LINUX.ORG.RU

Gentoo - как поймать бандитов.

 , ,


0

2

КБ отдел решил забрать у меня машину, потому что «с неё осуществляется нападие на их ЦОД». В подтверждение они продемонстрировали запросы по адресам

https://fx8.io
https://www.cobaltstrike.com
https://mirrors.aliyun.com

которые едут с моего компьютера в час ночи, по локальному времени. Последний оказался gentoo-репозиторием по умолчанию в системе, но это ладно. Сменил его на яндекс.

В системе установлено 3.5 пакета (иксы, дрова, пайчарм, фаерфокс), все из генту-репозитория.

Единственная моя догадка, что это может быть – firefox или pycharm плагины, которые встали в систему при синхронизации с аккаунтами. Из наиболее подозрительных: addblock, youtube enhancer, ghostery(?), IdeaVimExtension

Впорос следующий – как найти процесс, пуляющий такие интересные запросы?

Я пока придумал только netstat -ptuc >> /var/log/network_activity

Но что делать дальше я пока не придумал.



Последнее исправление: Komatsu (всего исправлений: 2)

«с неё осуществляется нападие на их ЦОД». В подтверждение они продемонстрировали запросы по адресам

https://fx8.io https://www.cobaltstrike.com https://mirrors.aliyun.com

которые едут с моего компьютера в час ночи, по локальному времени.

Чего? Не понял. То есть ты осуществлял атаку тем, что заходил на какие-то сайты?

Vsevolod-linuxoid ★★★★★
()

как поймать

в час ночи

выключай компьютер на ночь - береги электроэнергию

anonymous
()
Ответ на: комментарий от Komatsu

куда наш отдел КБ запрещает

Выуди из отдела КБ список запрещенного и запили в host файле записи вида:

127.0.0.1   aliyun.com

P.S. «Нет Куско - нет Кускотопии - нет и проблем» © The Emperor’s New Groove

ololoid ★★★★
()
Ответ на: комментарий от anonymous

Зачем на работе заниматься не своими делами?

А чтоб не пересекаться лишний раз с этими кибервахтерами.

ololoid ★★★★
()

Попробуй ещё просто по всем файлам погрепать

anonymous
()

Заверни эти адреса на локалхост, делов то.

chenbr0
()

Просто посмотри что в конфигах крона у тебя. Может проверка обновлений какая-то. Зачем мудрить какие-то извращения с нетстатом?

Xenius ★★★★★
()
Ответ на: комментарий от vvviperrr

Университетская машина. Она вообще должна быть в домене, и на виндоусе, но на это КБ, судя по всему, готово закрыть глаза. Лишь бы университетские сервера не шатали.

Komatsu
() автор топика
Ответ на: комментарий от Xenius

Крон чист. Машина нулевая.

Как я фф снёс - волшебные запросы прекратились. Но хотелось бы, разумеется, убедиться.

Завернуть запрещёнку в локалхост можно, но это не решит исходную проблему – тачка будет в дерьме, меня больше всего это мыкает.

Я в любом случае планирую все интернеты проксировать через впн, потому что никакого желания оставлять следы в логах кб-прокси у меня нет. Ну и вот эти приколы тоже. Но хочется всё-же избавиться малвари и понять, как её можно детектить.

Есть +- сложные варианты. Пусть трафик через локальный фаерволл и логать исходящий трафик, но тогда я только установлю факт хреновых запросов. Процесс таким образом найти не получится. А задача в этом.

Komatsu
() автор топика
Ответ на: комментарий от Komatsu

Не факт, что у тебя малварь, а не штатное поведение. Если виноват файрфокс смотри исходники, которые ты компилировал

anonymous
()
Ответ на: комментарий от Komatsu

фф снёс - волшебные запросы прекратились

все это конечно очень удручает - специалисты пользующиеся подобным дерьмом нихрена не тянут на специалистов, проксировать он собрался - я бы тебя метлой отправил махать.

anonymous
()
Ответ на: комментарий от Komatsu

Стандартный совет, лежащий на поверхности – используйте auditd.

i586 ★★★★★
()
Ответ на: комментарий от Komatsu

Можно сделать свой наколенный DNS-форвардер, лишь бы сокеты самому создавать, и по этим сокетам затем вычислять PID, сканируя /proc/PID/fd. Сложно, но если очень хочется, то можно. Хотя, возможно на каком-нибудь питоне + dnspython это делается за вечер.

Ещё, теоретически, можно глибц-шные резолвящие функции подменить через LD_PRELOAD, однако, не все программы пользуются этими функциями, брузеры как раз просто читают resolv.conf и своими силами запрашивают DNS.

anonymous
()
Ответ на: комментарий от sparkie

Да у парня строгий отдел безопасности тупит и на словах не разрешает указанные соединения в нерабочее время под угрозой отобрать комп. Комп, понятно дело, засран всякими адблоками и плагинами и постоянно, без разрешения Komatsu, сам соединяется. Но Komatsu и не против, он понимает, что это, возможно, нормальное поведение системы, а вот отдел безпеки — против. Топик Стартер интересуется, можно ли вычислить по запрашиваемым адресам локальный процесс, который их шлёт.

anonymous
()
Ответ на: комментарий от anonymous

Это больше всего похоже на правильный подход, но к сожалению моей компетенции не хватит, чтобы скрафтить быстро. Ну, ладно. Вот прям какого-то готового решения я так и не придумал, кроме как писать весь аптайм логи, и потом грепать по необходимости.

В общем, снесу адблок, и поставлю который опенсорсный. Траф пущу через впн, под радарами этих киберполицаев.

Komatsu
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.