Storm Botnet no Linux?

5

Temos um cliente que está executando um sistema de CCTV de escritório que ele acessa de casa. O sistema é executado em uma caixa Linux incorporada atrás de um firewall NAT, encaminhando para as portas 8080 para acesso de navegador da Web e 37777 para acesso de software proprietário.

Tudo isso parou de funcionar e uma pequena investigação mostra que os pacotes TCP SYN enviados para seu endereço IP (em qualquer porta) estão sendo terminados imediatamente com pacotes RST contendo a mensagem "Vá embora, não estamos em casa". Pesquisando esta mensagem, obtém muita coisa sobre o Storm Botnet, que aparentemente faz exatamente isso.

Então a questão é: como é que a Storm Botnet pode sequestrar uma caixa Linux embutida? Ou estou sentindo falta de algo completamente diferente?

    
por MikeJ-UK 09.06.2009 / 18:28

2 respostas

3

Este firewall NAT - qual é o hardware e o software? Não é necessariamente a caixa do Linux que teria sido sequestrada.

    
por 09.06.2009 / 18:35
0

Eu já respondi isso no caso de alguém ter a infelicidade de seguir esse caminho no futuro.

Eu perguntei se talvez eu estivesse perdendo algo completamente diferente. Acontece que eu estava. O problema estava em nosso próprio roteador e tinha três sintomas aparentes.

  • Bloqueou todo o tráfego ICMP de alcançar a internet pública
  • Recusou ativamente todas as conexões TCP com qualquer endereço na internet pública nos portos não no intervalo [20, 21, 25, 80, 110] com uma mensagem sarcástica.
  • Reinicializado quando foi feita qualquer tentativa de ver o log do sistema.

Embora isso pareça uma exploração de firmware, ela não é consistente com os sintomas de psyb0t.

O roteador em questão era um (bastante antigo) 2Wire Intelligent Gateway 1800 e foi substituído!

    
por 02.07.2009 / 17:51