[AsteriskBrasil] porta 20005 btx
Eng Eder de Souza
eder.souza em bsd.com.br
Quinta Julho 11 13:45:56 BRT 2013
Quase certo que invadiram pelo Asterisk e estas portas não possuem muita
relação com o ocorrido !
Sua porta UDP 5060 está aberta para a internet ??
nmap -sU 127.0.0.1
Se sim é bem provável que usaram brute force + dicionário de senhas em seu
asterisk, encontraram um ramal com a senha fraca conectaram e fizeram
chamadas !
Outro ponto importante é tomar cuidado em seu SIP.conf com alguns
parâmetros de segurança, recomendo alguns:
allowguest=no
alwaysauthreject=yes
Em 11 de julho de 2013 13:19, Eduardo Pereira <edupbar em gmail.com> escreveu:
>
> Sim, foram realizadas chamadas, a GVT chegou a bloquear o E1 por ter
> identificado chamadas internacionais na madrugada.
>
> Verifiquei que quem invadiu utilizou uma falha no vtigercrm. Por uma url
> de um dos modulos do vtiger conseguiu ler arquivos das pastas etc e
> asterisk.
>
> Em 11-07-2013 13:07, Eng Eder de Souza escreveu:
>
> Acho estranho heim todos os serviços estão sendo executados pelo usuário
> asterisk, parecem ser legitimo, mas é melhor não arriscar ...
>
> O processo que roda na porta 729 é o rpc.statd com o PID 1819
>
> O outro processo da porta 20005 é o dialerd PID 2325
>
> Repara que tem conexão estabelecida da porta 20005!
>
> Se não usa estes serviços mate eles com kill -9 1819 e kill -9 2325
>
> Sinceramente não acho que teve invasão por estas portas ...
>
> Os IPs que falou não estão fazendo nada de mais, só estão logados na porta
> 443!
>
> Elucide melhor como foi esta invasão ?
>
> Alguém fez chamadas pelo seu Asterisk ??
>
>
>
>
> Em 11 de julho de 2013 12:42, Eduardo Pereira <edupbar em gmail.com>escreveu:
>
>> O resultado:
>>
>> rpc.statd 1819 rpcuser 7u IPv4 5636 TCP *:netviewdm1
>> (LISTEN)
>>
>> Estes ips 192.168.1.10 e 192.168.1.4, sao PAs logadas na interface
>> elastix callcenter com softfone 3cx.
>> COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
>> dialerd 2320 asterisk 3u IPv4 17250 TCP
>> localhost:34127->localhost:5038 (ESTABLISHED)
>> dialerd 2321 asterisk 7u IPv4 17249 TCP
>> localhost:34126->localhost:5038(
>> ESTABLISHED)
>>
>> dialerd 2325 asterisk 9u IPv4 7123 TCP *:20005
>> (LISTEN)
>>
>> dialerd 2325 asterisk 10u IPv4 17247 TCP
>> localhost:34125->localhost:5038
>> (ESTABLISHED)
>>
>> dialerd 2325 asterisk 11u IPv4 585896 TCP
>> localhost:20005->localhost:34557
>> (ESTABLISHED)
>>
>> dialerd 2325 asterisk 12u IPv4 585121 TCP
>> localhost:20005->localhost:41387 (ESTABLISHED)
>> httpd 27466 asterisk 14u IPv4 585108 TCP 192.168.1.253:
>> https->192.168.1.10:49180 (ESTABLISHED)
>> httpd 27466 asterisk 19u IPv4 585120 TCP
>> localhost:41387->localhost:20005 (ESTABLISHED)
>> httpd 27467 asterisk 3u IPv4 6802 TCP *:http (LISTEN)
>> httpd 27467 asterisk 4u IPv4 6808 TCP *:https
>> (LISTEN)
>> httpd 27491 asterisk 3u IPv4 6802 TCP *:http (LISTEN)
>> httpd 27491 asterisk 4u IPv4 6808 TCP *:https
>> (LISTEN)
>> httpd 28226 asterisk 3u IPv4 6802 TCP *:http (LISTEN)
>> httpd 28226 asterisk 4u IPv4 6808 TCP *:https
>> (LISTEN)
>> httpd 28226 asterisk 14u IPv4 585883 TCP 192.168.1.253:
>> https->192.168.1.4:50737 (ESTABLISHED)
>> httpd 28226 asterisk 19u IPv4 585895 TCP
>> localhost:34557->localhost:20005 (ESTABLISHED)
>>
>>
>> Em 11-07-2013 12:29, Eng Eder de Souza escreveu:
>>
>> Em tempo tbm dá pra fazer assim :
>>
>> lsof -t -i:20005
>> lsof -t -i:729
>>
>>
>> Em 11 de julho de 2013 12:23, Eng Eder de Souza <eder.souza em bsd.com.br>escreveu:
>>
>>> Claro que sim !
>>>
>>>
>>> Em solo Linux como root execute:
>>>
>>> lsof -i
>>>
>>> Com isso você vai ter o nome da aplicação que está rodando, o PID e a
>>> porta por número ou nome do serviço!
>>>
>>>
>>>
>>>
>>> Em 11 de julho de 2013 12:06, Eduardo Pereira <edupbar em gmail.com>escreveu:
>>>
>>> Eder, bom dia!
>>>>
>>>> não tenho serviços de vídeo...
>>>> tentai encontra os processos que estão abrindo estas portas porem não
>>>> encontrei nenhum serviço estranho.
>>>> Existe alguma forma de descobrir o processo especifico desta porta?
>>>>
>>>>
>>>> Em 11-07-2013 11:58, Eng Eder de Souza escreveu:
>>>>
>>>> Oi Eduardo !
>>>>
>>>> Se você não tem nenhum serviço de videotexto rodando neste servidor é
>>>> motivo para ficar preocupado, veja alguns serviços que rodam nesta porta :
>>>>
>>>> 20005 tcp trojan MoSucker trojan *SG* 20005 tcp trojan [trojan]
>>>> MoSucker *Trojans* 20005 tcp,udp openwebnet OpenWebNet protocol for
>>>> electric network *IANA* 20005 tcp btx xcept4 (Interacts with German
>>>> Telekom's CEPT videotext service) *SANS* 20005 tcp Mosucker [trojan]
>>>> Mosucker *SANS* 20005 tcp btx xcept4 (Interacts with German Telekom's
>>>> CEPT videotext service) *Nmap*
>>>>
>>>>
>>>> A porta 729 também é perigosa, permite descobrir remotamente quais
>>>> serviços rodam em seu servidor !
>>>>
>>>> Ambas podem ser atacadas via DoS, possuem exploits no submundo !
>>>>
>>>> Feche estas portas em seu firewall imediatamente!
>>>>
>>>> Veja quais serviços estão rodando desnecessariamente em mate todos...
>>>>
>>>> Fica complicado saber sem mais detalhes da invasão(logs), se estas
>>>> foram as portas de entrada !
>>>>
>>>>
>>>>
>>>>
>>>> Em 11 de julho de 2013 11:30, Eduardo Pereira <edupbar em gmail.com>escreveu:
>>>>
>>>>> Caros, bom dia!
>>>>>
>>>>> Tive um asterisk invadido e após isso percebi duas portas abertas
>>>>> chamadas netviewdm1 e btx!.
>>>>> Algum conhece estas portas?
>>>>> Fruto do ataque??
>>>>>
>>>>> [root em pbx ~]# nmap 127.0.0.1
>>>>>
>>>>> Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2013-07-11
>>>>> 11:28 BRT
>>>>> Interesting ports on localhost (127.0.0.1):
>>>>> Not shown: 1674 closed ports
>>>>> PORT STATE SERVICE
>>>>> 80/tcp open http
>>>>> 111/tcp open rpcbind
>>>>> 443/tcp open https
>>>>> 729/tcp open netviewdm1
>>>>> 3306/tcp open mysql
>>>>> 20005/tcp open btx?
>>>>>
>>>>> Att
>>>>> _______________________________________________
>>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>>>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>>>>> www.Khomp.com.
>>>>> _______________________________________________
>>>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>>>>> _______________________________________________
>>>>> Para remover seu email desta lista, basta enviar um email em branco
>>>>> para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>>>
>>>>
>>>>
>>>>
>>>> _______________________________________________
>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>>> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
>>>> _______________________________________________
>>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>>>> _______________________________________________
>>>> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>>
>>>>
>>>>
>>>> _______________________________________________
>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>>>> www.Khomp.com.
>>>> _______________________________________________
>>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>>>> _______________________________________________
>>>> Para remover seu email desta lista, basta enviar um email em branco
>>>> para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>>
>>>
>>>
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
>> _______________________________________________
>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>> www.Khomp.com.
>> _______________________________________________
>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130711/1e3a4946/attachment-0001.htm
Mais detalhes sobre a lista de discussão AsteriskBrasil