LINUX.ORG.RU
ФорумSecurity

Сниффинг траффика. Взлом?

 ,


1

4

Всем привет!

Есть Убунту 16.04.2 с таким брандмауэром:

#!/bin/bash

iptables -F

iptables -X

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

ip6tables -P INPUT DROP

ip6tables -P FORWARD DROP

ip6tables -P OUTPUT DROP

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT -p tcp -s 51.254.120.82 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p tcp -d 51.254.120.82 -j ACCEPT

iptables -A INPUT -p icmp -j DROP

iptables -A INPUT -p tcp -j DROP

iptables -A OUTPUT -p tcp -j DROP

iptables -A INPUT -p udp -j DROP

iptables -A OUTPUT -p udp -j DROP

route delete -net 169.254.0.0 netmask 255.255.0.0 //// Да, это паранойя:)

Т.е., вроде, должно разрешать на вход и выход только единственный ТОР - айпи. Остальное должно игнорироваться. Далее, в tcpwrapper( hosts.deny ) прописано ALL: ALL, что, вроде, должно запрещать подключение в систему через какой-то сервис.

Проблема в том, что в сети есть шутник, который может снифферить мой трафик:) Интересно, что в браузере(при отключенном Торе) при попытке зайти на https или hsts - сайт( youtube ), постоянно выдает «Устанавливается tls - рукопожатие», чего, кстати, нет, если загрузиться через live-usb ОС и в том же браузере зайти на тот же сайт(т.е. про tls не будет ни слова)(спуффинг? На ходу что-то подменяет?). Заметил, что иногда, при попытке выключения компа, он долго выключается( если до этого вызвать в консоли netstat -anoptul, выдает кучу соединений c off (0.00/0/0)( до выключения все программы, работающие по сети закрыты уже(браузер, скайп и т.д.) ) ). Трассировка (к примеру, mtr 8.8.8.8), просмотр arp ничего интересного не показывают. Настройки сети - статические.

Никакие сетевые сервисы наружу не смотрят, отключено все, что было включено по умолчанию(cupsd, avachi и т.д.).

Кто сталкивался, подскажите, возможно ли при моих настройках в систему удаленно влезть(это я к тому, что комп выключается долго, будто что-то выполняется еще(хотя все программы перед выключением закрыты уже))?

Как он тор - трафик может снифферить? Спасибо за внимание и ответы:)



Последнее исправление: alex_agn_7 (всего исправлений: 1)
Как подключиться по SSH к серверу через LINUX TERMINAL, найти и удалить backdoor?
noisesocket

Ответ на: комментарий от Jopich1

Это происходит с определенного времени, менялись уже много раз айпи Тора. Сохраняется «авторский» стиль:) анонимного шутника, что явно говорит о том, что какой-то хозяин ноды Тора тут не при чем

alex_agn_7
() автор топика

Запусти tcpdump или wireshark и посмотри трафик, который приходит и уходит из твоего компьютера.

И ещё: настроен ли Tor, чтобы использовать указанный единственный IP?

Pravorskyi ★★★
()
Ответ на: комментарий от Pravorskyi

Нет, не настроен. Все из коробки(тор - браузер). на 1 ноде айпишник постоянно один и тот же(юзаю уже с неделю). Из правил брандмауэра не должно ничего ни впускать, ни выпускать, если айпи не тот, что указан...

alex_agn_7
() автор топика
Ответ на: комментарий от alex_agn_7

Просто так никто никуда не может влезть, это зависит от приложений, которыми ты пользуешься, их настроек и наличия в них уязвимостей.

Если человек находится в локальной сети, то у него значительно расширяется спектр векторов атак. Он может банально спуфить IP и отсылать данные от имени 51.254.120.82. Он может пытаться найти брешь в локальных свитчах и роутерах, особенно, если это SOHO, переполнив таблицу адресов MAC и получив тупой хаб или получив доступ к админке или даже полноценный рут в роутере со всеми вытекающими последствиями.

Возьми свежий LiveUSB/LiveCD, можно что-то из специализированного, вроде Kali, и, загрузившись с него, изучай враждебный сегмент сети.

Сделай снапшот текущей системы, загрузи её в виртуальной машине на «чистом» хосте и изучи её трафик и поведение, если есть подозрение на взлом.

Переустанови, наконец, поменяв все пароли и включая только те сетевые сервисы, в настройке которых ты точно уверен.

anonymous00 ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Как подключиться по SSH к серверу через LINUX TERMINAL, найти и удалить backdoor?
Security
noisesocket