Re: Sasser e iptables

To: debian-user-spanish@lists.debian.org
Subject: Re: Sasser e iptables
From: Marcelo Fernandez <fernandezm22@yahoo.com.ar>
Date: Mon, 10 May 2004 12:34:31 -0300
Message-id: <[🔎] 409FA107.3080501@yahoo.com.ar>
Reply-to: fernandezm22@yahoo.com.ar
In-reply-to: <[🔎] 200405101238.i4ACcDQn001429@kesalinux.dominio.kesa>
References: <[🔎] 200405101238.i4ACcDQn001429@kesalinux.dominio.kesa>

Copiado de hispasec:

----------------------------------------------------------------
Así funciona

Los ordenadores infectados por Sasser abren un servicio FTP en el
puerto TCP/5554 para permitir la descarga del ejecutable del gusano.
Para infectar a otros sistemas, el gusano realiza un barrido de
direcciones IP semialeatorio, intentando conectar con el puerto
TCP/445 de cada una de ellas (puerto por defecto donde se encuentra
el servicio LSSAS vulnerable).

El 25% de las direcciones IPs a las que se dirige pertenecen a la
misma clase A que la dirección IP del ordenador infectado, otro 25%
corresponderá a la misma clase B, mientras que el 50% restante
son calculadas completamente al azar.

Cada vez que consigue contactar con el puerto TCP/445 en alguna de
las IPs, envía código para explotar la vulnerabilidad LSASS, de forma
que si el sistema es vulnerable logra abrir un shell en el puerto
TCP/9996. Desde ese shell fuerza una conexión al puerto TCP/5554 del
ordenador infectado desde el que realizó el barrido, para descargar
por FTP el ejecutable del gusano. El nombre del archivo descargado
será [numero]_up.exe, donde [numero] equivale a una serie de dígitos
al azar, por ejemplo 23983_up.exe.

En el nuevo sistema el gusano se copia en la carpeta de Windows como
avserve.exe con un tamaño de 15.872 bytes, y añade la siguiente clave
en el registro de Windows para asegurarse su ejecución en cada inicio
de sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"avserve.exe"="%Windir%\avserve.exe"

El nuevo sistema infectado actuará entonces como otro punto de
distribución, iniciando un nuevo barrido de IPs en busca de otros
sistemas vulnerables a los que infectar.
--------------------------------------------------------------------

Por lo que tengo entendido, no deberías forwardear nada (ni desde afuera hacia adentro, ni desde adentro hacia afuera) con el puerto 445 y el puerto 5554. Luego, quitar el virus. :(

Saludos
Marcelo



Angel Vicente Perez escribió:

Hola a todos....

Tenemos en el trabajo, una red con mas de 50 PCs con W2000 y WXP, para salir
a internet, estoy usando un maquina con Debian e iptables, no todos tienen
salida a Inet.

El rollo este del Sasser, me tiene preocupado, porque es seguro que hay un
monton de maquinas sin el parche de marras, instalarlo en todas en poco
tiempo, va a ser bastante dificil.

La idea es si con la configuracion de iptables, puedo tener suficiente
proteccion hasta que instale los parches.

Si es asi, que configuracion habria que establecer

Saludos y gracias de antemano


--
Marcelo F. Fernández
Buenos Aires, Argentina
Analista de Sistemas - CCNA

Reply to:

Follow-Ups:
- Re: Sasser e iptables
  - From: Juan carloS <juanc@torroja.dmt.upm.es>
- RE: Sasser e iptables
  - From: "Angel Vicente Perez" <angel.vicente@knipping.es>

References:
- Sasser e iptables
  - From: "Angel Vicente Perez" <angel.vicente@knipping.es>

Prev by Date: [MailServer Notification] To External Sender: a virus was found a nd action taken.
Next by Date: Re: Es posible esto?
Previous by thread: Sasser e iptables
Next by thread: Re: Sasser e iptables
Index(es):
- Date
- Thread