Действительно ли возможно искать клавиатурный перехватчик с помощью netstat / nmap?

1. Нет; если Ваша машина не имеет никаких открытых портов, который просто делает заражение тяжелее во-первых. Если у Вас есть вредоносное программное обеспечение на Вашей машине, это, скорее всего, маяки, который редко останавливается.

2. Вредоносное программное обеспечение вводные порты не настолько распространено против клиентов. Они часто находятся позади брандмауэра NAT, таким образом (как долго, поскольку у них нет uPnP, включал), даже если у них был открытый порт, только локальная сеть может общаться с ними.

3. , Поскольку сказанный Serg, netstat -tulpan является Вашим другом для наблюдения, на что идет трафик. Попытайтесь работать от консоли, а не GUI (переключатель от входа в систему GUI с Ctrl-Alt-F1), и затем работайте до GUI, медленно запуская Ваши нормальные программы, таким образом, можно определить, когда соединения запускаются.

4. Что-либо связанное с 127.0.0.1 является внутренним, и не доступным для чего-либо кроме Вашего устройства. TCP 631 является сервисом принтера, и TCP 51072 порт Ephemeral , просто ожидая ответа. netstat -tulpan поможет Вам определить процесс с помощью того порта. Это ничего особенно подозрительного.

По умолчанию Ubuntu поставлется без открытых портов на открытых интерфейсах.

Не совсем верный. С технической точки зрения Ubuntu поставлется с минимальными открытыми портами, особенно 631, который является для сетевой печати. Но такие сервисы как передача почты, ssh, ftp - они все требуют программного обеспечения сервера, установленного на Вашей машине. Например, ssh порт 22 открыт на моей машине только после того, как я установил openssh-server.

Это не означает, что Вы - 100%-й сейф, только 89%-й сейф. Другие 10% могут быть добавлены путем включения брандмауэра по умолчанию или установки собственного.

Это означает, что, если бы я был заражен клавиатурным перехватчиком, мой компьютер не отправил бы информацию на компьютер хакера?

Я не профессионал информационной безопасности, но я не был бы удивлен, были ли клавиатурные перехватчики, которые отправляют информацию через порт 80, который является стандартным портом для интернет-материала. Браузеры делают это, например. Таким образом, ответ, информация могла все еще выйти из Вашего компьютера

Действительно ли возможно загрузить приложение (вирус/вредоносное программное обеспечение), который открыл бы порт на открытом интерфейсе, если бы это имело корневой доступ?

Да. Как я описал немного ранее, устанавливаете ли Вы ftp или ssh серверы, Вы получаете порты 25 и 22 открытых, и Вы устанавливаете их как корень; Таким образом, что останавливает вредоносное программное обеспечение, делающее то же, если оно имеет корневой доступ? Точно ничто.

Как я проверяю на открытые порты на открытых интерфейсах? Я знаю netstat-a, netstat, nmap-v localhost, nmap-v-p1-65535 localhost, но они все показывают другую информацию, таким образом, я не уверен.

netstat и nmap две из основных и лучших утилит командной строки, которые используются системными администраторами во всем мире. Они уже хороши, но требуют приобретения знаний немного о флагах.

netstat -tulpan то, что я лично использую в своих проверках. Это показывает все соединения TCP и соединения UDP, включая слушания и распечатывает соединения в IP-адресе (числовой) формат. Если существует IP-адрес, который подозрителен, с ним можно свериться nslookup или dig или whois. Кроме того, -pфлаг скажет Вам, что использует программа, какой порт или установили соединение. Это довольно полезно, Вы можете более поздний поиск, которые обрабатывают, а также обрабатывают идентификатор, в конечном счете определяя местоположение исполняемого файла.

nmap хорошо для сканирования локальной сети, а также Вашей собственной машины. Лично я использую sudo nmap -sT -T4 -n 192.168.0.1/24 в моей локальной сети для проверки довольно быстро всех устройств в моей сети, включая мою собственную машину. Я вижу, какие компьютеры находятся в сети.

Используя nmap-v-p1-65535 localhost мой компьютер находит два порта: Обнаруженный открытый порт 631/tcp на 127.0.0.1 Обнаруженных открытых портах 51072/tcp на 127.0.0.1 Делает IP в конце, среднем, что он не отправляется на другой компьютер?

Когда Вы сканируете с localhost, который означает, что Вы сканируете свой собственный компьютер. Localhost или адрес, который компьютер отсылает к себе, установлен на 127.0.0.1. Это похоже на выяснение у себя Who am I ? Ну, I am me был бы ответ.

Это означает, что у Вас есть порты 51072 и 631 открытый. 631 открыто по умолчанию, но 51072 немного более хитро. Порты от 1 024 до 65 534 используются для установления временных соединений, например, интернет-браузерами. Обычно они открыты и затем закрыты, но если это является персистентным, у Вас может уже быть некоторая форма установленного вредоносного программного обеспечения, не обязательно клавиатурный перехватчик.

Я предложил бы, чтобы Вы отключили компьютер от сети сразу. Исследуйте свои записи Автоматического запуска, пароль изменения с sudo passwd $USER, включите брандмауэр Ubuntu по умолчанию с sudo sed -i 's;ENABLED=no;ENABLED=yes;g' /etc/ufw/ufw.conf. Удостоверьтесь, что Вы изменяетесь/разрешаете пароль администратора маршрутизатора (не пароль Wi-Fi, фактический пароль, который позволяет Вам, вносит изменения настроек в Ваш маршрутизатор), предпочтительно от другого компьютера.

После этого необходимо смочь возвратиться к интернет-просмотру, но можно хотеть наблюдать соединения, порты, поведение машины. Постарайтесь не делать что-либо, что могло поставить под угрозу важные пароли и логины. Если Вы все еще имеете проблему, рассматриваете выяснение у профессионалов информационной безопасности для справки.