> Jos� Colzani wrote: > > > Ola pessoal....... > > > > Converti essa semana mais um empresa para o mundo linux. Removi um > > win2000 server e coloquei samba ! > > Parabens! :) c00l mas lembre-se o samba simula um win NT. (mas adiante ficar� mas claro). > > > Porem como la e uma empresa de assistencia tecnica em informatica, > > alguem ligou um micro de cliente na rede que infectou varias maquiona > > da rede, creio que todas. O sintoma delas e aquela menssagem que a > > maquina vai desligar depois de tantos segundos....Pela descricao, > > creio ser o sasser ou o korgo, porem nao e nenhum deles. Ja rodei o > > norton 2004 atualizado nas estacoes, mcafee atualizado, scan on line > > da trend micro e nao acha nada nas maquinas !!!! > > > > O problema e que esse danado da deixando a ADSL deles lenta demais ! > > Para tudo ! Verifiquei no iptraf do linux que existem varios acessos a > > porta 445 da internet, entao eu bloquiei no firewall, oq ja aliviou > > muito o link, porem ainda nao ta 100%. > > Cara, muitos acessos na porta 445 ? Serah que seu mod_openssl tah bugado > ? Tenha certeza que estah tudo atualizado com seus devidos patches... > Em setembro de 2002 saiu um bug para openssl que deu trabalho para todos > os administradores que nao o atualizou. Pode ser que entraram na sua > rede e estao usando seu link para fazer DDoS, scannear outros lugares ou > qualquer outro tipo de 'action fo kiddies'. > > > Gostaria da opniao dos amigos administradores, para saber qual e a Sim tudo bem mas vale acrescentar a porta utilizada default do ssl eh a 443 https jah a 445 para maquinas win eh onde est� o RPC q a micro$oft criou para seguranca, vejam q hilario LSASS.dll (aew q o sasser e similares agem). Quanto as sa�das pela porta 445 eh pq como "todos" sabem o "objetivo maior" de um worm eh se proliferar e todos (worms) tem algum algoritmo especifico para se proliferar, no caso do SASSER e outros ele gera um ip aleatorio e tenta infectar e vai gerando e gerando ...tentando tentando...=). como o seu linux pelo q eu entendi eh o servdidor de internet das estacoes ele � o router default das estacoes oq nos permite chegar a seguinte conclusao se sua classe eh 192.168.0/24 e o sasser gerar um ip 200.145.5.8 por qual roteador ele ira passar ? qual trafego ele ira afogar ? agora imagine isso em larga escala (como vc disse todas estacoes infectas) deve ficar show de bola =). vc tomou a atitude certa travar a porta 445 mas ele tentara infectar maquinas de sua rede interna tambem ou seja vc conserta hj amanha tah infect. retire a maquina de rede conserte e v� conserta soh coloque-as em rede quando tiver certeza q tah tudo ok. para consertar jah q os ant-virus nao conseguiram tenta fazer assim (vai dar trabalho mas deve funfar): 1- baixe o spyBotSearch and Destroy e tente achar algo interessante no registro. 2- Pegue uma maquina zerada e exporte o registro dela logo e salve logo ap�s jogue o virus na maquina e exporte o registro novamente faca o cruzamento de infos e vc ter� as chaves certas para alterar..
> > praga, pois ja instalei o patch da micosoft, e mesmo assim nao > > adianta, ja baixei na symantec os fixssasser e fixkorgo porem tb nao > > acham nada. > > Bom, nao eh so o servidores Linux que precisam de atualizacao. As > estacoes Windows tambem (e como!), entao mantem sempre atualizado as > estacoes. Infelizmente (ou nao), nao tive esse problema entao nao posso > te falar como resolvi. > > Uma boa forma de proteger as maquinas Windows � nao usar o usuario > administrador sempre. E colocar permissoes nos diretorios ajuda tambem. > > Administrar eh assim, tem que estar o maximo possivel atento ;) > > > sem mais > --toledo /******************\ | Mr_w4r | | Slack User | | Victorockeiro | | Linux Admin | | irc.freenode.org | \******************/ espero ter ajudado qualquer coisa mail-me =D -- GUS-BR - Grupo de Usuarios Slackware - BR http://www.slackwarebrasil.org/ http://www.linuxmag.com.br/mailman/listinfo/slack-users
