[uylug-varios] Experiencia con CERT.uy
Andres
forolinux at adinet.com.uy
Wed Jan 31 05:06:45 PST 2018
precisamente ayer revisando el log de secure encuentro un intento desde
otro IP de anteldata : 167.61.104.101
El nmap indicaba puertos 22, 23!!, 80, 8000,8001,8002 abiertos, 8888
filtrado, en el 80 te aparece un login/password y camera(1~16)
aparentemente de algun sistema DVR de 16 canales, por lo del puerto 23
me suena a que es eso, asi que si ya les estan entrando a esos sistemas
para hacer ssh a otros destinos esta complicado el tema, el 23 lo usan
esos equipos para actualizar firmware y entrar al modo service en alguno
que probé, quizas este directamente a la internet incluso con el usuario
y pass del adsl por pppoe, fueron pocos intentos y ni llegue a reportar
a cert.uy como hice la otra vez gracias a la recomendacion que dieron en
el foro, de todas formas lo raro es que unas horas despues no respondia
al nmap ni ping pero si seguia respondiendo en el 80 con el login/pass y
camera(1~16), en este momento sigue respondiendo en el 80 pero no en
nmap, probe con P0, sT, sS.
En la url muestra \mobile.html, posiblemente la interfaz de login para
teléfonos moviles.
El filtrado del ssh segun origen del IP como habian comentado hace unos
meses, si esto prolifera, ya deja de ser un elemento más en la cadena
de seguridad, de todas formas siempre es conveniente no permitir login
a root y/o utilizar las tecnicas que habian comentado creo que Carlos
para la autenticación.
A proposito, la gente del cert la otra vez no me brindo ninguna info
del usuario al cual pertenecia ese IP, le envié copia del log, creo que
deberian brindarte alguna información para poder verificar si hicieron
su trabajo informandole al cliente del hackeo.
> Hola,
>
> Siguiendo el ejemplo de Crisitian Menghi, encontré un problema de
> seguridad en el router F660 y lo informé a cert.uy. Me contestaron, me
> preguntaron si había contactado a Antel y, como no lo había hecho (fui
> derecho a cert.uy), ellos sen encargaron de renviarlo y darle seguimiento.
>
> Me pidieron algo más de información durante el proceso, la brindé y
> ahora me avisaron que el tema fue resuelto. Y lo confirmé.
>
> Eso nada más, les recomiendo contactarlos si descubren algún problema de
> seguridad en la red (hace poco habían comentado sobre un servidor
> comprometido).
>
> Para los curiosos, el problema era que el gestor de UPNP contestaba por
> internet en un puerto dinámico. No permitía hacer nada especial con los
> mecanismos comunes, pero era bastante peligroso en caso de que hubiese
> alguna falla en la implementación.
>
> Eduardo.
>
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>
More information about the Uylug-varios
mailing list