Por padrão, o Ubuntu vem sem portas abertas em interfaces públicas.
Não é inteiramente verdade. Tecnicamente falando, o Ubuntu vem com portas abertas mínimas, particularmente 631, que é para impressão em rede. Mas serviços como transferência de correio, ssh, ftp - todos eles exigem um software de servidor instalado em sua máquina. Por exemplo, ssh port 22 está aberto na minha máquina somente depois que instalei openssh-server .
Isso não significa que você é 100% seguro, apenas 89% seguro. Os outros 10% podem ser adicionados ativando o firewall padrão ou instalando o seu próprio.
Isso significa que, se eu fosse infectado por um keylogger, meu computador não enviaria informações para o computador do hacker?
Não sou um profissional de segurança da informação, mas não ficaria surpreso se houvesse keyloggers que enviam informações pela porta 80, que é a porta padrão para coisas da internet. Os navegadores fazem isso, por exemplo. Então a resposta é, a informação ainda pode escapar do seu computador
É possível baixar um aplicativo (vírus / malware) que abriria uma porta na interface pública se tivesse acesso root?
Sim. Como descrevi um pouco antes, se você instalar ftp ou ssh servers, você obtém as portas 25 e 22 abertas e as instala como root; Então, o que impede que o malware faça o mesmo se tiver acesso root? Exatamente nada.
Como faço para verificar se há portas abertas em interfaces públicas? Eu sei netstat -a, netstat, nmap -v localhost, nmap -v -p1-65535 localhost, mas todos eles mostram informações diferentes, por isso não tenho certeza.
netstat e nmap são dois dos utilitários básicos e melhores da linha de comando usados pelos administradores do sistema em todo o mundo. Eles já são bons, mas precisam aprender um pouco sobre as bandeiras.
netstat -tulpan é o que eu pessoalmente uso em meus cheques. Isso mostra todas as conexões TCP e UDP, incluindo as de escuta, e imprime as conexões no formato de endereço IP (numérico). Se houver um endereço IP suspeito, ele poderá ser verificado com nslookup ou dig ou whois . Além disso, o sinalizador -p dirá a você qual programa está usando qual porta ou se a conexão está estabelecida. Isso é muito útil, você pode procurar mais tarde esse processo e identificar o processo, eventualmente localizando o arquivo executável.
nmap é bom para escanear a rede local e sua própria máquina. Pessoalmente, eu uso sudo nmap -sT -T4 -n 192.168.0.1/24 na minha rede local para verificar rapidamente todos os dispositivos da minha rede, inclusive minha própria máquina. Eu posso ver quais computadores estão na rede.
Usando o nmap -v -p1-65535 localhost meu computador encontra duas portas: Descoberta a porta aberta 631 / tcp em 127.0.0.1 Descoberta a porta aberta 51072 / tcp em 127.0.0.1 O IP no final significa que ela não está sendo enviada para outro computador?
Quando você digitaliza com localhost, isso significa que você está digitalizando seu próprio computador. Localhost, ou o endereço ao qual o computador se refere, está definido como 127.0.0.1 . É como se perguntar Who am I ? Bem, I am me seria a resposta.
Isso significa que você tem portas 51072 e 631 abertas. 631 está aberto por padrão, mas o 51072 é um pouco mais complicado. Portas de 1024 a 65534 são usadas para estabelecer conexões temporárias, por exemplo, por navegadores da Internet. Normalmente eles são abertos e depois fechados, mas se for persistente, você já pode ter algum tipo de malware instalado, não necessariamente um keylogger.
Sugiro que você desconecte o computador da rede imediatamente. Examine as entradas do Autostart, altere a senha com sudo passwd $USER , ative o firewall padrão do Ubuntu com sudo sed -i 's;ENABLED=no;ENABLED=yes;g' /etc/ufw/ufw.conf . Certifique-se de alterar / ativar a senha do administrador do roteador (não a senha do Wi-Fi, a senha real que permite fazer alterações nas configurações do roteador), de preferência de outro computador.
Depois disso, você poderá retornar à navegação na Internet, mas talvez queira observar suas conexões, portas e comportamento da máquina. Evite fazer qualquer coisa que possa comprometer senhas e logins importantes. Se você ainda tiver um problema, considere pedir ajuda aos profissionais de segurança da informação.