LINUX.ORG.RU
решено ФорумSecurity

Поломали что-ли?


0

2

Наблюдаю в wireshark довольно частые непонятные соединения примерно следующего вида (xxx.xxx.xxx.xxx - мой IP)

No.     Time        Source                Destination           Protocol Info
      1 0.000000    95.25.185.159         xxx.xxx.xxx.xxx          TCP      55016 > 17402 [SYN] Seq=0 Win=8192 Len=0 MSS=1360 WS=2 SACK_PERM=1 TSV=849054 TSER=0
      2 0.000033    xxx.xxx.xxx.xxx          95.25.185.159         TCP      17402 > 55016 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
      3 0.102178    83.219.236.33         xxx.xxx.xxx.xxx          UDP      Source port: 20979  Destination port: ibm-mqseries2
      4 0.102210    xxx.xxx.xxx.xxx          83.219.236.33         ICMP     Destination unreachable (Port unreachable)
      5 0.499985    95.25.185.159         xxx.xxx.xxx.xxx          TCP      55016 > 17402 [SYN] Seq=0 Win=8192 Len=0 MSS=1360 SACK_PERM=1 TSV=849104 TSER=0
      6 0.499998    xxx.xxx.xxx.xxx          95.25.185.159         TCP      17402 > 55016 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
      7 1.815812    87.236.31.142         xxx.xxx.xxx.xxx          TCP      56661 > 17402 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 SACK_PERM=1
      8 1.815855    xxx.xxx.xxx.xxx          87.236.31.142         TCP      17402 > 56661 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
      9 1.815926    87.236.31.142         xxx.xxx.xxx.xxx          UDP      Source port: 35168  Destination port: 17402
     10 1.815942    xxx.xxx.xxx.xxx          87.236.31.142         ICMP     Destination unreachable (Port unreachable)
     11 2.323644    87.236.31.142         xxx.xxx.xxx.xxx          TCP      56661 > 17402 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 SACK_PERM=1
     12 2.323672    xxx.xxx.xxx.xxx          87.236.31.142         TCP      17402 > 56661 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
     13 2.503467    95.25.185.159         xxx.xxx.xxx.xxx          UDP      Source port: 36945  Destination port: 17402
     14 2.503482    xxx.xxx.xxx.xxx          95.25.185.159         ICMP     Destination unreachable (Port unreachable)
     15 2.833122    87.236.31.142         xxx.xxx.xxx.xxx          TCP      56661 > 17402 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 SACK_PERM=1
     16 2.833138    xxx.xxx.xxx.xxx          87.236.31.142         TCP      17402 > 56661 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
     17 3.028497    178.140.0.190         xxx.xxx.xxx.xxx          UDP      Source port: 36233  Destination port: 17402
     18 3.028541    xxx.xxx.xxx.xxx          178.140.0.190         ICMP     Destination unreachable (Port unreachable)
     19 3.036473    178.140.0.190         xxx.xxx.xxx.xxx          TCP      51551 > 17402 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 SACK_PERM=1
     20 3.036488    xxx.xxx.xxx.xxx          178.140.0.190         TCP      17402 > 51551 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
     21 3.596942    178.140.0.190         xxx.xxx.xxx.xxx          TCP      51551 > 17402 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 SACK_PERM=1
     22 3.596952    xxx.xxx.xxx.xxx          178.140.0.190         TCP      17402 > 51551 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
     23 4.156956    178.140.0.190         xxx.xxx.xxx.xxx          TCP      51551 > 17402 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 SACK_PERM=1
     24 4.156980    xxx.xxx.xxx.xxx          178.140.0.190         TCP      17402 > 51551 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
     25 4.829044    87.236.31.142         xxx.xxx.xxx.xxx          UDP      Source port: 35168  Destination port: 17402
     26 4.829061    xxx.xxx.xxx.xxx          87.236.31.142         ICMP     Destination unreachable (Port unreachable)
     27 5.639600    125.224.85.239        xxx.xxx.xxx.xxx          TCP      raven-rmp > ibm-mqseries2 [SYN] Seq=0 Win=65535 Len=0 MSS=1440 SACK_PERM=1
     28 5.639623    xxx.xxx.xxx.xxx          125.224.85.239        TCP      ibm-mqseries2 > raven-rmp [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
     29 6.038576    178.140.0.190         xxx.xxx.xxx.xxx          UDP      Source port: 36233  Destination port: 17402
     30 6.038607    xxx.xxx.xxx.xxx          178.140.0.190         ICMP     Destination unreachable (Port unreachable)
     31 6.354325    89.137.74.202         xxx.xxx.xxx.xxx          UDP      Source port: 32716  Destination port: ibm-mqseries2
     32 6.354339    xxx.xxx.xxx.xxx          89.137.74.202         ICMP     Destination unreachable (Port unreachable)
     33 6.486814    125.224.85.239        xxx.xxx.xxx.xxx          TCP      raven-rmp > ibm-mqseries2 [SYN] Seq=0 Win=65535 Len=0 MSS=1440 SACK_PERM=1
     34 6.486829    xxx.xxx.xxx.xxx          125.224.85.239        TCP      ibm-mqseries2 > raven-rmp [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
     35 7.387561    125.224.85.239        xxx.xxx.xxx.xxx          TCP      raven-rmp > ibm-mqseries2 [SYN] Seq=0 Win=65535 Len=0 MSS=1440 SACK_PERM=1
     36 7.387586    xxx.xxx.xxx.xxx          125.224.85.239        TCP      ibm-mqseries2 > raven-rmp [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
     37 7.473806    109.184.70.84         xxx.xxx.xxx.xxx          UDP      Source port: 57216  Destination port: ibm-mqseries2
     38 7.473835    xxx.xxx.xxx.xxx          109.184.70.84         ICMP     Destination unreachable (Port unreachable)
     39 7.481097    109.184.70.84         xxx.xxx.xxx.xxx          TCP      56608 > ibm-mqseries2 [SYN] Seq=0 Win=8192 Len=0 MSS=1452 WS=2 SACK_PERM=1

Кроме браузера ничего не было запущено явно сетевого. Главное я не могу с помощью netstat или sockstat посмотреть, кто же это долбится куда попало.

netstat -cpu ничего не кажет, только если браузер лезет.

chkrootkit ничего особенного не нашёл.

WTF?

Тип безопасности: не защищено и HTTPS протокол.
udp.pl как обнаружить и ликвидировать?
Ответ на: комментарий от adriano32 
Host is up (0.000016s latency).
Not shown: 65527 closed ports
PORT      STATE    SERVICE
21/tcp    open     ftp
53/tcp    filtered domain
111/tcp   filtered rpcbind
113/tcp   filtered auth
631/tcp   filtered ipp
932/tcp   filtered unknown
2628/tcp  filtered dict
33423/tcp filtered unknown

Могу ftp отключить, все равно он не нужен мне. Да и непубличным был.

lsof -i

COMMAND    PID   USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
portmap   1381 daemon    4u  IPv4   4995      0t0  UDP *:sunrpc 
portmap   1381 daemon    5u  IPv4   5000      0t0  TCP *:sunrpc (LISTEN)
inetd     1732   root    4u  IPv4   5341      0t0  TCP *:auth (LISTEN)
cupsd     1814   root    3u  IPv6  12309      0t0  TCP ip6-localhost:ipp (LISTEN)
cupsd     1814   root    5u  IPv4  12310      0t0  TCP ip6-localhost:ipp (LISTEN)
cupsd     1814   root    7u  IPv4  12313      0t0  UDP *:ipp 
proftpd   1837 nobody    0u  IPv6   5494      0t0  TCP *:ftp (LISTEN)
firefox-b 2636     m1   22u  IPv4  46152      0t0  TCP myinetaddrname (ESTABLISHED)
firefox-b 2636     m1   63u  IPv4  46157      0t0  TCP myinetaddrname (ESTABLISHED)

ps aux много чего, но кроме некоторых напоминалок, вроде ничего такого, не считая ftp, слишком много всего, не влазит в сообщение. Но могу залить на отдельный ресурс.

В принципе, я mlnet когда-то ставил, вроде его не должно сейчас быть, но может забыл вычистить чего, главное не могу вспомнить как у них сервер назывался.

anonymous_incognito ★★★★★
() автор топика
Ответ на: комментарий от anonymous_incognito

portmap'om и nfs пользуешся? если нет - выпиливай из старт скриптов. Вот он то на портах овер 10000 (33423) и слушает обычно.

И да, это не спроста что ipшники с которыми UDP и ICMP в Moscow все, но на разных площадках?

adriano32 ★★★
()
Ответ на: комментарий от adriano32

Не только в Moscow.

Я сейчас обнаружил, что 17402 порт у меня использует utorrent (из под wine), но проблема в том, что на момент запуска wireshark он был закрыт, более того, комп после этого даже перезагружен. Могли ли долбиться клиенты с которыми ранее было соединение? Непонятно только, с чего у меня комп отвечал на их запросы тогда. Да и не только с 17402 запросы идут.

anonymous_incognito ★★★★★
() автор топика
Ответ на: комментарий от anonymous_incognito

Тебе виднее - у тебя логи перед глазами.

IPшник после ребута остался прежний или логов на этот счёт не ведёшь? У меня PPPoE динамический белый, после ребута ipшник не меняется почти никогда. Иногда даже ночь комп в S1 - утром включаю - ipшник тот же.

Не спец по торрентам - но ломится наверное не могут - p2p с кем им образовывать - с бинарником utorrenta на винте?

Мне уже становится интересно. Новые юзеры в системе не появились? И просмотри /usr/* /lib /bin /sbin с сортировкой по дате изменения - могли спалится, если выломали тебя.

adriano32 ★★★
()
Ответ на: комментарий от adriano32

В общем, portmap отключил. Похоже никто, всё-таки, не поломал, большинство соединений было от торрентов, только я чего-то не понял, это отлупы шли или чего происходило.

anonymous_incognito ★★★★★
() автор топика
Ответ на: комментарий от adriano32

> IPшник после ребута остался прежний или логов на этот счёт не ведёшь? У меня PPPoE динамический белый, после ребута ipшник не меняется почти никогда. Иногда даже ночь комп в S1 - утром включаю - ipшник тот же.

IP-шник тот же, он у меня статический.

Не спец по торрентам - но ломится наверное не могут - p2p с кем им образовывать - с бинарником utorrenta на винте?

Что-то я сейчас вообще затупил в вопросе сетевого взаимодействия. Ответ-то на попытку ломится по закрытому порту всё-равно будет, в смысле на SYN пойдёт ACK с отлупом. Если не стоит настройки всё спускать по тихому?

anonymous_incognito ★★★★★
() автор топика
Ответ на: комментарий от anonymous_incognito

Во-во! Спасибо, теперь и до меня дошло

51551 > 17402 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 SACK_PERM=1
17402 > 51551 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0

Всё ты правильно сказал.

adriano32 ★★★
()
Ответ на: комментарий от adriano32

> Мне уже становится интересно. Новые юзеры в системе не появились? И просмотри /usr/* /lib /bin /sbin с сортировкой по дате изменения - могли спалится, если выломали тебя.

Нет юзеров новых нет, даты соответствует последнему апдейту. Похоже, все-таки постэффект от торрентов. Как-то не ожидал.

anonymous_incognito ★★★★★
() автор топика
Ответ на: комментарий от anonymous_incognito

А я-то думал таких параноиков как я, которые частенько wireshark'om балуются при мирном сёрфинге в интернетах, по кащенко поискать ещё надо )

adriano32 ★★★
()
Ответ на: комментарий от adriano32

Я не часто wireshark запускаю, но в умеренных дозах паранойя думаю полезна. Вот и сейчас избавился от нескольких лишних для меня, сервисов.

И как сказал анонимус, leftover. Узнал немножко новенького.

anonymous_incognito ★★★★★
() автор топика
Ответ на: комментарий от Lumi

пусть ломятся, DHT и раздача через DHT полезно.

tommy ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Тип безопасности: не защищено и HTTPS протокол.
Security
udp.pl как обнаружить и ликвидировать?