Posso usar o 'netstat' para encontrar adware, spyware, malware ou ransomware?

Navegue suas respostas
0

Primeiro, corri netstat -a para listar todos, mas são 1.000 linhas de 80 caracteres / linha e não cabem em uma pergunta. Então reduzi a netstat -l -e para listar as conexões que estão "escutando" a minha conexão com a Internet.

netstat -l -e de saída: 

$ netstat -l -e
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode      
tcp        0      0 dell:domain             *:*                     LISTEN      root       22501      
udp        0      0 *:mdns                  *:*                                 Me         6099032    
udp        0      0 *:mdns                  *:*                                 avahi      20093      
udp        0      0 *:42320                 *:*                                 avahi      20095      
udp        0      0 *:55304                 *:*                                 nobody     6096007    
udp        0      0 dell:domain             *:*                                 root       22500      
udp        0      0 *:bootpc                *:*                                 root       6091056    
udp        0      0 *:ipp                   *:*                                 root       5216701    
udp6       0      0 [::]:mdns               [::]:*                              Me         6099033    
udp6       0      0 [::]:mdns               [::]:*                              avahi      20094      
udp6       0      0 [::]:57704              [::]:*                              avahi      20096      
Active UNIX domain sockets (only servers)
Proto RefCnt Flags       Type       State         I-Node   Path
unix  2      [ ACC ]     STREAM     LISTENING     24329    /run/user/1000/systemd/private
unix  2      [ ACC ]     SEQPACKET  LISTENING     12608    /run/udev/control
unix  2      [ ACC ]     STREAM     LISTENING     30872    @/tmp/.ICE-unix/2585
unix  2      [ ACC ]     STREAM     LISTENING     26927    /run/user/1000/keyring/control
unix  2      [ ACC ]     STREAM     LISTENING     30821    /run/user/1000/keyring/pkcs11
unix  2      [ ACC ]     STREAM     LISTENING     20701    /sys/fs/cgroup/cgmanager/sock
unix  2      [ ACC ]     STREAM     LISTENING     30986    /run/user/1000/pulse/native
unix  2      [ ACC ]     STREAM     LISTENING     1153703  /run/user/1000/pulse/cli
unix  2      [ ACC ]     STREAM     LISTENING     2303008  @Me-com.canonical.Unity.Master.Scope.files.T174165901748652
unix  2      [ ACC ]     STREAM     LISTENING     21329    @/tmp/.X11-unix/X0
unix  2      [ ACC ]     STREAM     LISTENING     2303016  @Me-com.canonical.Unity.Scope.files.T174166293059520
unix  2      [ ACC ]     STREAM     LISTENING     24726    /var/run/NetworkManager/private-dhcp
unix  2      [ ACC ]     STREAM     LISTENING     25175    @/tmp/dbus-2IgIS5GS9B
unix  2      [ ACC ]     STREAM     LISTENING     21330    /tmp/.X11-unix/X0
unix  2      [ ACC ]     STREAM     LISTENING     27881    /tmp/ssh-Y2H8jyF8xBOV/agent.2502
unix  2      [ ACC ]     STREAM     LISTENING     26969    /home/Me/.gnupg/S.gpg-agent
unix  2      [ ACC ]     STREAM     LISTENING     30873    /tmp/.ICE-unix/2585
unix  2      [ ACC ]     STREAM     LISTENING     24397    @/tmp/dbus-ciisbyQXHo
unix  2      [ ACC ]     STREAM     LISTENING     26572    /tmp/.com.google.Chrome.KSH5A2/SingletonSocket
unix  2      [ ACC ]     STREAM     LISTENING     691516   @/tmp/dbus-BCetHWrk4L
unix  2      [ ACC ]     STREAM     LISTENING     2303007  @Me-com.canonical.Unity.Master.Scope.applications.T174165894531763
unix  2      [ ACC ]     STREAM     LISTENING     12591    /run/systemd/private
unix  2      [ ACC ]     STREAM     LISTENING     12596    /run/systemd/fsck.progress
unix  2      [ ACC ]     STREAM     LISTENING     12609    /run/systemd/journal/stdout
unix  2      [ ACC ]     STREAM     LISTENING     26932    @/com/ubuntu/upstart-session/1000/2381
unix  2      [ ACC ]     STREAM     LISTENING     2300330  @Me-com.canonical.Unity.Scope.scopes.T174169866065693
unix  2      [ ACC ]     STREAM     LISTENING     21636    /run/uuidd/request
unix  2      [ ACC ]     STREAM     LISTENING     21637    /var/run/avahi-daemon/socket
unix  2      [ ACC ]     STREAM     LISTENING     21638    /run/snapd.socket
unix  2      [ ACC ]     STREAM     LISTENING     21639    /run/snapd-snap.socket
unix  2      [ ACC ]     STREAM     LISTENING     21640    /var/run/cups/cups.sock
unix  2      [ ACC ]     STREAM     LISTENING     21641    /var/run/dbus/system_bus_socket
unix  2      [ ACC ]     STREAM     LISTENING     21642    /run/acpid.socket
unix  2      [ ACC ]     STREAM     LISTENING     2300329  @Me-com.canonical.Unity.Scope.applications.T17416986049498
unix  2      [ ACC ]     STREAM     LISTENING     29796    @/tmp/ibus/dbus-NdbJULTU

Observação: substituí meu ID de usuário do Linux por "Eu" na listagem acima.

Estou um pouco preocupado que "Canonical", o fabricante do "Ubuntu" está escutando minha internet em muitos lugares. Não me lembro de grandes propagandas ousadas de que isso aconteça, nem formas de desativar esse "recurso". Eu tenho relatórios de falhas ativados, então talvez esse seja o motivo. Uma explicação detalhada em uma resposta seria apreciada embora.

Existem agentes de spyware / malware que eu vejo usando o netstat?

Além disso, o netstat pode ajudar a rastrear bloqueadores de desempenho da Internet e interromper uma conexão ou duzentos? Por exemplo, vejo que snapd está "escutando" e acabou de ler que é um especialista em desempenho às vezes. O Snapd é instalado por padrão em 16.04 , mas eu nunca o usei. Eu estarei pesquisando mais e removendo-o.

Snippets aleatórios de netstat -a

Como mencionado usando netstat -a gera mais de 1.000 linhas de saída que não cabem em uma pergunta de 32KB da UA. Aqui estão alguns "trechos" aleatórios da lista completa para dar uma ideia do que aparece.

Do meio 

unix  2      [ ]         DGRAM                    6091044  
unix  3      [ ]         STREAM     CONNECTED     28317    
unix  3      [ ]         STREAM     CONNECTED     26391    
unix  3      [ ]         STREAM     CONNECTED     29087    @/tmp/dbus-ciisbyQXHo
unix  3      [ ]         STREAM     CONNECTED     7523056  
unix  3      [ ]         STREAM     CONNECTED     41964    @/tmp/dbus-ciisbyQXHo
unix  3      [ ]         STREAM     CONNECTED     36047    
unix  3      [ ]         STREAM     CONNECTED     31024    
unix  3      [ ]         STREAM     CONNECTED     25186    @/tmp/dbus-2IgIS5GS9B
unix  3      [ ]         STREAM     CONNECTED     4258027  
unix  3      [ ]         STREAM     CONNECTED     6835290  
unix  3      [ ]         STREAM     CONNECTED     692478   @/tmp/dbus-BCetHWrk4L
unix  3      [ ]         STREAM     CONNECTED     27314    @/tmp/dbus-2IgIS5GS9B
unix  3      [ ]         STREAM     CONNECTED     29077    @/tmp/.X11-unix/X0
unix  3      [ ]         STREAM     CONNECTED     1033729  @/tmp/.X11-unix/X0
unix  3      [ ]         STREAM     CONNECTED     42812    
unix  3      [ ]         STREAM     CONNECTED     29806    @/tmp/ibus/dbus-NdbJULTU
unix  3      [ ]         STREAM     CONNECTED     6952286  
unix  3      [ ]         STREAM     CONNECTED     161597   
unix  3      [ ]         STREAM     CONNECTED     39839    
unix  3      [ ]         STREAM     CONNECTED     33256    
unix  2      [ ]         DGRAM                    33883

Da parte inferior 

unix  2      [ ]         DGRAM                    29074    
unix  3      [ ]         STREAM     CONNECTED     55854    /var/run/dbus/system_bus_socket
unix  3      [ ]         STREAM     CONNECTED     28997    @/tmp/.X11-unix/X0
unix  3      [ ]         STREAM     CONNECTED     21657    /run/systemd/journal/stdout
unix  3      [ ]         STREAM     CONNECTED     28055    /run/systemd/journal/stdout
unix  3      [ ]         STREAM     CONNECTED     24441    
unix  3      [ ]         STREAM     CONNECTED     25875    /run/systemd/journal/stdout
unix  3      [ ]         STREAM     CONNECTED     23525    
unix  3      [ ]         STREAM     CONNECTED     691504   
unix  3      [ ]         STREAM     CONNECTED     25897    @/tmp/dbus-ciisbyQXHo
unix  3      [ ]         STREAM     CONNECTED     30179

Perdoe-me se esta questão for rudimentar. Acabei de começar a examinar as "coisas de conexão" da Internet e parecerá um iniciante completo em comparação com as pessoas que pagaram para trabalhar nesse campo.

    
por WinEunuuchs2Unix 27.07.2017 / 21:06

1 resposta

2

A primeira vez que alguém corre netstat é uma experiência chocante. Parece que todo site assustador do planeta está observando cada movimento seu. E a realidade não está tão longe dessa percepção.

Grande parte dessa conectividade é relativamente benigna. E algumas das conexões são realmente úteis, como conexões de atualização do sistema operacional. Eu não ficaria preocupado com as "conexões canônicas" que fazem parte do modelo de atualização de software do Ubuntu. Além disso, você descobrirá rapidamente que tentar matar ou bloquear essas centenas de conexões é fútil.

Você verá que, exceto por ataques de porta flagrantes, a maioria das conexões que você vê via netstat é originária do seu navegador da web. Você pode controlar isso até certo ponto, mas tenha em mente que quanto mais coisas bloquear, mais problemas terá ao tentar fazer algo útil em seu navegador.

uBlock é um plugin de navegador que reduzirá drasticamente o número de conexões que você vê, mas também reduzirá a funcionalidade do seu navegador s capacidade de interagir com vários sites. Apertar o seu ambiente versus ser capaz de fazer o trabalho real é um ato de equilíbrio constante.

Bem-vindo ao faroeste da rede:)

    
por jones0610 27.07.2017 / 21:34
Como abro uma porta específica (30033) para o Teamspeak? Ubuntu Server, instalação de pacote de terceiros