Notificação CERT.br - IP público efetuando vunerabilidades em software
Olá pessoal.
Gostaria de um auxilio, ja busquei aqui no forum e vasculhei dentro do MK mas sinceramente não sei onde encontrar.
Bem... hoje recebi uma notificação da CERT.br que um IP Válido estava "efetuando varreduras pela vulnerabilidade remota do software RealVNC (5900/TCP)" nos informando horário e IP, atualmente meu sistema de relatórios (Mysarg/SARG) esta fora do ar, nos clientes utilizo o IP Interno Fixo e o IP Válido é Dinamico, como atualmente o meu controle é somente pelo meu servidor (MK) gostaria de identificar este IP Válido se vinculou a qual IP Interno Fixo... em firewall>connections não consigo esta informação.
# todos os horarios estao em GMT.
Dec 09 18:50:23.420432 187.48.XXX.XX.1572 > xxx.xxx.xxx.66.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows 2000 SP4) 2842338058:2842338058(0) win 65535 <mss 1360,nop,nop,sackOK> (DF) (ttl 119, id 38174, len 48)
Dec 09 18:50:24.870814 187.48.XXX.XX.1577 > xxx.xxx.xxx.67.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows 2000 SP4) 3328741:3328741(0) win 65535 <mss 1360,nop,nop,sackOK> (DF) (ttl 119, id 38216, len 48)
Dec 09 18:50:26.586836 187.48.XXX.XX.1580 > xxx.xxx.xxx.68.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows 2000 SP4) 748310453:748310453(0) win 65535 <mss 1360,nop,nop,sackOK> (DF) (ttl 119, id 38362, len 48)
Dec 09 18:50:27.000016 187.48.XXX.XX.1582 > xxx.xxx.xxx.69.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows 2000 SP4) 1638714322:1638714322(0) win 65535 <mss 1360,nop,nop,sackOK> (DF) (ttl 119, id 38367, len 48)
Dec 09 18:50:27.903823 187.48.XXX.XX.1583 > xxx.xxx.xxx.70.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows 2000 SP4) 3065811441:3065811441(0) win 65535 <mss 1360,nop,nop,sackOK> (DF) (ttl 119, id 38409, len 48) etc.......
Grato,
Anderson
Re: Notificação CERT.br - IP Válido efetuando vunerabilidades em software
Se no processo de varedura ele tentar se conectar à essa porta use um filtro no ok com a opção log. Usando o log do MK será necessário sempre estar conferindo.
Re: Notificação CERT.br - IP Válido efetuando vunerabilidades em software
Citação:
Postado originalmente por
bjaraujo
Se no processo de varedura ele tentar se conectar à essa porta use um filtro no ok com a opção log. Usando o log do MK será necessário sempre estar conferindo.
Bom dia,
No log somente informa o IP Interno Fixo da minha rede, e no Firewall>Connections> somente informa o IP Válido...
Não encontro onde se vinculam ambos.
Anderson
Re: Notificação CERT.br - IP Válido efetuando vunerabilidades em software
cria uma regra forward, com especifica a devida porta e coloca no action log.
ai quem gerar trafego nessa porta, ficara registrado no address list.
ai vc vai monitorando e vendo qtos clientes estao fazendo isso.
Re: Notificação CERT.br - IP Válido efetuando vunerabilidades em software
Citação:
Postado originalmente por
UsadosMAC
Bom dia,
No log somente informa o IP Interno Fixo da minha rede, e no Firewall>Connections> somente informa o IP Válido...
Não encontro onde se vinculam ambos.
Anderson
Em ip address você verifica a qual gateway o cliente está conectado e apartir daí rastrear.
Algo provisório seria você bloquear tal porta e esperar uma reclamação.
Re: Notificação CERT.br - IP Válido efetuando vunerabilidades em software
Citação:
Postado originalmente por
mascaraapj
cria uma regra forward, com especifica a devida porta e coloca no action log.
ai quem gerar trafego nessa porta, ficara registrado no address list.
ai vc vai monitorando e vendo qtos clientes estao fazendo isso.
É uma boa sugestão, vou tentar fazer isso, grato.
Citação:
Postado originalmente por
bjaraujo
Em ip address você verifica a qual gateway o cliente está conectado e apartir daí rastrear.
Algo provisório seria você bloquear tal porta e esperar uma reclamação.
A questão é que tenho provedores e empresas em minha rede, sei que utilizam esta porta/serviço....
Obs: consegui localizar o IP do responsavel (é provedor)... estavamos perdido pois alteramos o bloco do cliente anterior, mas ainda fica a dúvida de como rastrear ambos.
Anderson
Re: Notificação CERT.br - IP Válido efetuando vunerabilidades em software