Ktoś przesyła rzeczy z mojego komputera

Dostaję się bardzo powoli wrażenia z Internetu. W vnstat widzę

   rx:        4 kbit/s     3 p/s          tx:    94.74 Mbit/s 14072 p/s^C


 eth4  /  traffic statistics

                           rx         |       tx
--------------------------------------+------------------
  bytes                    11.85 MiB  |       30.30 GiB
--------------------------------------+------------------
          max            6.86 Mbit/s  |    94.93 Mbit/s
      average           28.18 kbit/s  |    73.80 Mbit/s
          min               0 kbit/s  |        0 kbit/s
--------------------------------------+------------------
  packets                      17127  |        37761168
--------------------------------------+------------------
          max                584 p/s  |       14108 p/s
      average                  4 p/s  |       10964 p/s
          min                  0 p/s  |           0 p/s
--------------------------------------+------------------
  time                 57.40 minutes

Za pomocą nethogów widzę,

  PID USER     PROGRAM                                                                                                                                                         DEV        SENT      RECEIVED       
2546  root     su                                                                                                                                                              eth4       0.013       0.072 KB/sec
?     root     192.168.7.100:58888-43.250.83.106:61878                                                                                                                                    0.021       0.025 KB/sec
?     root     192.168.7.100:58888-70.24.39.90:65025                                                                                                                                      0.021       0.025 KB/sec
?     root     192.168.7.100:44145-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:52239-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:15834-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:29433-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:49576-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:36540-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:32289-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:25437-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:10155-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:32125-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:59269-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:57686-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:2747-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:59482-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:58985-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:56246-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:4345-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:10665-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:40676-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:35600-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:12241-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:43541-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:19124-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:1676-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:37809-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:7017-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:14998-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:64834-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:31544-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:17969-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:57675-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:32002-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:1233-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:64445-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:51733-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:38604-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:63299-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:96-115.28.112.60:7575                                                                                                                                        0.168       0.000 KB/sec
?     root     192.168.7.100:28078-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:40611-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:4304-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:43318-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:8573-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:51347-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec

Wygląda na to, że ktoś uruchomił aplikację torrentową i wczytuje wszystko z mojego komputera. Nie jestem pewien.

Skąd mam wiedzieć, jaki proces wykonuje te paskudne rzeczy? Muszę się także powstrzymać i zapobiec temu w przyszłości.

Czy jestem zastawiony?

Aktualizacja

Zamknąłem wszystkie porty oprócz sshd (22) przez zaporę routera. Teraz nie widzę tego procesu. Ale teraz nethogs pokazują ten dziwny wynik.

  PID USER     PROGRAMDEV        SENT      RECEIVED       
?     root     unknown TCP      0.000       0.000 KB/sec

networking ubuntu ubuntu-12.04 bandwidth Shiplu Mokaddim
źródło

nethogs powinien był pokazać nazwę programu. Ale w każdym razie, co netstat -natuppokazuje.

Firelord,

netstat nie pokazuje żadnego pid!

Shiplu Mokaddim

Polecenie, o którym wspomniałem, robi. Sprawdziłem to dwukrotnie. To pokazuje.

Firelord,

@Firelord nie ma wpisu dla ip 115.28.112.60w wyjściunetstat -natup

Shiplu Mokaddim

Nie jestem pewien, jak dokładnie działają Nethogs, ale czy ten znak zapytania nie oznacza, że jest to „przeszłe” połączenie? Jeśli proces już nie istnieje, nethogs pokażą mu znak zapytania. Brak 115.28.112.60IN netstat -natupwskazuje na to, jak dużo. Czy nadal masz dziwne połączenia? Może opublikuj netstat -natup-result lub / i nawet ps auxsprawdź, czy jest uruchomiony dziwny proces, którego nie rozpoznajesz.

Rik

Wygląda na to, że może należeć do działu bezpieczeństwa informacji, ale oto początek zobaczenia „skąd będziesz wiedział” i jeśli jesteś wredny.

Niektóre spostrzeżenia:

43.250.83.106 znajduje się w Bangladeszu (w pobliżu)
70.24.39.90 znajduje się w Ameryce Północnej (Kanada)
115.28.112.60 to AsiaPacific (Chiny), bez ruchu przychodzącego
Niskie numery portów (poniżej efemerycznego limitu twojego systemu operacyjnego) są uprzywilejowane i zwykle nie są potrzebne połączenia wychodzące.
Chociaż portcan może wyjaśnić ostatni zestaw (jedno źródło: IP), nie ma dowodów na to, że są to sesje przychodzące, a RST (w odpowiedzi na skanowanie) i tak mają około 50 bajtów (nie 172).

Aby ustalić, czy to możliwe, C2 (na dwóch najwyższych adresach), a następnie szybka sekwencja portów wychodzących wychodzących (wysyłanie około 172 bajtów każdy, zamykanie bez widocznej odpowiedzi), musisz ponownie podłączyć system i rozpocząć przechwytywanie pakietów. Nie rób tego

Jeśli zamierzasz zachować to / nie tworzenie kopii zapasowych itp .:

Przejrzyj dzienniki zewnętrznej zapory lub przechwyć pakiety poza systemem, aby sprawdzić, czy nadal próbuje się z nim skontaktować. Może to być również wysyłanie pakietów do Twojej sieci. Może to być tak proste jak wychodzące DNS lub ICMP, aby uniknąć ujawnienia C2.
Na samym hoście możesz wypróbować kilka rzeczy:
- Najpierw rozważ, czy twoje narzędzia są przesłonięte lub zaczepione. W tym celu możesz wypróbować statycznie połączone pliki binarne, które uzyskasz / stworzysz (i masz na nośniku tylko do odczytu), lub użyj busybox
- „netstat -p” często działa tylko z podwyższonymi uprawnieniami (z pewnością już je podwyższono podczas badania, więc nie stanowi to dodatkowego ryzyka).
- „lsof -i4” pokaże procesy + połączenia IPv4 (-i6 dla IPv6).
- Unhide porównuje / proc z 'ps', próbuje wywołań systemowych, wykonuje brutalne wymuszanie pid, wyszukuje wątki w odwrotnej kolejności, a także może ujawniać porty niewidoczne dla netstat.
- ss -ap (procesy + gniazda)
- rkhunter, chkrootkit (kontrolery rootkitów)
- sprawdź, czy coś działa w dziwnych miejscach (np. foldery tmp)
- sprawdź skrypty rezydentne (perl, python itp.)

Inne narzędzia:

lsmod powinien pokazywać moduły jądra
Audyt (jeśli dodany przez twoją dystrybucję) powinien dać ci możliwość monitorowania dziwnych wywołań systemowych i awarii.
tcpdump (przechwytywanie ruchu sieciowego)
sprawdź swoje pliki historii na użytkownika (obejmują / root i / home / *), takie jak .bash_history, .lesshst, .mysql_history itp.
sprawdź / proc / filesystems i wszelkie systemy plików ck *, których nie zainstalowałeś. Systemy plików w przestrzeni użytkownika (FUSE) mogą ukrywać obszary zadrapania.

Zapobieganie nawrotom to duża, złożona odpowiedź związana z tym, co się wydarzyło. Firewalling (iptables), IDS / IPS (snort), wyłączanie niepotrzebnych usług, audyt dostępu do wget / curl / skryptów, inspekcja plików wykonywalnych upuszczanych w dziwnych miejscach (foldery domowe, foldery tymczasowe), monitorowanie integralności plików itp. To dobry początek. SELinux (AppArmor jest podobny w innych systemach) zwykle wymaga dużo pracy, ale jest także użyteczny.

ǝɲǝɲbρɯͽ
źródło

Ktoś przesyła rzeczy z mojego komputera

Aktualizacja

Odpowiedzi: