RNP - Rede Nacional de Ensino e Pesquisa

 

Sobre a RNP | Parcerias | Contato

 

A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos

 

RNP > Serviços > Segurança em redes > Alertas do CAIS

Segurança de redes 
 

Alerta do CAIS ALR-04062003

Aumento de atividade na porta 901/tcp

[CAIS, 04.06.2003, revisão 01]


Nos últimos dias, o CAIS tem identificado um aumento considerável de atividade de reconhecimento na porta 901/tcp. O registro e análise de tal atividade foi possível graças aos mecanismos de monitoramento de acesso a portas mantido pelo CAIS.

Diante desta constatação, recomenda-se fortemente a análise deste tráfego. Neste contexto, é importante considerar:

  1. quais os serviços formalmente registrados nesta porta e;
  2. verificar se existem vírus ou backdoors associados a eles.

Após um levantamento feito pelo CAIS, os serviços usualmente associados a esta porta são:

realsecure-console (901/tcp)
smpnameres (901/udp/tcp)
samba swat (901/tcp)

As fontes recomendadas para verificação da existência de vírus e backdoors são:

http://www.seifried.org/security/ports/
http://www.portsdb.org/

O CAIS não identificou a existência de vulnerabilidades associadas aos serviços acima citados e a atividade atual parece estar relacionada com a procura por máquinas Linux com o serviço Swat (Samba Web Admin Tool) habilitado e acessível.

No entanto, é importante ressaltar que a presença do serviço Swat é um indicativo de que a máquina também possui o serviço Samba, e portanto, constitui-se em uma forma alternativa de identificar sua presença.

Sendo que são amplamente conhecidas as vulnerabilidades de segurança associadas a versões de Samba anteriores a 2.2.8a, o CAIS recomenda fortemente aos administradores que fiquem atentos a atividade análoga à reportada neste alerta, nas redes sob sua responsabilidade, e solicita que ela seja oportunamente reportada ao CAIS para análise e cruzamento de informações.

Maiores informações sobre as últimas vulnerabilidades do Samba e sobre o serviço Swat podem ser obtidas nas seguintes urls:

Samba:
http://www.cve.mitre.org
CAN-2003-0085
CAN-2003-0196
CAN-2003-0201

http://www.rnp.br/cais/alertas/2003/DDI-07042003.html

http://www.samba.org/samba/samba.html

Swat:
http://www.samba.org/samba/GUI/



Centro de Atendimento a Incidentes de Segurança

Listas de alertas publicados:
2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

Consulta em alertas

 

Assinatura dos Alertas do CAIS

Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas.

Formulário de assinatura dos Alertas do CAIS

Formulário de assinatura

Notícias RNP

RNP na mídia

Sala de imprensa

Publicações

Documentos

RSS da RNP

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais

11.10.2012

Guia RNP

Rede Nacional de Ensino e Pesquisa

Rua Lauro Müller, 116 sala 1103

Botafogo - Rio de Janeiro - RJ

22290-906

tel: 55 21 2102-9660

fax: 55 21 2279-3731


Rede Nacional de Ensino e Pesquisa

Prédio da Embrapa/Unicamp Av. André Tosello, 209

Cidade Universitária Zeferino Vaz - Campinas - SP

13083-886

tel: 55 19 3787-3300

fax: 55 19 3787-3301


Rede Nacional de Ensino e Pesquisa

SAS, quadra 5, lote 6, bloco H, 7° andar Edifício IBICT

Brasília - DF

70070-914

tel: 55 61 3243-4300

fax: 55 61 3226-5303