help! conexões de netstat estranhas, wireshark mostra redirecionamentos, acho que estou infectado

Question

help! conexões de netstat estranhas, wireshark mostra redirecionamentos, acho que estou infectado

#1 resposta do Mayura (1 votos)

1

hoje o meu Ubuntu 12.04 pc caiu e eu tive que forçar a matá-lo, o que nunca acontece. Então, depois de inicializar de volta, rodei o wireshark e vi pedidos aleatórios de dns e um protocolo que eu nunca vi antes de 'dec dna', bem como muitos streams estranhos do udp. Eu corri

netstat -la e esta foi a saída:

root@linuxbox:~# netstat -la
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 localhost:domain        *:*                     LISTEN     
tcp        0      0 *:ssh                   *:*                     LISTEN     
tcp        0      0 localhost:ipp           *:*                     LISTEN     
tcp        0      0 localhost:mysql         *:*                     LISTEN     
tcp        0      0 *:http                  *:*                     LISTEN     
tcp6       0      0 [::]:ssh                [::]:*                  LISTEN     
tcp6       0      0 ip6-localhost:ipp       [::]:*                  LISTEN     
udp        0      0 *:1900                  *:*                                
udp        0      0 *:40322                 *:*                                
udp        0      0 localhost:domain        *:*                                
udp        0      0 localhost:ntp           *:*                                
udp        0      0 *:ntp                   *:*                                
udp        0      0 *:mdns                  *:*                                
udp6       0      0 fe80::7879:ff:fe00::ntp [::]:*                             
udp6       0      0 fe80::12fe:edff:fe2:ntp [::]:*                             
udp6       0      0 fe80::216:6fff:fe4d:ntp [::]:*                             
udp6       0      0 ip6-localhost:ntp       [::]:*                             
udp6       0      0 [::]:ntp                [::]:*                             
udp6       0      0 [::]:47318              [::]:*                             
udp6       0      0 [::]:mdns               [::]:*                
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node   Path
unix  2      [ ACC ]     STREAM     LISTENING     11019    /tmp/.X11-unix/X0
unix  2      [ ACC ]     STREAM     LISTENING     11618    /tmp/.winbindd/pipe
unix  2      [ ACC ]     STREAM     LISTENING     13721    /tmp/keyring-HyNZDz/control
unix  2      [ ACC ]     STREAM     LISTENING     13860    /tmp/ssh-COlALKGR2295/agent.2295
unix  2      [ ACC ]     STREAM     LISTENING     13890    /tmp/.ICE-unix/2295
unix  2      [ ACC ]     STREAM     LISTENING     14080    /tmp/keyring-HyNZDz/pkcs11
unix  2      [ ACC ]     STREAM     LISTENING     14084    /tmp/keyring-HyNZDz/ssh
unix  2      [ ACC ]     STREAM     LISTENING     14085    /tmp/keyring-HyNZDz/gpg
unix  2      [ ACC ]     STREAM     LISTENING     10790    /var/run/acpid.socket
unix  2      [ ACC ]     SEQPACKET  LISTENING     7973     /run/udev/control
unix  19     [ ]         DGRAM                    10025    /dev/log
unix  2      [ ACC ]     STREAM     LISTENING     7850     @/com/ubuntu/mountall

... e muitos, muitos mais eu não posso me encaixar aqui.

... alguém pode me dizer o que esses serviços de escuta são estranhos? Eu tinha um servidor web na minha lan em casa e apenas hoje mudei para um vps por razões de segurança. Eu tinha notado coisas estranhas acontecendo com a rede antes da semana, mas isso parece anormal. Eu nunca vi isso antes. Alguém pode me ajudar? Rkhunter parece não encontrar nada. Eu entrei no meu openvpn, corri o wireshark novamente e notei conexões ssh de ips aleatórios. Eu corri 'quem' e mais ninguém estava aqui. Mas, em seguida, a wireshark começou a exibir o redirecionamento tcp do meu tráfego openvpn, repetidamente, até que eu matei a conexão. Devo observar que isso também está acontecendo no meu outro computador Ubuntu, que está na mesma rede.

Eu não preciso mais de ajuda com isso. Um pouco mais de escavação me informou que estes são serviços normais, e que a saída de ls -la e ls -a não são a mesma coisa ... Eu não dormi em dois dias, então perdoe minha ignorância.

por Chev_603 02.04.2014 / 04:25

1 resposta

Ubuntu 13.10 - Sistema de arquivos de destino não possui / sbin / init Wifi internet help needed

score 1 · Accepted Answer

Esses são serviços normais de audição em execução, nada de suspeito aparece!

Explicação das portas e soquetes de escuta,

*:ssh é o servidor SSH escutando 22 [acessível em TODOS os IPs]
*:http é o Web Server escutando 80 [acessível em TODOS os IPs]
localhost:domain é o resovador de DNS ouvindo 53 [acessível localmente] [seguro]
localhost:ipp é cpusd (imprimindo) ouvindo 631 [acessível localmente] [seguro]
localhost:mysql é o MySQL como diz ouvindo em 3306 [acessível localmente] [seguro]
mdns e ntp estão associados ao DNS e à hora da rede.
Todos os sockets / stream do Unix também parecem normais, são sockets comuns.

Para verificar a consulta DNS ao vivo ( -i <2> número da interface.)

tshark -D (para listar interfaces)

time tshark -n -i 2 -R "dns.flags.response == 0" | tee ~/dns.log; wc ~/dns.log

less ~/dns.log (percorrer os registros manualmente)

No entanto, recomendo que você investigue mais sobre o tráfego de rede, pois mencionou que você observou muitos redirecionamentos de DNS, por isso, para pesquisar mais, verifique o conteúdo transmitido, o endereço de origem / destino e a respectiva porta. o que exatamente está causando o redirecionamento.