Eu acho que descobri, é o script dtrace que eu peguei de um site Solarius, precisa ser alterado para o BSD.
Eu estava usando o DTrace no Mac OS X e encontrei o seguinte script que exibe informações sobre as conexões que estão sendo estabelecidas:
$ cat script.d
syscall::connect:entry
{
printf("execname: %s\n", execname);
printf("pid: %d\n", pid);
printf("sockfd: %d\n",arg0);
socks = (struct sockaddr*)copyin(arg1, arg2);
hport = (uint_t)socks->sa_data[0];
lport = (uint_t)socks->sa_data[1];
hport <<= 8;
port = hport + lport;
printf("Port number: %d\n", port); printf("IP address: %d.%d.%d.%d\n",
socks->sa_data[2],
socks->sa_data[3],
socks->sa_data[4],
socks->sa_data[5]);
printf("======\n");
}
I run it in one window:
$ sudo dtrace -s ./script.d
Então eu ssh para outra máquina de outra janela. Eu recebo esta saída da minha janela do dtrace:
CPU ID FUNCTION:NAME
0 18696 connect:entry execname: ssh
pid: 5446
sockfd: 3
Port number: 22
IP address: 192.168.0.207
======
0 18696 connect:entry execname: ssh
pid: 5446
sockfd: 5
Port number: 12148
IP address: 109.112.47.108
======
^C
O primeiro endereço IP que eu posso explicar (192.168.0.207) é a máquina que estou conectando. Mas o que há com a máquina 109.112.47.108? Não aparece no tcpdump nem no netstat -an
Existe algo com meu código dtrace ou minha compreensão de como a chamada do sistema de conexão funciona?
Eu acho que descobri, é o script dtrace que eu peguei de um site Solarius, precisa ser alterado para o BSD.
Tente fazer um traceroute para esse endereço e veja onde está. Se é apenas um par de saltos é provavelmente um firewall ou switch.
É um endereço IP de vodafone na Itália. Você está conectado a um ISP na Europa / Itália? Se não, é melhor começar a se preocupar.
A porta 12148 parece um problema de vírus / cavalo de Tróia - é melhor limpar o sistema infectado o mais rápido possível
O que grep 'sshd.*from' secure.log diz? Se alguém além de você tiver feito o login via SSH, você tem um problema. Se eles não tiverem, provavelmente, uma tentativa de força bruta sem sucesso . Você está executando o DenyHosts ou o Fail2Ban?
Não consigo encontrar nenhuma documentação no syscall :: connect, mas parece que está imprimindo ambas as extremidades do soquete. O que acontece quando você executa o script e o ssh de outra máquina?
Por que vale a pena, este IP parece ser parte da rede vodafone.it. Observe:
> host -a 109.112.47.108
Trying "108.47.112.109.in-addr.arpa"
Host 108.47.112.109.in-addr.arpa. not found: 3(NXDOMAIN)
Received 116 bytes from 68.94.156.1#53 in 180 ms
> host -a 47.112.109.in-addr.arpa
Trying "47.112.109.in-addr.arpa"
Received 112 bytes from 68.94.156.1#53 in 388 ms
Trying "47.112.109.in-addr.arpa.domain_not_set.invalid"
Host 47.112.109.in-addr.arpa not found: 3(NXDOMAIN)
Received 139 bytes from 68.94.156.1#53 in 859 ms
> host -a 112.109.in-addr.arpa
Trying "112.109.in-addr.arpa"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 20054
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;112.109.in-addr.arpa. IN ANY
;; ANSWER SECTION:
112.109.in-addr.arpa. 28800 IN SOA mivsx030.net.vodafone.it. hostmaster.vodafone.it. 9 10800 3600 2592000 900
112.109.in-addr.arpa. 28800 IN NS mivsx030.net.vodafone.it.
112.109.in-addr.arpa. 28800 IN NS gmigdns006.net.vodafone.it.
Received 148 bytes from 68.94.156.1#53 in 373 ms