LINUX.ORG.RU

что за мост dnsmasq 10.0.3.1 \ 53?

 , ,


0

1

В общем замучила меня паранойя. Долгое время не придавал никакого значения компьютерной безопасности, поскольку был уверен, что вряд ли кого-то может заинтересовать моя скромная персона. Но так уж вышло, что по моей безалаберности и неосторожности меня однажды таки взломали. Был взломан роутер через что был получен доступ ко всем подключенным к нему устройствам. На тот момент я еще пользовался виндовс.

После замены роутера и переустановки винды подозрительная активность все еще наблюдалась. Тогда я решил установить линукс и был уверен что на этом про инцидент можно забыть. Но не тут то было. Последствия взлома все еще продолжали о себе напоминать. Притом что я не отформатировал полностью диск, поскольку на нем было большое количество файлов которые некуда было деть. Так что я просто установил линукс на тот же диск на котором были отформатированы разделы только связанные с установкой новой ОС. Как раз кстати в интернете начали активно всплывать новости про уязвимости в процессорах интел (и не только) (у меня процессор из тех что в списке уязвимых), что заставило меня задуматься о глубине проблемы. Таким образом я решил подойти к вопросу безопасности более основательно, что было довольно непросто для меня, поскольку в компьютерах я разбираюсь на уровне простого пользователя, да и вообще по натуре я типичный «гуманитарий».

Для начала я решил перепрошить биос, что сделал автоматически через интернет, благо современный биос, или как он теперь называется, делает эту процедуру элементарной. Только потом я обратил внимание на то, что в биосе, на вкладке «загрузка», в списке устройств все еще присутствует злополучная, давно удаленная винда. Как позже оказалось, при изучении разметки диска через gparted - существует 2 раздела связанных с ней 1. раздел с загрузчиком 2. раздел для восстановления, размером 0.5 ГБ, с какими-то файлами. Исходя из чего я пришел к выводу, что не смотря на все предыдущие манипуляции в моем компьютере имеется даже не щели, через которые злоумышленники могли получать доступ к моему компьютеру и сети, но целые тоннели, по которым могли с комфортом путешествовать классом люкс.

Удалив непотребные разделы оставшиеся от непотребной винды, предварительно отфарматировав их, только потом до меня дошла очевидная мысль, что стоит настроить фаервол .

Поскольку я редкостный нуб в линукс, решил прибегнуть к gufw в котором закрыл порты имеющие отношение к intel me (хотя помимо набившего всем оскомину intel me существует еще как минимум spectrum), после в настройках я выбрал в правилах фаервола опции запретить как входящий так и исходящий трафик, и открыл доступ порта только для dns, http, https, и порты для skype указанные на сайте необходимые для его работы.

Казалось бы на этом можно было бы наконец-то расслабиться, однако же после перезагрузки я обнаружил в отчете фаервола странную активность, а именно какой-то процесс, которого раньше не было с названием «dnsmasq», вернее даже несколько процессов с таким названием один из которых имеет протокол upd и порт 67 а за другим числится адрес 10.0.3.1 с протоколами как upd так и tcp с портом 53.

Не долго думая я создал правила при котором эти соединения будут блокироваться, после чего dnsmasq с портом 67 подсветился зеленым светом, что в gufw означает «запрещенный доступ», но два других процесса с таким же названием но портами 53 продолжали оставаться красными даже после применения правил блокировки, что в gufw означает «разрешенный доступ», и не удивительно, ведь 53 порт для dns был открыт как необходимый в предустановках gufw которыми я воспользовался для создания правил настройки.

Более того заглянувши в настройки сетевого соединения через значок уведомления на панели xfce помимо обычного проводного соединения я узрел некий «мост» с незатейливым названием lxcbr0 в параметрах которого значился тот самый адрес 10.0.3.1 который числился за процессами dnsmasq tcp\upd

Прежде никаких «мостов» в соединениях я не замечал. Уж не обессудьте если я просто не понимаю каких-то нюансов работы сети, но случившийся инцидент умноженный на мое ламерство сделали из меня параноика.

И теперь я серьезно подозреваю эти показавшиеся в поле зрения dnsmasq и мосты в попытках вредительства.

Или же подобная активность после всех проделанных манипуляций с настройками сети (то есть, запрет всего трафика кроме dns : 53, http : 80 , https : 443, и skype : 443/TCP 3478-3481/UDP 49152-65535/UDP + TCP) действительно является странной?

Понятно, что процесс dnsmasq \ 53 пользуется тем, что открыт порт 53 для dns но вопрос состоит в том, почему он появился в отчете фаервола, его раньше не было, кому принадлежит\куда ведет его адрес 10.0.3.1? и нормально ли, что в сетевых соединениях присутствует загадочный «мост» с этим самым адресом?

Прошу прощения за длинный пост, я пока еще не понимаю элементарных вещей в этой области (не исключаю, что проблемы может и вовсе нет), просто произошедший инцидент все еще воспринимается несколько эмоционально.



Последнее исправление: idk (всего исправлений: 1)

Да, если эти процессы все же заблокировать, то интернет пропадает.

idk
() автор топика
Ответ на: комментарий от idk

куда ведет его адрес 10.0.3.1

10.x.x.x это айпишники твоего провайдера и днс сервера.

anonymous
()

Спасибо всем кто ответил.

idk
() автор топика
Ответ на: комментарий от anonymous

А все же интересно почему этих процессов не было до настройку фаервола, когда в нем не было еще никаких правил, в отчете отражались только процессы запущенных приложений и непосредственно dhclient. Только после настройки и перезагрузки появился dnsmasq.

Выглядит это в моих ламерских параноидальных глаза, словно попытка обхода фаервола.

idk
() автор топика
Ответ на: комментарий от idk

Продолжение паранойи.

Оказалось, что dhclient \ upd 68 совершенно не обязателен для работы интернета, а значит я ошибочно принимал его за dhcp сервис необходимый для установки соединения сети. Что обнаружилось после того когда я создал правило блокирующее его.

Далее я заблокировал dnsmasq \ upd 67 И о чудо, на работу интернета это так же никак не повлияло.

Возникает логичный вопрос. Откуда и зачем повылазили эти процессы, если в фаерволе были установленны строгие настройки блокировки всех соединений кроме определенных, к которым перечисленные процессы судя по всему (настройки разрешения для фаервола указаны в первом сообщении) не относятся.

Таким образом из вылезших наружу подозрительных процессов только 2, которые по сути 1, влияют на работу интернета, это dnsmasq \ upd+tcp 53, а порт 53 был открыт для dns как обязательный

Но в настройках правил фаервола у каждого правила отображается к какому именно порту применяется правило каждой отдельной строчки правил, кроме правил указанных для dns, что навело меня на мысль, что указанные настройки dns не имеют отношения к подозрительному dnsmasq с загадочным адресом 10.0.3.1 работающему на обеих протоколах с портом 53, и то что интернет исчезает при попытке заблокировать этот подозрительный процесс, еще не значит что он белый и пушистый безобидный действительно необходимый для работы сети процесс.

Ведь может же быть и такое, что этот процесс просто нагло вторгся в сетевое соединение и пропускает трафик через себя, что и приводит к потере интернета при попытке его прикрыть. Хотя вполне может быть что это предположение не основывается ни на чем кроме паранойи, но тем не менее, первоначально удовлетворившись ответами анонима по поводу природы данного соединения, паранойя понудила меня еще раз все перепроверить, и возможно мне не хватает компетенции для того чтобы понять правильность данного ответа на свой вопрос, но тем не менее изучив журнал роутера, а так же изучив детальную информацию о ip провайдера на сайте whoer.net я нигде не нашел никаких намеков на цифры подозрительного адреса 10.0.3.1 или даже на приблизительный диапазон.

Не знаю, возможно мне пора не к админам а к доктору, но я все еще склоняюсь к версии что кто-то пропускает через себя мой трафик подменив или отзеркалив, (не знаю как правильней выразиться) мою сетевую конфигурацию, пока не получится аргументированно переубедить себя в обратном. Мою паранойю подогрела вычитанная информация из которой стало понятно, что ничего запредельно фантастического в таком развитии событий нет, поскольку именно это стремится проделать любой взломщик которому повезет получить полный доступ над компьютером и сетью, не ограничиваясь банальным подкидыванием вирусов или единоразовой кражей данных.

idk
() автор топика
Ответ на: комментарий от idk

успокойтесь вдыхая глубже, мужчина — выход есть. но предупреждаю: что если почувствуете острый приступ, лучше звонить по номерам экстренной психологической помощи. и в таком вопросу желательно не медлить.
короче, в первую очередь нужно получить контроль над всей локальной сетью и стать уверенным в её правильной конфигурации, знать каждый айпишник, так сказать, в лицо. чего не произошло.
предлагаю приобрести роутер с хорошим и удобным файерволом, обновить прошивку и настроить.
во-первых хорошо настроенный файервол в роутере — это всегда полезно и даст немного ощущения контроля.
во-вторых ты будешь знать что за айпишники у тебя в сети и кто такой 10.0.3.1.
такие дела, а потом уже разбираться с dnsmasq.

system-root ★★★★★
()
Ответ на: комментарий от system-root

Боюсь, что они могли уже добраться до него :(

anonymous
()
Ответ на: комментарий от system-root

Спасибо, а какие безопасные роутеры можете посоветовать с нормальной встроенной защитой?

Насчет подозрительного адреса, до меня наконец-то дошло, что дело было в контейнере LXC.

idk
() автор топика

Ты не можешь профиль экспортнуть и куда нибудь залить ?

Griggorii
()
Ответ на: комментарий от idk

какие безопасные роутеры

таких не бывает, тем не менее, мне нравится пользоваться микротиками. не дорого и удобно.
для тебя может оказаться сложным. https://i.imgur.com/9dfpeAl.png

system-root ★★★★★
()
Ответ на: комментарий от Griggorii

Вот я остановил все эти процессы и интернет у меня все равно работает

Правка:

вот я остановил процесс мышления, а на ЛОР все равно пишу

anonymous
()
Ответ на: комментарий от idk

Выбирай из этого диска. Как-то довольно дико сидеть в провайдерской локалке в 2018, я имею в виду настроенные шары ms и всякое такое у бротишек это конечно прикольно, но нахер они нужны когда 100 мегабит безлимита 100 рублей стоит?

https://gogs.librecmc.org/libreCMC/libreCMC/src/v1.4/docs/Supported_Hardware.md

и обновляй почаще на предмет дыр, openwrt хотя бы, а то тебя все боты так и будут иметь.

anonymous
()
Ответ на: комментарий от anonymous

списка*

что за магия

//мне не нравятся капчи

anonymous
()
Ответ на: комментарий от idk

Спасибо, а какие безопасные роутеры можете посоветовать с нормальной встроенной защитой?

Лично я юзаю Cisco 881 ... У меня все подсети маилру и яндекса забанены в ACL :) доволен как слон уже 5й год. У моих домашних более нет проблем амиго и Яндекс баров .

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.