Remoção de botnet do Linux

0

Eu temo estar sob uma aquisição de botnets linux.

sudo netstat -antpv com todos os navegadores fechados, além de outros resultados, retorna isso:

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 192.168.0.100:48090     216.58.197.67:443       TIME_WAIT   -               
tcp        0      0 192.168.0.100:49130     216.58.197.68:443       TIME_WAIT   -               
tcp        0      0 192.168.0.100:47830     74.125.200.190:443      TIME_WAIT   -               
tcp        0      0 192.168.0.100:33494     216.58.197.81:443       TIME_WAIT   -               
tcp        0      0 192.168.0.100:42121     216.58.220.42:443       TIME_WAIT   -               
tcp        0      0 192.168.0.100:33497     216.58.197.81:443       TIME_WAIT   -               
tcp        0      0 192.168.0.100:40590     198.41.215.68:443       TIME_WAIT   -               

Esses endereços IP continuam mudando. Esses endereços pertencem a

link (twitter)

link (cloudfront / amazon

link (google) (O mesmo para o resto dos ips desta série)

link (google)

link (cloudflare)

Então, aqui estão minhas perguntas:

1) Estou lendo isso certo? Assumindo isso -

2) Como determinar os processos que estão fazendo isso

3) Como posso me proteger? Existe alguma boa solução antivírus do Linux

4) O que está acontecendo? Eu posso entender o spam do twitter, mas e o google? Eles estão clicando no google links para SEO?

5) Como posso me livrar deles imediatamente?

    
por 0fnt 05.07.2016 / 10:38

1 resposta

3

1) Am I reading this right?

Toda a conexão que você nos mostra já está fechada.

Se você usou um webbrowser (e visitou uma página com o ícone de link do Twitter), isso parece perfeitamente normal.

Isso não quer dizer que você não poderia estar infectado de alguma forma, mas TIME_WAIT é um estado em que já tivemos um link, mas já está fechado e em processo de limpeza.

Fechar uma conexão TCP é semelhante a isso (simplificado):

2) How do determine the processes that are doing this

No momento, esses processos já desapareceram. Tente monitorar para encontrar um que esteja ESTABELECIDO e, em seguida, tente descobrir qual aplicativo está usando essa conexão. Tenho a sensação de que este será seu navegador.

3) How do I safeguard myself. Are there any good linux antivirus solutions

Soluções padrão: não execute como root. Use o bom senso ao clicar em itens, mantenha seu sistema operacional e aplicativos atualizados

What's happening? I can understand twitter spamming, but what about google? Are they clicking on google links for SEO?

No Windows, notei o mesmo quando o firefox estava adicionando sugestões às minhas pesquisas. Muitos links ativos para o google. Não apenas a página da web. E se eu visitar uma página da web com um link para o facebook ou twitter que também pode abrir uma conexão ao seu site. (Mesmo que seja inocente se apenas fizer o download do logo do twitter no site twitters).

Quanto à cloudfare: eles são uma rede de entrega de conteúdo (CND). Quase tudo pode desencadear aqueles, incluindo o google e o twitter.

5) How do I get rid of them pronto?

Reinicie.

Efetue login (não gráfico) e verifique se não há conexões.
Em seguida, inicie seu ambiente gráfico (e possíveis aplicativos de inicialização automática). Verifique novamente. Acenda seus programas favoritos, um por um. Verifique novamente após cada um, ...

    
por 05.07.2016 / 11:11