Notificação CERT.br - IP público efetuando vunerabilidades em software

[UsadosMAC]

Olá pessoal.

Gostaria de um auxilio, ja busquei aqui no forum e vasculhei dentro do MK mas sinceramente não sei onde encontrar.

Bem... hoje recebi uma notificação da CERT.br que um IP Válido estava "efetuando varreduras pela vulnerabilidade remota do software RealVNC (5900/TCP)" nos informando horário e IP, atualmente meu sistema de relatórios (Mysarg/SARG) esta fora do ar, nos clientes utilizo o IP Interno Fixo e o IP Válido é Dinamico, como atualmente o meu controle é somente pelo meu servidor (MK) gostaria de identificar este IP Válido se vinculou a qual IP Interno Fixo... em firewall>connections não consigo esta informação.

# todos os horarios estao em GMT.
Dec 09 18:50:23.420432 187.48.XXX.XX.1572 > xxx.xxx.xxx.66.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows 2000 SP4) 2842338058:2842338058(0) win 65535 <mss 1360,nop,nop,sackOK> (DF) (ttl 119, id 38174, len 48)
Dec 09 18:50:24.870814 187.48.XXX.XX.1577 > xxx.xxx.xxx.67.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows 2000 SP4) 3328741:3328741(0) win 65535 <mss 1360,nop,nop,sackOK> (DF) (ttl 119, id 38216, len 48)
Dec 09 18:50:26.586836 187.48.XXX.XX.1580 > xxx.xxx.xxx.68.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows 2000 SP4) 748310453:748310453(0) win 65535 <mss 1360,nop,nop,sackOK> (DF) (ttl 119, id 38362, len 48)
Dec 09 18:50:27.000016 187.48.XXX.XX.1582 > xxx.xxx.xxx.69.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows 2000 SP4) 1638714322:1638714322(0) win 65535 <mss 1360,nop,nop,sackOK> (DF) (ttl 119, id 38367, len 48)
Dec 09 18:50:27.903823 187.48.XXX.XX.1583 > xxx.xxx.xxx.70.5900: S [tcp sum ok] (src OS: Windows XP SP1, Windows 2000 SP4) 3065811441:3065811441(0) win 65535 <mss 1360,nop,nop,sackOK> (DF) (ttl 119, id 38409, len 48) etc.......


Grato,
Anderson

[bjaraujo]

Se no processo de varedura ele tentar se conectar à essa porta use um filtro no ok com a opção log. Usando o log do MK será necessário sempre estar conferindo.

[UsadosMAC]

Se no processo de varedura ele tentar se conectar à essa porta use um filtro no ok com a opção log. Usando o log do MK será necessário sempre estar conferindo.

Bom dia,

No log somente informa o IP Interno Fixo da minha rede, e no Firewall>Connections> somente informa o IP Válido...

Não encontro onde se vinculam ambos.


Anderson

[AndrioPJ]

cria uma regra forward, com especifica a devida porta e coloca no action log.
ai quem gerar trafego nessa porta, ficara registrado no address list.
ai vc vai monitorando e vendo qtos clientes estao fazendo isso.

[bjaraujo]

Bom dia,

No log somente informa o IP Interno Fixo da minha rede, e no Firewall>Connections> somente informa o IP Válido...

Não encontro onde se vinculam ambos.


Anderson

Em ip address você verifica a qual gateway o cliente está conectado e apartir daí rastrear.
Algo provisório seria você bloquear tal porta e esperar uma reclamação.

[UsadosMAC]

cria uma regra forward, com especifica a devida porta e coloca no action log.
ai quem gerar trafego nessa porta, ficara registrado no address list.
ai vc vai monitorando e vendo qtos clientes estao fazendo isso.

É uma boa sugestão, vou tentar fazer isso, grato.

Em ip address você verifica a qual gateway o cliente está conectado e apartir daí rastrear.
Algo provisório seria você bloquear tal porta e esperar uma reclamação.

A questão é que tenho provedores e empresas em minha rede, sei que utilizam esta porta/serviço....

Obs: consegui localizar o IP do responsavel (é provedor)... estavamos perdido pois alteramos o bloco do cliente anterior, mas ainda fica a dúvida de como rastrear ambos.


Anderson

[RobsonCostta]

...