RNP - Rede Nacional de Ensino e Pesquisa

 

Sobre a RNP | Parcerias | Contato

 

A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos

 

RNP > Serviços > Segurança em redes > Alertas do CAIS

Segurança de redes 
 

Internet Security Systems Security Alert

Trinity v3 Distributed Denial of Service

[Internet Security Systems Security Alert, 05.09.2000, revisão 01]


O CAIS pretende alertá-los sobre a mais recente ferramenta para DDoS disponível, trata-se do Trinity v3 Distributed Denial of Service.

Para maiores informações sobre ataques DDoS, Distributed Denial of Service, recomendamos a leitura do artigo "Tudo que você precisa saber sobre os Ataques DDoS", publicado pelo CAIS em março de 2000, na revista eletronica News Generation, disponivel em:

http://www.rnp.br/newsgen/0003/ddos.html

A nova ferramenta, Trinity, é uma variante mais poderosa daquelas usadas nos ataques do início do ano e que vitimaram sites como o Yahoo, EBay, Amazon, UOL, etc.

A versão do Trinity analisada e que serviu de base para o alerta divulgado recentemente pelo X-Force da ISS, em anexo, funciona controlado via IRC, instalado em máquinas Linux, atraves do comprometimento do arquivo /usr/lib/idle.so. Numa máquina infectada, este arquivo quando executado, é responsável por fazer a conexão com um servidor IRC específico na porta 6667, entrando num determinado canal deste servidor, onde ficará a espera de comandos. Os comandos enviados no canal de IRC em questão podem ser processados por apenas um dos agentes Trinity conectados ao canal, ou ainda por todos. Assim, com várias máquinas comprometidas atuando como agentes para DoS, o atacante pode controlar o ataque DDoS através de comandos específicos enviados atraves do canal de IRC.

Outro arquivo comprometido pela ferramenta é o /var/spool/uucp/uucico, que atua como um backdoor ativo na porta TCP 33270. Quando o atacante acessa a máquina comprometida nesta porta, atraves de uma dada senha, é possível obter shell com privilégios de root.

Diante deste quadro, o CAIS recomenda que verifiquem conexões para a porta 33270 em suas máquinas, monitorem tentativas de acesso a esta porta em seus logs e reconsiderem a disponibilização de IRCs públicos em seus servidores. Em tempo, o CAIS ressalta novamente a necessidade de se manter sistemas operacionais e aplicativos atualizados com as últimas versões e patches mais recentes.

O CAIS os manterá informados sobre quaisquer dados adicionais divulgados sobre este assunto.



Centro de Atendimento a Incidentes de Segurança

Referências:

Internet Security Systems Security Alert

ISSA-200009.txt download do arquivo

formato: text/xml


Listas de alertas publicados:
2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

Consulta em alertas

 

Assinatura dos Alertas do CAIS

Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas.

Formulário de assinatura dos Alertas do CAIS

Formulário de assinatura

Notícias RNP

RNP na mídia

Sala de imprensa

Publicações

Documentos

RSS da RNP

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais

11.10.2012

Guia RNP

Rede Nacional de Ensino e Pesquisa

Rua Lauro Müller, 116 sala 1103

Botafogo - Rio de Janeiro - RJ

22290-906

tel: 55 21 2102-9660

fax: 55 21 2279-3731


Rede Nacional de Ensino e Pesquisa

Prédio da Embrapa/Unicamp Av. André Tosello, 209

Cidade Universitária Zeferino Vaz - Campinas - SP

13083-886

tel: 55 19 3787-3300

fax: 55 19 3787-3301


Rede Nacional de Ensino e Pesquisa

SAS, quadra 5, lote 6, bloco H, 7° andar Edifício IBICT

Brasília - DF

70070-914

tel: 55 61 3243-4300

fax: 55 61 3226-5303