В общем замучила меня паранойя. Долгое время не придавал никакого значения компьютерной безопасности, поскольку был уверен, что вряд ли кого-то может заинтересовать моя скромная персона. Но так уж вышло, что по моей безалаберности и неосторожности меня однажды таки взломали. Был взломан роутер через что был получен доступ ко всем подключенным к нему устройствам. На тот момент я еще пользовался виндовс.
После замены роутера и переустановки винды подозрительная активность все еще наблюдалась. Тогда я решил установить линукс и был уверен что на этом про инцидент можно забыть. Но не тут то было. Последствия взлома все еще продолжали о себе напоминать. Притом что я не отформатировал полностью диск, поскольку на нем было большое количество файлов которые некуда было деть. Так что я просто установил линукс на тот же диск на котором были отформатированы разделы только связанные с установкой новой ОС. Как раз кстати в интернете начали активно всплывать новости про уязвимости в процессорах интел (и не только) (у меня процессор из тех что в списке уязвимых), что заставило меня задуматься о глубине проблемы. Таким образом я решил подойти к вопросу безопасности более основательно, что было довольно непросто для меня, поскольку в компьютерах я разбираюсь на уровне простого пользователя, да и вообще по натуре я типичный «гуманитарий».
Для начала я решил перепрошить биос, что сделал автоматически через интернет, благо современный биос, или как он теперь называется, делает эту процедуру элементарной. Только потом я обратил внимание на то, что в биосе, на вкладке «загрузка», в списке устройств все еще присутствует злополучная, давно удаленная винда. Как позже оказалось, при изучении разметки диска через gparted - существует 2 раздела связанных с ней 1. раздел с загрузчиком 2. раздел для восстановления, размером 0.5 ГБ, с какими-то файлами. Исходя из чего я пришел к выводу, что не смотря на все предыдущие манипуляции в моем компьютере имеется даже не щели, через которые злоумышленники могли получать доступ к моему компьютеру и сети, но целые тоннели, по которым могли с комфортом путешествовать классом люкс.
Удалив непотребные разделы оставшиеся от непотребной винды, предварительно отфарматировав их, только потом до меня дошла очевидная мысль, что стоит настроить фаервол .
Поскольку я редкостный нуб в линукс, решил прибегнуть к gufw в котором закрыл порты имеющие отношение к intel me (хотя помимо набившего всем оскомину intel me существует еще как минимум spectrum), после в настройках я выбрал в правилах фаервола опции запретить как входящий так и исходящий трафик, и открыл доступ порта только для dns, http, https, и порты для skype указанные на сайте необходимые для его работы.
Казалось бы на этом можно было бы наконец-то расслабиться, однако же после перезагрузки я обнаружил в отчете фаервола странную активность, а именно какой-то процесс, которого раньше не было с названием «dnsmasq», вернее даже несколько процессов с таким названием один из которых имеет протокол upd и порт 67 а за другим числится адрес 10.0.3.1 с протоколами как upd так и tcp с портом 53.
Не долго думая я создал правила при котором эти соединения будут блокироваться, после чего dnsmasq с портом 67 подсветился зеленым светом, что в gufw означает «запрещенный доступ», но два других процесса с таким же названием но портами 53 продолжали оставаться красными даже после применения правил блокировки, что в gufw означает «разрешенный доступ», и не удивительно, ведь 53 порт для dns был открыт как необходимый в предустановках gufw которыми я воспользовался для создания правил настройки.
Более того заглянувши в настройки сетевого соединения через значок уведомления на панели xfce помимо обычного проводного соединения я узрел некий «мост» с незатейливым названием lxcbr0 в параметрах которого значился тот самый адрес 10.0.3.1 который числился за процессами dnsmasq tcp\upd
Прежде никаких «мостов» в соединениях я не замечал. Уж не обессудьте если я просто не понимаю каких-то нюансов работы сети, но случившийся инцидент умноженный на мое ламерство сделали из меня параноика.
И теперь я серьезно подозреваю эти показавшиеся в поле зрения dnsmasq и мосты в попытках вредительства.
Или же подобная активность после всех проделанных манипуляций с настройками сети (то есть, запрет всего трафика кроме dns : 53, http : 80 , https : 443, и skype : 443/TCP 3478-3481/UDP 49152-65535/UDP + TCP) действительно является странной?
Понятно, что процесс dnsmasq \ 53 пользуется тем, что открыт порт 53 для dns но вопрос состоит в том, почему он появился в отчете фаервола, его раньше не было, кому принадлежит\куда ведет его адрес 10.0.3.1? и нормально ли, что в сетевых соединениях присутствует загадочный «мост» с этим самым адресом?
Прошу прощения за длинный пост, я пока еще не понимаю элементарных вещей в этой области (не исключаю, что проблемы может и вовсе нет), просто произошедший инцидент все еще воспринимается несколько эмоционально.