Problema de segurança de rede com tráfego suspeito. Como rastrear isso?

Navegue suas respostas
1

Eu tenho um problema específico um pouco avançado para mim. No log do meu roteador, vi as seguintes linhas: 

Internal                Prot.   External             NAT    Time-out 

192.168.0.167:56396     TCP     186.112.54.84:22    60753   54416
192.168.0.167:45776     TCP     62.213.111.201:23   62531   48429

Eu reapareci meu roteador e por alguns dias essas linhas desapareceram, mas agora elas estão aqui novamente. Ok segundo endereço IP é da Rússia hoje. Eu visitei o site (mas por que o telnet porta 23) e o primeiro é do usuário Columbia DSL eu acho. Eu também tenho a seguinte linha registrada: 

192.168.0.167:39485     TCP     41.46.0.90:23   62635   53810

o IP é do Egito. Não consigo encontrar o processo no Ubuntu com netstat . Eu também não consegui encontrar as conexões dadas. Eu também tentei rkhunter e chkroot , mas é muito avançado para mim. Você poderia me dar uma dica de como encontrar processos correspondentes no Ubuntu (12.10)

Com o ossec instalado, recebo as seguintes linhas (entre outras):

** Alerta 1357654774.6683: mail - syslog, erros, 2013 Jan 08 15:19:34 rr- > /var/log/auth.log Regra: 1002 (nível 2) - > 'Problema desconhecido em algum lugar do sistema.' Jan 8 15:19:34 rr dbus [412]: [sistema] Rejeitado enviar mensagem, 2 regras correspondentes; type="method_call", remetente=": 1.62" (uid = 1000 pid = 2285 comm="/ usr / lib / indicador-sessão / indicador-sessão-serviço") interface="org.freedesktop.DBus.Properties" membro="GetAll" error name="(não configurado)" requested_reply="0" destination=": 1.19" (uid = 0 pid = 1157 comm="/ usr / sbin / console-kit-daemon --no-daemon")

    
por josef 28.12.2012 / 10:53

2 respostas

5

Considere verificar a integridade de todos os seus binários no seu sistema usando debsums . Isso pode mostrar algum kernel alterado (módulo do kernel) ou aplicativo do sistema. Eu vi daemons OpenSSH alterados para esconder a atividade e um modificado módulo do kernel Bluetooth para até mesmo criar um backdoor no nível do kernel. Consegui localizar isso por meio de uma soma de verificação automatizada de todos os binários no sistema instalado por meio do gerenciamento de pacotes.

  • Instale o pacote debsums , por exemplo 

    sudo apt-get install debsums

  • Execute debsums com erros apenas na saída. 

    sudo debsums -s

    Alguns arquivos podem estar faltando ou não há MD5sums disponíveis para alguns pacotes. Apenas esteja ciente dos binários alterados .

Além disso, familiarize-se com os caçadores de rootkit. Eu acho que eles não são tão difíceis de usar. Certifique-se de usar a versão mais recente e as definições de malware mais recentes para encontrar as mais recentes também. No entanto, este não é um teste à prova de balas. Sugiro fazer uma pergunta mais específica sobre isso em SE de segurança ou unix SE .

    
por gertvdijk 28.12.2012 / 13:00
0

Tente lsof | grep 45776 ou com outro número de porta.

    
por ASten 28.12.2012 / 11:41
Forçando um aplicativo a usar o gtk 3 em vez do gtk 2 Como posso desinstalar o QtCreator 2.6.1 de 12.04?