Este firewall NAT - qual é o hardware e o software? Não é necessariamente a caixa do Linux que teria sido sequestrada.
Temos um cliente que está executando um sistema de CCTV de escritório que ele acessa de casa. O sistema é executado em uma caixa Linux incorporada atrás de um firewall NAT, encaminhando para as portas 8080 para acesso de navegador da Web e 37777 para acesso de software proprietário.
Tudo isso parou de funcionar e uma pequena investigação mostra que os pacotes TCP SYN enviados para seu endereço IP (em qualquer porta) estão sendo terminados imediatamente com pacotes RST contendo a mensagem "Vá embora, não estamos em casa". Pesquisando esta mensagem, obtém muita coisa sobre o Storm Botnet, que aparentemente faz exatamente isso.
Então a questão é: como é que a Storm Botnet pode sequestrar uma caixa Linux embutida? Ou estou sentindo falta de algo completamente diferente?
Este firewall NAT - qual é o hardware e o software? Não é necessariamente a caixa do Linux que teria sido sequestrada.
Eu já respondi isso no caso de alguém ter a infelicidade de seguir esse caminho no futuro.
Eu perguntei se talvez eu estivesse perdendo algo completamente diferente. Acontece que eu estava. O problema estava em nosso próprio roteador e tinha três sintomas aparentes.
Embora isso pareça uma exploração de firmware, ela não é consistente com os sintomas de psyb0t.
O roteador em questão era um (bastante antigo) 2Wire Intelligent Gateway 1800 e foi substituído!