+ Responder ao Tópico



  1. #1

    Cool Notificação CERT.br - IP público efetuando vunerabilidades em software

    Olá pessoal.

    Gostaria de um auxilio, ja busquei aqui no forum e vasculhei dentro do MK mas sinceramente não sei onde encontrar.

    Bem... hoje recebi uma notificação da CERT.br que um IP Válido estava "efetuando varreduras pela vulnerabilidade remota do software RealVNC (5900/TCP)" nos informando horário e IP, atualmente meu sistema de relatórios (Mysarg/SARG) esta fora do ar, nos clientes utilizo o IP Interno Fixo e o IP Válido é Dinamico, como atualmente o meu controle é somente pelo meu servidor (MK) gostaria de identificar este IP Válido se vinculou a qual IP Interno Fixo... em firewall>connections não consigo esta informação.

    # todos os horarios estao em GMT.
    Dec 09 18:50:23.420432 187.48.XXX.XX.1572 > xxx.xxx.xxx.66.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows 2000 SP4) 2842338058:2842338058(0) win 65535 <mss 1360,nop,nop,sackOK> (DF) (ttl 119, id 38174, len 48)
    Dec 09 18:50:24.870814 187.48.
    XXX.XX.1577 > xxx.xxx.xxx.67.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows 2000 SP4) 3328741:3328741(0) win 65535 <mss 1360,nop,nop,sackOK> (DF) (ttl 119, id 38216, len 48)
    Dec 09 18:50:26.586836 187.48.
    XXX.XX.1580 > xxx.xxx.xxx.68.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows 2000 SP4) 748310453:748310453(0) win 65535 <mss 1360,nop,nop,sackOK> (DF) (ttl 119, id 38362, len 48)
    Dec 09 18:50:27.000016 187.48.
    XXX.XX.1582 > xxx.xxx.xxx.69.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows 2000 SP4) 1638714322:1638714322(0) win 65535 <mss 1360,nop,nop,sackOK> (DF) (ttl 119, id 38367, len 48)
    Dec 09 18:50:27.903823 187.48.
    XXX.XX.1583 > xxx.xxx.xxx.70.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows 2000 SP4) 3065811441:3065811441(0) win 65535 <mss 1360,nop,nop,sackOK> (DF) (ttl 119, id 38409, len 48) etc.......


    Grato,
    Anderson

  2. #2

    Padrão Re: Notificação CERT.br - IP Válido efetuando vunerabilidades em software

    Se no processo de varedura ele tentar se conectar à essa porta use um filtro no ok com a opção log. Usando o log do MK será necessário sempre estar conferindo.



  3. #3

    Padrão Re: Notificação CERT.br - IP Válido efetuando vunerabilidades em software

    Citação Postado originalmente por bjaraujo Ver Post
    Se no processo de varedura ele tentar se conectar à essa porta use um filtro no ok com a opção log. Usando o log do MK será necessário sempre estar conferindo.
    Bom dia,

    No log somente informa o IP Interno Fixo da minha rede, e no Firewall>Connections> somente informa o IP Válido...

    Não encontro onde se vinculam ambos.


    Anderson

  4. #4

    Padrão Re: Notificação CERT.br - IP Válido efetuando vunerabilidades em software

    cria uma regra forward, com especifica a devida porta e coloca no action log.
    ai quem gerar trafego nessa porta, ficara registrado no address list.
    ai vc vai monitorando e vendo qtos clientes estao fazendo isso.



  5. #5

    Padrão Re: Notificação CERT.br - IP Válido efetuando vunerabilidades em software

    Citação Postado originalmente por UsadosMAC Ver Post
    Bom dia,

    No log somente informa o IP Interno Fixo da minha rede, e no Firewall>Connections> somente informa o IP Válido...

    Não encontro onde se vinculam ambos.


    Anderson
    Em ip address você verifica a qual gateway o cliente está conectado e apartir daí rastrear.
    Algo provisório seria você bloquear tal porta e esperar uma reclamação.

  6. #6

    Padrão Re: Notificação CERT.br - IP Válido efetuando vunerabilidades em software

    Citação Postado originalmente por mascaraapj Ver Post
    cria uma regra forward, com especifica a devida porta e coloca no action log.
    ai quem gerar trafego nessa porta, ficara registrado no address list.
    ai vc vai monitorando e vendo qtos clientes estao fazendo isso.
    É uma boa sugestão, vou tentar fazer isso, grato.

    Citação Postado originalmente por bjaraujo Ver Post
    Em ip address você verifica a qual gateway o cliente está conectado e apartir daí rastrear.
    Algo provisório seria você bloquear tal porta e esperar uma reclamação.
    A questão é que tenho provedores e empresas em minha rede, sei que utilizam esta porta/serviço....

    Obs: consegui localizar o IP do responsavel (é provedor)... estavamos perdido pois alteramos o bloco do cliente anterior, mas ainda fica a dúvida de como rastrear ambos.


    Anderson



  7. #7

    Padrão Re: Notificação CERT.br - IP Válido efetuando vunerabilidades em software

    ...