol for
>>> electric network /IANA/
>>> 20005 tcp btx xcept4 (Interacts with German Telekom's
>>> CEPT videotext service) /SANS/
>>> 20005 tcp Mosucker [trojan] Mosucker /SANS/
>>> 20005 tcp btx xcept4 (Interacts with German Telekom's
>>> CEPT videotext service) /Nmap/
>>>
>>> A porta 729 também é perigosa, permite descobrir
>>> remotamente quais serviços rodam em seu servidor !
>>> Ambas podem ser atacadas via DoS, possuem exploits no
>>> submundo !
>>> Feche estas portas em seu firewall imediatamente!
>>> Veja quais serviços estão rodando desnecessariamente em
>>> mate todos...
>>> Fica complicado saber sem mais detalhes da
>>> invasão(logs), se estas foram as portas de entrada !
>>>
>>>
>>> Em 11 de julho de 2013 11:30, Eduardo Pereira
>>> <edupbar em gmail.com <mailto:edupbar em gmail.com>> escreveu:
>>>
>>> Caros, bom dia!
>>>
>>> Tive um asterisk invadido e após isso percebi duas
>>> portas abertas
>>> chamadas netviewdm1 e btx!.
>>> Algum conhece estas portas?
>>> Fruto do ataque??
>>>
>>> [root em pbx ~]# nmap 127.0.0.1
>>>
>>> Starting Nmap 4.11 ( http://www.insecure.org/nmap/ )
>>> at 2013-07-11 11:28 BRT
>>> Interesting ports on localhost (127.0.0.1):
>>> Not shown: 1674 closed ports
>>> PORT STATE SERVICE
>>> 80/tcp open http
>>> 111/tcp open rpcbind
>>> 443/tcp open https
>>> 729/tcp open netviewdm1
>>> 3306/tcp open mysql
>>> 20005/tcp open btx?
>>>
>>> Att
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS,
>>> GSM e E1;
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e
>>> SS7;
>>> Intercomunicadores para acesso remoto via rede IP.
>>> Conheça em www.Khomp.com <http://www.Khomp.com>.
>>> _______________________________________________
>>> ALIGERA -- Fabricante nacional de Gateways SIP-E1
>>> para R2, ISDN e SS7.
>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>> Channel Bank -- Appliance Asterisk - Acesse
>>> www.aligera.com.br <http://www.aligera.com.br>.
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um
>>> email em branco para
>>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>>>
>>>
>>>
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>> Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com <http://www.Khomp.com>.
>>> _______________________________________________
>>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>> Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br <http://www.aligera.com.br>.
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscribe em listas.asteriskbrasil.org <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP.
>> Conheça em www.Khomp.com <http://www.Khomp.com>.
>> _______________________________________________
>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para
>> R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank -- Appliance Asterisk - Acesse
>> www.aligera.com.br <http://www.aligera.com.br>.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email
>> em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>>
>>
>>
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça emwww.Khomp.com <http://www.Khomp.com>.
>> _______________________________________________
>> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank -- Appliance Asterisk - Acessewww.aligera.com.br <http://www.aligera.com.br>.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco paraasteriskbrasil-unsubscribe em listas.asteriskbrasil.org <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com <http://www.Khomp.com>.
> _______________________________________________
> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br
> <http://www.aligera.com.br>.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em
> branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130711/374f6cc7/attachment-0001.htm
Mais detalhes sobre a lista de discussão AsteriskBrasil