[SECURITY-L] CAIS-Alerta: Aumento de atividade na porta 901/tcp
Daniela Regina Barbetti Silva
daniela em ccuec.unicamp.br
Qua Jun 4 15:25:57 -03 2003
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Aumento de atividade na porta 901/tcp
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Wed, 4 Jun 2003 15:02:05 -0300 (BRT)
-----BEGIN PGP SIGNED MESSAGE-----
Prezados,
Nos ultimos dias, o CAIS tem identificado um aumento consideravel de
atividade de reconhecimento na porta 901/tcp. O registro e analise de tal
atividade foi possivel gracas aos mecanismos de monitoracao de acesso a
portas mantido pelo CAIS.
Diante desta constatacao, recomenda-se fortemente a analise deste trafego.
Neste contexto, e´ importante considerar:
(i) quais os servicos formalmente registrados nesta porta e;
(ii) verificar se existem virus ou backdoors associados a eles.
Apos um levantamento feito pelo CAIS, os servicos usualmente associados a
esta porta sao:
. realsecure-console (901/tcp)
. smpnameres (901/udp/tcp)
. samba swat (901/tcp)
As fontes recomendadas para verificacao da existencia de virus e backdoors
sao:
. http://www.seifried.org/security/ports/
. http://www.portsdb.org/
O CAIS nao identificou a existencia de vulnerabilidades associadas aos
servicos acima citados e a atividade atual parece estar relacionada com a
procura por maquinas Linux com o servico Swat (Samba Web Admin Tool)
habilitado e acessivel.
No entanto, e´ importante ressaltar que a presenca do servico Swat e´ um
indicativo de que a maquina tambem possui o servico Samba, e portanto,
constitui-se em uma forma alternativa de identificar sua presenca.
Sendo que sao amplamente conhecidas as vulnerabilidades de seguranca
associadas a versoes de Samba anteriores a 2.2.8a, o CAIS recomenda
fortemente aos administradores que fiquem atentos a atividade analoga `a
reportada neste alerta, nas redes sob sua responsabilidade, e solicita que
ela seja oportunamente reportada ao CAIS para analise e cruzamento de
informacoes.
Maiores informacoes sobre as ultimas vulnerabilidades do Samba e sobre o
servico Swat podem ser obtidas nas seguintes urls:
Samba:
. http://www.cve.mitre.org
CAN-2003-0085
CAN-2003-0196
CAN-2003-0201
. http://www.rnp.br/cais/alertas/2003/DDI-07042003.html
. http://www.samba.org/samba/samba.html
Swat:
. http://www.samba.org/samba/GUI/
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA / RNP #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel em: http://www.cais.rnp.br/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQCVAwUBPt40M+kli63F4U8VAQFmZgP9E3YzBZmksp8SEMv3KXuGg2rg3oMfdnNO
RGbhzA1hqZAF+3IgC96o6QwQUrD/oV1nJZuaje+OF/4teWNdx5GACSMUTGNTyiTK
ZexL5HSAsvUGUT+eAWFXjOB7Na1TwTWoCO2lfHu/BKqfd0waF0PflbnVRPj0e8nB
TFs8CP5PHQs=
=XHvW
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L