Alguém está fazendo upload de material do meu pc

0

Estou com uma experiência muito lenta na Internet. Na vnstat vejo

   rx:        4 kbit/s     3 p/s          tx:    94.74 Mbit/s 14072 p/s^C


 eth4  /  traffic statistics

                           rx         |       tx
--------------------------------------+------------------
  bytes                    11.85 MiB  |       30.30 GiB
--------------------------------------+------------------
          max            6.86 Mbit/s  |    94.93 Mbit/s
      average           28.18 kbit/s  |    73.80 Mbit/s
          min               0 kbit/s  |        0 kbit/s
--------------------------------------+------------------
  packets                      17127  |        37761168
--------------------------------------+------------------
          max                584 p/s  |       14108 p/s
      average                  4 p/s  |       10964 p/s
          min                  0 p/s  |           0 p/s
--------------------------------------+------------------
  time                 57.40 minutes

Usando nethogs eu vejo,

  PID USER     PROGRAM                                                                                                                                                         DEV        SENT      RECEIVED       
2546  root     su                                                                                                                                                              eth4       0.013       0.072 KB/sec
?     root     192.168.7.100:58888-43.250.83.106:61878                                                                                                                                    0.021       0.025 KB/sec
?     root     192.168.7.100:58888-70.24.39.90:65025                                                                                                                                      0.021       0.025 KB/sec
?     root     192.168.7.100:44145-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:52239-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:15834-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:29433-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:49576-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:36540-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:32289-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:25437-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:10155-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:32125-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:59269-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:57686-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:2747-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:59482-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:58985-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:56246-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:4345-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:10665-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:40676-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:35600-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:12241-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:43541-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:19124-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:1676-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:37809-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:7017-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:14998-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:64834-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:31544-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:17969-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:57675-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:32002-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:1233-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:64445-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:51733-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:38604-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:63299-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:96-115.28.112.60:7575                                                                                                                                        0.168       0.000 KB/sec
?     root     192.168.7.100:28078-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:40611-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:4304-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:43318-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:8573-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:51347-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec

Parece que alguém executou um aplicativo de torrent e fez o upload de tudo do meu pc. Não tenho certeza embora.

Como eu sei qual processo está fazendo essas coisas desagradáveis? Eu preciso parar e impedir que isso aconteça no futuro também.

Estou sendo penhorado?

Atualizar

Fechei todas as portas, exceto o sshd (22), pelo firewall de roteadores. Agora eu não vejo esse processo. Mas agora nethogs mostram essa saída estranha.

  PID USER     PROGRAMDEV        SENT      RECEIVED       
?     root     unknown TCP      0.000       0.000 KB/sec
    
por Shiplu Mokaddim 20.03.2015 / 06:33

1 resposta

0

Parece que isso pode pertencer à Segurança da Informação, mas aqui está o começo de ver "como você saberia" e se você está sendo pwnd.

Algumas observações:

  • 43.250.83.106 está em Bangladesh (nas proximidades)
  • 70.24.39.90 é em América do Norte (Canadá)
  • 115.28.112.60 é AsiaPacific (China), sem tráfego de entrada
  • Números de porta baixos (abaixo do limite efêmero do sistema operacional) são privilegiados e geralmente não são desejados para saída.
  • Embora um portscan possa explicar o último conjunto (uma única fonte: IP), não há evidências de que sejam sessões de entrada, e os RSTs (em resposta a varreduras) estão em torno de 50 bytes (não 172).

Para estabelecer se é possível C2 (nos dois endereços principais) seguido por uma sequência rápida de portas abertas (enviando cerca de 172 bytes cada, fechando sem resposta aparente) você teria que reconectar o sistema e iniciar a captura de pacotes . Não faça isso.

Se você vai mantê-lo ligado / não backup, etc:

  • Analise os registros de firewall externos ou capture pacotes fora do sistema para ver se ainda está tentando entrar em contato. Pode também estar enviando pacotes para sua rede. Isso pode ser tão simples quanto a saída de DNS ou ICMP, para evitar revelar o C2.
  • No próprio host, você pode tentar várias coisas:
    • Primeiro, considere que suas ferramentas foram anuladas ou conectadas. Para isso, você pode testar os binários vinculados estaticamente que você obtém / faça você mesmo (e use somente leitura mídia), ou use busybox
    • "netstat -p" geralmente funciona apenas com permissões elevadas (você certamente já aumentou durante a investigação, portanto, isso não representa risco adicional).
    • "lsof -i4" mostrará processos + conexões IPv4 (-i6 para IPv6).
    • Unhide compara / proc com 'ps', tenta syscalls, pid bruteforcing, uma pesquisa de thread reversa, e também pode revelar portas não visíveis para o netstat.
    • ss -ap (processa + soquetes)
    • rkhunter, chkrootkit (verificadores de rootkits)
    • verifique se há algo em execução em lugares estranhos (como pastas tmp)
    • verifique se há scripts residentes (perl, python, etc)

Outras ferramentas:

  • lsmod deve mostrar os módulos do kernel
  • auditd (se adicionado por sua distro) deve lhe dar a capacidade de monitorar chamadas e falhas estranhas do sistema.
  • tcpdump (captura o tráfego de rede)
  • verifique seus arquivos de histórico por usuário (include / root e / home / *) como .bash_history, .lesshst, .mysql_history, etc.
  • check / proc / filesystems e qualquer sistema de arquivos ck * que você não instalou. Sistemas de arquivos no espaço do usuário (FUSE) podem estar escondendo áreas de risco.

Prevenir a recorrência é uma resposta grande e complexa relacionada ao que aconteceu. Firewalling (iptables), IDS / IPS (snort), desabilitar serviços desnecessários, auditar acessos de linguagem wget / curl / scripting, auditar executáveis descartados em locais estranhos (pastas home, pastas temp), monitoramento de integridade de arquivos, etc. são um bom começo. O SELinux (o AppArmor é semelhante em outros sistemas) tende a ser muito trabalhoso, mas também é útil.

    
por 20.03.2015 / 23:17