Обнаружение сканирования портов, выполняемых на собственном компьютере
Мне сказали, что мой рабочий компьютер массивно сканирует порты чужого ПК, который не предназначен мне. Как я могу узнать, какая программа это делает?
Следуя рекомендациям комментария ByteCommander, я использовал nethogs для отображения сетевого трафика. Я не нашел на моем компьютере подозрительных программ (что не обязательно означает, что таких программ нет - я просто не могу контролировать весь вывод), но есть некоторые странные строки формы
[ f1], где ip-адреса правой стороны, например, 123.24.163.24, 58.221.44.109 или 88.248.51.254. Путем поиска их вы увидите, что все они появляются на некоторых черных списках. Означает ли это, что есть что-то подозрительное? Может ли это иметь какое-либо отношение к моей первоначальной проблеме?
7 ответов
Определенный простой способ контролировать вашу систему - запустить команду наподобие netstat в течение дня или около того и посмотреть, что происходит исходящей. Например, что-то вроде этого будет показывать все исходящие (опрошенные) соединения:
netstat -nputwc | tee ~/network.log
Оттуда вы можете проверить network.log в своей домашней папке, чтобы увидеть, есть ли какие-либо странные / аномальные соединения. Лучше всего было бы запустить это в тот день, когда вы не будете слишком сильно использовать Интернет, поэтому вы можете получать только фоновые и неактивные соединения. Netstat предоставит вам возможность увидеть, какой процесс также вызывает соединения, которые могут оказаться полезными для поиска и уничтожения при запуске любого сканера.
Кроме того, вы можете получить более подробный / подробный журнал, используя [ f4], которые вы можете использовать для получения более продвинутого вывода и получения дополнительной информации. См. [F5] для получения дополнительной информации. Однако посмотрите, особенно на выражение src, чтобы получать только исходящие соединения. Также обязательно используйте параметр -w для записи в файл для удобства поиска. Вы можете прочитать немного больше о tcpdump этом , если хотите. По крайней мере, это скажет вам, действительно ли ваш компьютер сканирует вещи.
Из любого из них вы можете либо получить процесс (через netstat), либо важные вещи, например, когда и где собирается. Фактически вы можете запускать оба одновременно, чтобы искать какие-либо триггеры или подобные, которые вызывают сканирование. Вы можете даже использовать tcpdump для поиска при сканировании, а затем перекрестно ссылаться на это с помощью netstat, чтобы найти, что делает процесс.
Если вы заметили, что эти проверки происходят в обычное время, вы следует искать cronjob или аналогичные, которые можно легко удалить (относительно).
В противном случае вы можете использовать общие советы по безопасности, такие как запуск rkhunter, clamav и т. д. Вы всегда можете просто переустановить свою систему из хорошо известной резервной копии, чтобы просто закончить ее сейчас.
И просто для небольшого фона на ботнетах, в основном для вас.
Как правило, ботнет простаивает в вашей системе до тех пор, пока не будет вызван каким-то порядком. Это может быть ваша система, получающая сообщение с удаленного сервера, или ваш компьютер, опросив сервер для своих новых «заказов». В любом случае вы можете использовать эти же инструменты, чтобы найти эти команды ботнета и куда они собираются.
Как только вы сможете захватить ваш компьютер, являющийся частью бот-сети (если есть), вы можете найти, что и где находится программное обеспечение ботнета, и удалить его с помощью любых методов, которые вы хотите.
[d13 ] Также может быть важно отметить, что ваш компьютер не может быть зараженным устройством в сети. Маршрутизатор вверх, WAP, веб-камера или любая другая вещь IoT (принтеры, даже!) Также могут быть членами ботнета. Если они находятся за тем же соединением / IP, что и ваш компьютер (особенно дома или подобным), вы можете ошибочно обвинять свой компьютер вместо своего умного тостера или чего-то еще.Возможные вещи, которые вы можете сделать:
Измените свои пароли: в случае нападения человека с использованием вашего устройства (ов) в качестве маски, очевидно, что ваша аутентификация была каким-то образом скомпрометирована. Это включает в себя ваш компьютер, а также маршрутизатор, модем, интеллектуальные устройства в вашей домашней сети. Большинство пользователей только ставят пароль на Wi-Fi, но не пароль их учетной записи администратора маршрутизатора, что плохо. Как отметил Каз, интеллектуальные устройства также являются легкими объектами. Пока вы проверяете маршрутизатор, также проверьте, разрешил ли кто-то переадресацию порта на маршрутизаторе точно знать, к какому устройству обращаются. Проверьте nmap. Nmap является одним из наиболее распространенных инструментов, используемых для сканирования сетей. Его можно использовать для хорошего и это хороший инструмент для системных администраторов, но также может использоваться плохими парнями. Сделайте apt-cache policy nmap, чтобы убедиться, что кто-то установил его на ваш компьютер. Проанализируйте свои сетевые подключения и трафик. Такие инструменты, как netstat, расскажут вам, какие программы используют сетевые порты. Особый интерес представляет команда sudo netstat -tulpan. Еще один инструмент, который уже упоминался, - Wireshark. Возможно, вам потребуется время, чтобы узнать, как его использовать. Я бы рекомендовал, чтобы вы запускали все эти тесты со всеми браузерами и приложениями, зависящими от отключения сети. Рассмотрите возможность удаления плагинов для браузеров: расширения Chrome и дополнения Firefox удивительны, но это не невинные маленькие котята. Вы можете запустить браузер, и эти расширения выполняют всю вредоносную активность в фоновом режиме. Попробуйте удалить их все или просто удалить ~/.mozilla и ~/.config/google-chrome/. Если ничего не работает, удалите его с орбиты: другими словами, создайте резервную копию данных и переустановите Ubuntu. Когда система скомпрометирована, ее трудно доверять. Весьма распространенная техника - заменить законную программу на фальшивую. С тысячами бинарных файлов на компьютере может быть трудно сказать, что вызывает беспорядок, если вы не специалист по судебной экспертизе компьютера или исследователь безопасности. Сделайте Ubuntu live USB (желательно на другом, надежном компьютере) и переустановите свою систему. Подумайте о том, чтобы избавиться от своего маршрутизатора и получить новый. Установка вредоносного ПО на маршрутизаторах не так уж необычна, как вы думаете. Если вы не хотите этого делать, подумайте о том, чтобы установить программное обеспечение с открытым исходным кодом на маршрутизатор, например, DD-WRT или Open-WRT, это поддержка вашего производителя и версии маршрутизатора. Подумайте о том, чтобы обратиться к специалисту за помощью: это может стоить вам больше всего, но если вы хотите разобраться в этом и выяснить, что на самом деле происходит, подумайте о найме того, кто исследует безопасность компьютерной сети для жизни. Потенциальный плюс заключается в том, что они могут рассказать вам, кто и как скомпрометировал вашу сеть и использует ее для злоумышленника.Вы должны установить wirehark для проверки пакетов. Тем временем вы можете заблокировать IP-адреса или еще лучше всего диапазона (в случае их наличия), но, скорее всего, они просто используют другой маршрут.
Для одного IP:
sudo ufw deny from 123.24.163.24 to any
Для диапазона:
sudo ufw deny from 123.24.163.0/24 to any
или добавьте правило к iptables, если вы предпочитаете этот путь.
sudo iptables -A INPUT -s 123.24.163.0/24 -j DROP
Есть вероятность, что кто-то работает с вашего компьютера, следовательно, сканирование. В таком случае, кто знает, что еще сделано на вашем компьютере. Может потребоваться полная очистка.
-
1Я хотел бы прокомментировать приведенные выше ответы. Измените свои пароли, только не с этого компьютера или любого другого внутри вашей локальной сети , поскольку он уже может быть скомпрометирован. Я думаю, вы были заражены обратной оболочкой. Лучше всего стереть вашу систему, так как не указано, где они вложены. Если вы не специалист, и у вас есть время, чтобы разбить пару сотен тысяч файлов в вашей системе. Также, как уже говорилось, подумайте о том, чтобы изменить свой маршрутизатор, если вы на 100% не уверены, что никто из вас не взломает вас. Я бы сказал, попробуйте n доступ к администратору, но вы можете указать им пароль. – user633551 16 January 2017 в 15:08
Сетевой монитор EtherApe является средним вариантом для мониторинга трафика данных вашей сети. Как сетевой монитор с открытым исходным кодом, EtherApe графически отображает сетевую активность с отображением протоколов с цветовой кодировкой. Хосты и ссылки изменяются по размеру с трафиком. Он поддерживает Ethernet, WLAN, FDDI, Token Ring, ISDN, PPP и SLIP устройства. Он может фильтровать трафик, который будет отображаться, и может читать трафик из файла, а также жить в сети. Для загрузки и получения дополнительной информации посетите домашнюю страницу EtherApe.
зайдите на домашнюю страницу EtherApe
. Блокирование оскорбительного адреса так же просто, как добавление подозрительного адреса в введите здесь IP-таблицы
iptables –A INPUT –m tcp –s OFFENDING_IP_ADDRESS –d WEB_SERVER_ADDRESS –dport 80 –j DENY (where OFFENDING_IP_ADDRESS is the suspect address and WEB_SERVER_ADDRESS is the web server being hit)
В Linux также есть и другое очень хорошее программное обеспечение с открытым исходным кодом (OSS), и вы можете установить в своем Ubuntu большую безопасность и оценить вашу систему возможных сбоев .
Сетевой монитор EtherApe
Lynis - это инструмент аудита безопасности с открытым исходным кодом. Используется системными администраторами, специалистами по безопасности и аудиторами для оценки защиты системы Linux и UNIX.
Хотя он имеет множество вариантов анализа (даже может быть дополнен плагинами), базовая операция состоит в анализе серии аспекты системы и проверить правильность конфигурации.
В итоге на основе полученных результатов вам будет предложен оценочный балл 100, который они называют индексом упрочнения, а также хорошим запись всех предупреждений и корректирующих мер, которые вы предлагаете применить.
Lynis работает практически во всех UNIX-системах и версиях.
Lynis легковес и прост в использовании, он используется для различных целей.
Вы можете узнать больше о Lynis на официальной ссылке на сайт.
Типичные варианты использования Lynis включают:
Security auditing
Compliance testing (e.g. PCI, HIPAA, SOx)
Vulnerability detection and scanning
System hardening
Типичные варианты использования Lynis включают:
Эти продукты ориентированы в первую очередь на сканирование уязвимостей. Они делают это через сеть посредством опроса. Возможно, они войдут в систему и соберут данные.
RootKit Checkers «rkhunter & amp; chkrootkit»
Пакет rkhunter находится в репозиториях, поэтому просто
[d29 ] sudo apt-get install rkhunterИтак, chkrootkit
sudo apt-get install chkrootkit
Сетевой монитор EtherApe является средним вариантом для мониторинга трафика данных вашей сети. Как сетевой монитор с открытым исходным кодом, EtherApe графически отображает сетевую активность с отображением протоколов с цветовой кодировкой. Хосты и ссылки изменяются по размеру с трафиком. Он поддерживает Ethernet, WLAN, FDDI, Token Ring, ISDN, PPP и SLIP устройства. Он может фильтровать трафик, который будет отображаться, и может читать трафик из файла, а также жить в сети. Для загрузки и получения дополнительной информации посетите домашнюю страницу EtherApe.
зайдите на домашнюю страницу EtherApe
. Блокирование оскорбительного адреса так же просто, как добавление подозрительного адреса в введите здесь IP-таблицы
iptables –A INPUT –m tcp –s OFFENDING_IP_ADDRESS –d WEB_SERVER_ADDRESS –dport 80 –j DENY (where OFFENDING_IP_ADDRESS is the suspect address and WEB_SERVER_ADDRESS is the web server being hit)
В Linux также есть и другое очень хорошее программное обеспечение с открытым исходным кодом (OSS), и вы можете установить в своем Ubuntu большую безопасность и оценить вашу систему возможных сбоев .
Сетевой монитор EtherApe
Lynis - это инструмент аудита безопасности с открытым исходным кодом. Используется системными администраторами, специалистами по безопасности и аудиторами для оценки защиты системы Linux и UNIX.
Хотя он имеет множество вариантов анализа (даже может быть дополнен плагинами), базовая операция состоит в анализе серии аспекты системы и проверить правильность конфигурации.
В итоге на основе полученных результатов вам будет предложен оценочный балл 100, который они называют индексом упрочнения, а также хорошим запись всех предупреждений и корректирующих мер, которые вы предлагаете применить.
Lynis работает практически во всех UNIX-системах и версиях.
Lynis легковес и прост в использовании, он используется для различных целей.
Вы можете узнать больше о Lynis на официальной ссылке на сайт.
Типичные варианты использования Lynis включают:
Security auditing
Compliance testing (e.g. PCI, HIPAA, SOx)
Vulnerability detection and scanning
System hardening
Типичные варианты использования Lynis включают:
Эти продукты ориентированы в первую очередь на сканирование уязвимостей. Они делают это через сеть посредством опроса. Возможно, они войдут в систему и соберут данные.
RootKit Checkers «rkhunter & amp; chkrootkit»
Пакет rkhunter находится в репозиториях, поэтому просто
[d29 ] sudo apt-get install rkhunterИтак, chkrootkit
sudo apt-get install chkrootkit
Сетевой монитор EtherApe является средним вариантом для мониторинга трафика данных вашей сети. Как сетевой монитор с открытым исходным кодом, EtherApe графически отображает сетевую активность с отображением протоколов с цветовой кодировкой. Хосты и ссылки изменяются по размеру с трафиком. Он поддерживает Ethernet, WLAN, FDDI, Token Ring, ISDN, PPP и SLIP устройства. Он может фильтровать трафик, который будет отображаться, и может читать трафик из файла, а также жить в сети. Для загрузки и получения дополнительной информации посетите домашнюю страницу EtherApe.
зайдите на домашнюю страницу EtherApe
. Блокирование оскорбительного адреса так же просто, как добавление подозрительного адреса в введите здесь IP-таблицы
iptables –A INPUT –m tcp –s OFFENDING_IP_ADDRESS –d WEB_SERVER_ADDRESS –dport 80 –j DENY (where OFFENDING_IP_ADDRESS is the suspect address and WEB_SERVER_ADDRESS is the web server being hit)
В Linux также есть и другое очень хорошее программное обеспечение с открытым исходным кодом (OSS), и вы можете установить в своем Ubuntu большую безопасность и оценить вашу систему возможных сбоев .
Сетевой монитор EtherApe
Lynis - это инструмент аудита безопасности с открытым исходным кодом. Используется системными администраторами, специалистами по безопасности и аудиторами для оценки защиты системы Linux и UNIX.
Хотя он имеет множество вариантов анализа (даже может быть дополнен плагинами), базовая операция состоит в анализе серии аспекты системы и проверить правильность конфигурации.
В итоге на основе полученных результатов вам будет предложен оценочный балл 100, который они называют индексом упрочнения, а также хорошим запись всех предупреждений и корректирующих мер, которые вы предлагаете применить.
Lynis работает практически во всех UNIX-системах и версиях.
Lynis легковес и прост в использовании, он используется для различных целей.
Вы можете узнать больше о Lynis на официальной ссылке на сайт.
Типичные варианты использования Lynis включают:
Security auditing
Compliance testing (e.g. PCI, HIPAA, SOx)
Vulnerability detection and scanning
System hardening
Типичные варианты использования Lynis включают:
Эти продукты ориентированы в первую очередь на сканирование уязвимостей. Они делают это через сеть посредством опроса. Возможно, они войдут в систему и соберут данные.
RootKit Checkers «rkhunter & amp; chkrootkit»
Пакет rkhunter находится в репозиториях, поэтому просто
[d29 ] sudo apt-get install rkhunterИтак, chkrootkit
sudo apt-get install chkrootkit
Сетевой монитор EtherApe является средним вариантом для мониторинга трафика данных вашей сети. Как сетевой монитор с открытым исходным кодом, EtherApe графически отображает сетевую активность с отображением протоколов с цветовой кодировкой. Хосты и ссылки изменяются по размеру с трафиком. Он поддерживает Ethernet, WLAN, FDDI, Token Ring, ISDN, PPP и SLIP устройства. Он может фильтровать трафик, который будет отображаться, и может читать трафик из файла, а также жить в сети. Для загрузки и получения дополнительной информации посетите домашнюю страницу EtherApe.
зайдите на домашнюю страницу EtherApe
. Блокирование оскорбительного адреса так же просто, как добавление подозрительного адреса в введите здесь IP-таблицы
iptables –A INPUT –m tcp –s OFFENDING_IP_ADDRESS –d WEB_SERVER_ADDRESS –dport 80 –j DENY (where OFFENDING_IP_ADDRESS is the suspect address and WEB_SERVER_ADDRESS is the web server being hit)
В Linux также есть и другое очень хорошее программное обеспечение с открытым исходным кодом (OSS), и вы можете установить в своем Ubuntu большую безопасность и оценить вашу систему возможных сбоев .
Сетевой монитор EtherApe
Lynis - это инструмент аудита безопасности с открытым исходным кодом. Используется системными администраторами, специалистами по безопасности и аудиторами для оценки защиты системы Linux и UNIX.
Хотя он имеет множество вариантов анализа (даже может быть дополнен плагинами), базовая операция состоит в анализе серии аспекты системы и проверить правильность конфигурации.
В итоге на основе полученных результатов вам будет предложен оценочный балл 100, который они называют индексом упрочнения, а также хорошим запись всех предупреждений и корректирующих мер, которые вы предлагаете применить.
Lynis работает практически во всех UNIX-системах и версиях.
Lynis легковес и прост в использовании, он используется для различных целей.
Вы можете узнать больше о Lynis на официальной ссылке на сайт.
Типичные варианты использования Lynis включают:
Security auditing
Compliance testing (e.g. PCI, HIPAA, SOx)
Vulnerability detection and scanning
System hardening
Типичные варианты использования Lynis включают:
Эти продукты ориентированы в первую очередь на сканирование уязвимостей. Они делают это через сеть посредством опроса. Возможно, они войдут в систему и соберут данные.
RootKit Checkers «rkhunter & amp; chkrootkit»
Пакет rkhunter находится в репозиториях, поэтому просто
[d29 ] sudo apt-get install rkhunterИтак, chkrootkit
sudo apt-get install chkrootkit