У меня есть определенная проблема, немного продвинутая для меня. В журнале моего роутера я видел следующие строки:
Internal Prot. External NAT Time-out
192.168.0.167:56396 TCP 186.112.54.84:22 60753 54416
192.168.0.167:45776 TCP 62.213.111.201:23 62531 48429
Я перепрошил свой роутер и на несколько дней эти строки исчезли, но теперь они снова здесь. Хорошо, второй IP-адрес сегодня из России. Я посетил сайт (но почему порт telnet 23), и первый, я думаю, от пользователя Columbia DSL. У меня также есть следующая строка:
192.168.0.167:39485 TCP 41.46.0.90:23 62635 53810
IP из Египта. Я не могу найти процесс в Ubuntu с помощью netstat
. Я также не смог найти данные связи. Я также попробовал rkhunter
и chkroot
, но он слишком сложен для меня. Не могли бы вы дать мне подсказку, как найти соответствующие процессы в Ubuntu (12.10)
С установленным ossec я получаю следующие строки (среди других):
** Alert 1357654774.6683: mail - syslog, ошибки, 2013 янв. 08 15:19:34 rr -> / var / log / auth.log Правило: 1002 (уровень 2) -> 'Неизвестная проблема где-то в системе.' 8 января 15:19:34 rr dbus [412]: [система] Отклонено отправленное сообщение, 2 подходящих правила; type = "method_call", sender = ": 1.62" (uid = 1000 pid = 2285 comm = "/ usr / lib / Indicator-Session / Indicator-Session-Servi") interface = "org.freedesktop.DBus.Properties" member = "GetAll" error name = "(unset)" required_reply = "0" destination = ": 1.19" (uid = 0 pid = 1157 comm = "/ usr / sbin / console-kit-daemon --no-daemon")
Попробуйте lsof | grep 45776
или с другим номером порта.
Попробуйте проверить целостность всех ваших двоичных файлов в вашей системе, используя debsums
. Это может показать какое-то измененное ядро (модуль ядра) или системное приложение. Я видел измененные демоны OpenSSH, чтобы скрыть активность, и измененный модуль ядра Bluetooth, чтобы даже создать бэкдор на уровне ядра. Я смог найти это по автоматической контрольной сумме всех двоичных файлов в системе, установленной через управление пакетами.
Установите пакет debsums
, например
sudo apt-get install debsums
Запускать дебсум с ошибками только на выходе.
sudo debsums -s
Некоторые файлы могут отсутствовать или нет сумм MD5 для некоторых пакетов. Просто помните о измененных двоичных файлах.
Кроме того, познакомьтесь с охотниками за руткитами. Я думаю, что их не так сложно использовать. Обязательно используйте последнюю версию и последние определения вредоносных программ, чтобы найти и последние. Однако это не пуленепробиваемый тест. Я предлагаю задать более конкретный вопрос по этому вопросу либо в безопасности SE , либо unix SE .