Detectar varreduras de porta realizadas pelo próprio computador

Eu tenho outra abordagem para você, já que me enfrentei no passado com a mesma situação.

1. NÃO BLOCO NADA COM IPTABLES AINDA!
2. Interrompa qualquer aplicativo ou processo que possa se comunicar com a vítima (por exemplo, navegador conectado ao endereço IP da vítima)
3. Descubra o tráfego que está sendo feito entre o seu PC e o PC da vítima usando o

   tcpdump -nn host your_victim_ip

   Sua saída deve ser semelhante a esta

08:36:19.738610 IP 192.168.89.xxx.46582 > 89.35.224.xxx.80: Flags [.], ack 18825, win 523, options [nop,nop,TS val 15987331 ecr 427321428], length 0
08:36:19.738625 IP 89.35.224.xxx.80 > 192.168.89.xxx.46582: Flags [.], seq 18825:20273, ack 492, win 243, options [nop,nop,TS val 427321428 ecr 15987307], length 1448: HTTP
08:36:19.738635 IP 192.168.89.xxx.46582 > 89.35.224.xxx.80: Flags [.], ack 20273, win 545, options [nop,nop,TS val 15987331 ecr 427321428], length 0
08:36:19.738643 IP 89.35.224.xxx.80 > 192.168.89.xxx.46582: Flags [FP.], seq 20273:21546, ack 492, win 243, options [nop,nop,TS val 427321428 ecr 15987307], length 1273: HTTP

A partir da saída acima, as portas são mais arrojadas 192.168.89.xxx. ** 46582 ** > 89.35.224.xxx. ** 80 **

4. Descubra o que está usando essa porta com lsof
   lsof -i:80
   Altere ": 80" com as portas / s fundadas na saída do tcpdump; o -n é usado para suprimir a resolução de IP's em nomes e o -P é usado para suprimir a conversão de portas em nomes; ele deve mostrar a você o processo que usa a porta 80.
   

COMMAND   PID  USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
firefox 30989 mihai   61u  IPv4 496649      0t0  TCP 192.168.89.xxx:40890->89.35.224.xxx:80 (ESTABLISHED)

Como você pode ver no meu exemplo, o COMANDO firefox está usando a porta 80 na comunicação estabelecida com o IP 89.35.224.xxx

5. Se o comando parecer estranho, verifique de onde está sendo executado ls -l /proc/$PID/exe em que $ PID é o ID do Processo fundado com o comando lsof anterior. Deve ter um similar como:

lrwxrwxrwx 1 mihai mihai 0 Jan 16 22:37 /proc/30989/exe -> /usr/lib/firefox/firefox

6. Você pode verificar mais detalhes sobre o comando listado acima com lsof -i:port usando lsof -c command_name

Essa é a parte de escavação, então tenha em mente que quase tudo está relacionado com aquele "comando em execução" que irá aparecer, como quais arquivos ele usa, quais outras conexões, etc.

7. Mate o processo com sudo kill -9 $PID

8. Pode ser uma boa ideia fazer o backup do arquivo em outro lugar e excluí-lo se não for um nome de processo comum como o firefox, embora você possa considerar a reinstalação do aplicativo, se for comum.

Outra abordagem é alterar o uso do comando na etapa 4. com lsof -i@*victim_ip_address* para ver todos os processos e comandos que possuem conexões ativas com o endereço IP da vítima

** ** IMPORTANTE ** **: execute todos os comandos como root ou com sudo;
Se você não tiver tcpdump nem lsof instalado, poderá instalá-los por:

sudo apt-get install lsof tcpdump

Neste ponto, acho que você tem todas as informações necessárias para usar IPTABLES e bloquear o tráfego de saída, se ainda for necessário.
Não se esqueça de usar tcpdump novamente para ver se o problema passou.

Uma maneira fácil de monitorar seu sistema é executar um comando como netstat por um dia ou mais e ver o que está saindo. Por exemplo, algo como isso mostraria todas as conexões de saída (sondadas):

netstat -nputwc | tee ~/network.log

De lá, você pode verificar network.log em sua pasta pessoal para ver se há conexões estranhas / anômalas. Seria melhor executar isso em um dia em que você não usaria muito a Internet, de modo que só poderá obter conexões de fundo e não ativas. O Netstat lhe dará a capacidade de ver qual processo também está chamando as conexões, o que pode valer a pena encontrar e destruir se algum scanner estiver em execução.

Além disso, você pode obter um log mais detalhado / detalhado usando tcpdump , que pode ser usado para obter resultados mais avançados e obter mais informações. Veja man tcpdump para mais informações. No entanto, observe especialmente a expressão src para obter apenas conexões de saída. Também não se esqueça de usar a opção -w para gravar em um arquivo para facilitar a pesquisa. Você pode ler um pouco mais sobre tcpdump aqui se quiser. No mínimo, isso informará se o seu computador está realmente digitalizando coisas.

De qualquer um desses, você pode obter o processo (através de netstat ) ou coisas importantes como quando e onde as coisas estão indo. Você pode, de fato, rodar ambos ao mesmo tempo para procurar por gatilhos ou similares que causem varreduras. Você pode até usar tcpdump para descobrir quando as varreduras acontecem e, em seguida, fazer referência cruzada com netstat para descobrir qual processo está fazendo as coisas.

Se você perceber que essas verificações ocorrem em horários regulares, você deve procurar cronjobs ou similares, que podem ser removidos (relativamente) facilmente.

Caso contrário, você pode usar as dicas gerais de segurança, como rkhunter , clamav e assim por diante. Você também pode reinstalar o sistema de um backup em bom estado para finalizá-lo agora.

E apenas para um pouco de fundo sobre botnets, principalmente para aborrecer você.

Normalmente, um botnet permanece ocioso no seu sistema até ser acionado por algum pedido. Isso pode ser o seu sistema recebendo uma mensagem de um servidor remoto ou a sua máquina pesquisando um servidor para seus novos "pedidos". De qualquer forma, você pode usar essas mesmas ferramentas para encontrar esses comandos de botnet e para onde eles estão indo.

Uma vez que você pode capturar sua máquina como parte de uma botnet (se estiver), você pode encontrar o que e onde está o software da botnet e removê-lo usando qualquer método que você queira.

Também pode ser importante observar que seu computador pode não ser o dispositivo infectado na rede. Um upstream de roteador, um WAP, uma webcam ou qualquer outro tipo de coisa IoT (impressoras, até!) Também podem ser membros de um botnet. Se eles estão por trás da mesma conexão / IP que sua máquina (especialmente em casa ou algo similar), você pode estar culpando falsamente seu computador em vez da sua torradeira inteligente ou o que for.

Possíveis coisas que você pode fazer:

• Altere suas senhas : no caso de um invasor humano usar seu (s) dispositivo (s) como máscara, é óbvio que sua autenticação foi de alguma forma comprometida. Isso inclui seu computador, mas também roteador, modem, dispositivos inteligentes em sua rede doméstica. A maioria dos usuários só coloca a senha no wifi, mas não tem senha na conta de administrador do roteador, o que é ruim. Como Kaz destacou, os dispositivos inteligentes também são alvos fáceis. Enquanto verifica o roteador, verifique também se alguém ativou o encaminhamento de porta no roteador para saber exatamente qual dispositivo está sendo acessado.

• Verifique o nmap . O Nmap é uma das ferramentas mais comuns usadas para redes de varredura. Ele pode ser usado para o bem e é uma boa ferramenta para administradores de sistemas, mas também pode ser usado por pessoas mal-intencionadas. Do apt-cache policy nmap para ver se alguém o instalou na sua máquina.

• Analise suas conexões de rede e tráfego . Tais ferramentas como netstat dirão quais programas estão usando quais portas de rede. Particularmente interessante é o comando sudo netstat -tulpan . Outra ferramenta já mencionada é o Wireshark. Você pode precisar de tempo para aprender como usá-lo. Eu recomendo que você execute todos esses testes com todos os navegadores e aplicativos que dependem da rede desligados.

• Considere excluir plug-ins para navegadores : as extensões do Chrome e os addons do Firefox são incríveis, mas não são gatinhos inocentes. Você pode estar executando um navegador e essas extensões fazem toda a atividade maliciosa em segundo plano. Considere a exclusão de todos ou simplesmente remover ~/.mozilla e ~/.config/google-chrome/

• Se nada mais funcionar, use o Nuke da órbita : Em outras palavras, faça backup dos seus dados e reinstale o Ubuntu. Quando um sistema é comprometido, é difícil confiar nele. Uma técnica bastante comum é substituir um programa legítimo por um falso. Com milhares de arquivos binários no computador, pode ser difícil dizer o que está causando a confusão, se você não for um especialista forense ou pesquisador de segurança. Faça um Ubuntu USB ao vivo (de preferência em um computador diferente e confiável) e reinstale seu sistema. Considere livrar-se do seu roteador e obter um novo. Instalar malware em roteadores não é tão incomum quanto você pensa. Se você não quiser fazer isso, considere a possibilidade de instalar um software de código aberto no roteador, como o DD-WRT ou o Open-WRT, pois eles suportam o fabricante e a versão do seu roteador.

• Considere pedir ajuda a um profissional : este pode ser o mais custoso para você, mas se você quiser chegar ao fundo disso e descobrir o que realmente está acontecendo, considere a contratação Alguém que investiga a segurança da rede de computadores para viver. O potencial é que eles podem dizer a você quem e como comprometeram sua rede e a estão usando para juju malicioso.

Você deve instalar wireshark para inspeção de pacotes. Enquanto isso, você pode bloquear os IPs ou, melhor ainda, todo o intervalo (no caso de eles possuírem tudo), mas é provável que usem outra rota.

Para um único IP:

sudo ufw deny from 123.24.163.24 to any

Para um intervalo:

sudo ufw deny from 123.24.163.0/24 to any

ou acrescente uma regra ao iptables se você preferir desta maneira.

sudo iptables -A INPUT -s 123.24.163.0/24 -j DROP

Existe a possibilidade de alguém estar operando a partir do seu computador, daí a digitalização. Nesse caso, então quem sabe o que mais já foi feito no seu computador. Pode exigir uma limpeza total.

O monitor de rede EtherApe é uma opção de médio porte para monitorar o tráfego de dados de sua rede. Como um monitor de rede de código aberto, o EtherApe exibe graficamente a atividade de rede com um display de protocolos codificados por cores. Hosts e links mudam de tamanho com o tráfego. Suporta dispositivos Ethernet, WLAN, FDDI, Token Ring, ISDN, PPP e SLIP. Ele pode filtrar o tráfego a ser exibido e pode ler o tráfego de um arquivo, bem como ao vivo a partir da rede. Para downloads e mais informações, visite a homepage da EtherApe .

BloquearoendereçoofensivoétãosimplesquantoadicionaroendereçosuspeitoaumacadeiadeentradasdeIPcomoesta

iptables–AINPUT–mtcp–sOFFENDING_IP_ADDRESS–dWEB_SERVER_ADDRESS–dport80–jDENY(whereOFFENDING_IP_ADDRESSisthesuspectaddressandWEB_SERVER_ADDRESSisthewebserverbeinghit)

Existemtambémoutrossoftwaresopen-source(OSS)muitobonsparaLinuxevocêpodeinstalarnoseuUbuntuparaterumamaiorsegurançaeavaliarseusistemadepossíveisfalhas.

Lynis

OLyniséumaferramentadeauditoriadesegurançadecódigoaberto.Usadoporadministradoresdesistemas,profissionaisdesegurançaeauditoresparaavaliarasdefesasdesegurançadeseussistemasbaseadosemLinuxeUNIX.Eleéexecutadonoprópriohost,porissoexecutavarredurasdesegurançamaisabrangentesdoqueosscannersdevulnerabilidades.

Emboratenhamuitasopçõesdeanálise(mesmopodendosercomplementadascomplugins),aoperaçãobaseéanalisarumasériedeaspectosdosistemaeverificarseaconfiguraçãoestácorreta.

Nofinal,combasenosresultadosobtidos,vocêreceberáumapontuaçãodeorientaçãode100,queeleschamamdeíndicedeendurecimento,juntamentecomumbomregistrodetodososavisosemedidascorretivasquevocêsugereaplicar.

OLyniséexecutadoemquasetodosossistemaseversõesbaseadosemUNIX.

OLyniséleveefácildeusar,éusadoparaváriasfinalidadesdiferentes.

VocêpodelermaissobreoLynisemseusiteoficial link .

Guia de instalação

Casos de uso típicos para o Lynis incluem:

Security auditing
Compliance testing (e.g. PCI, HIPAA, SOx)
Vulnerability detection and scanning
System hardening

OpenVAS / Nessus

Esses produtos se concentram principalmente na varredura de vulnerabilidades. Eles fazem isso através da rede por serviços de polling. Opcionalmente, eles farão login em um sistema e coletarão dados.

Verificadores do RootKit " rkhunter e chkrootkit "

O pacote rkhunter está no repositório, então apenas

sudo apt-get install rkhunter

Assim é o chkrootkit

sudo apt-get install chkrootkit