Θέματα ασφάλειας

από **aflaouras** » 19 Ιαν 2011, 20:42

Καλησπέρα παιδιά,
Τελευταία μου έχουν μπει ιδέες ότι μπορεί να τρέχει το pc μου κάποιον ιό ή κάτι τέτοιο...

Μπορείτε να μου δώσετε μερικά hints για να τεστάρω αν κάποιος είναι συνδεδεμένος στον υπολογιστή μου? Κάτι σε netstat (έτσι λέγεται??)...

Φοβάμαι πως έχω φάει κάποιο scriptaki σαν rat, ώστε να έχει κάποιος απομακρυσμένη πρόσβαση στο pc μου...

από **kikirikou** » 19 Ιαν 2011, 20:57

Παρατήρησες κάτι ασυνήθιστο; Τι σου δημιούργησε τις ανησυχίες; Γενικά στο linux είναι δύσκολο να κολλήσεις κάτι από απλό σερφάρισμα.

από **aflaouras** » 19 Ιαν 2011, 21:13

Στις διεργασίες βλέπω πολλούς apache , όταν κλείνω το pc μου λέει οτι καποιο unknown programm τρέχει ακόμα (όχι πάντα), σε άκυρα σημεία διαβάζει πολύ από τον σκληρό (και δεν είναι το update)

από **simosx** » 19 Ιαν 2011, 22:08

aflaouras έγραψε:Θέματα[/quote
aflaouras έγραψε:Καλησπέρα παιδιά,
Τελευταία μου έχουν μπει ιδέες ότι μπορεί να τρέχει το pc μου κάποιον ιό ή κάτι τέτοιο...

Μπορείτε να μου δώσετε μερικά hints για να τεστάρω αν κάποιος είναι συνδεδεμένος στον υπολογιστή μου? Κάτι σε netstat (έτσι λέγεται??)...

]

Εκτέλεσε

Κώδικας: Επιλογή όλων: lsof -i

και δώσε τα αποτελέσματα. Θα δείξει τις ανοιχτές θύρες (ports) του υπολογιστή καθώς και τις εφαρμογές που τις έχουν ανοίξει.

από **the_eye** » 20 Ιαν 2011, 01:07

Δώσε και
netstat -tu
αλλά να έχεις κλειστά firefox κτλ

από **aflaouras** » 20 Ιαν 2011, 09:00

Κώδικας: Επιλογή όλων: netstat -tu Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 1 0 tux.local:54110 akamai-eie-8.grnet.:www CLOSE_WAIT tcp 0 0 localhost:56361 localhost:58000 ESTABLISHED tcp 1 0 localhost:56351 localhost:58000 CLOSE_WAIT tcp 1 0 localhost:56289 localhost:58000 CLOSE_WAIT tcp 1268 0 tux.local:55691 couchdb-one-ubunt:https CLOSE_WAIT tcp 1 0 localhost:56320 localhost:58000 CLOSE_WAIT tcp 38 0 tux.local:34879 nondaplum.canonic:https CLOSE_WAIT tcp 38 0 tux.local:34900 nondaplum.canonic:https CLOSE_WAIT tcp 0 0 localhost:58000 localhost:56361 ESTABLISHED tcp 1 0 localhost:56344 localhost:58000 CLOSE_WAIT tcp 1 0 localhost:56355 localhost:58000 CLOSE_WAIT tcp 1 0 localhost:56327 localhost:58000 CLOSE_WAIT tcp 38 0 tux.local:46329 couchdb-one-ubunt:https CLOSE_WAIT tcp 0 0 localhost:mysql localhost:46823 ESTABLISHED tcp 1 0 localhost:56357 localhost:58000 CLOSE_WAIT tcp6 0 0 localhost:46823 localhost:mysql ESTABLISHED

Κώδικας: Επιλογή όλων: lsof -i COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME clock-app 2733 aflaouras 22r IPv4 89091 0t0 TCP tux.local:54110->akamai-eie-8.grnet.gr:www (CLOSE_WAIT) ubuntuone 2943 aflaouras 18u IPv4 15957 0t0 TCP localhost:56289->localhost:58000 (CLOSE_WAIT) beam.smp 3291 aflaouras 17u IPv4 15815 0t0 TCP localhost:58000 (LISTEN) beam.smp 3291 aflaouras 45u IPv4 20840 0t0 TCP localhost:58000->localhost:56361 (ESTABLISHED) beam.smp 3291 aflaouras 50u IPv4 20867 0t0 TCP tux.local:55691->couchdb-one-ubuntu-com.calamansi.canonical.com:https (CLOSE_WAIT) desktopco 3466 aflaouras 14u IPv4 20602 0t0 TCP localhost:56320->localhost:58000 (CLOSE_WAIT) desktopco 3466 aflaouras 15u IPv4 20621 0t0 TCP tux.local:46329->couchdb-one-ubuntu-com.amatungulu.canonical.com:https (CLOSE_WAIT) desktopco 3466 aflaouras 17u IPv4 20644 0t0 TCP localhost:56327->localhost:58000 (CLOSE_WAIT) desktopco 3466 aflaouras 20u IPv4 20662 0t0 TCP tux.local:34879->nondaplum.canonical.com:https (CLOSE_WAIT) desktopco 3466 aflaouras 21u IPv4 20701 0t0 TCP localhost:56344->localhost:58000 (CLOSE_WAIT) desktopco 3466 aflaouras 22u IPv4 20775 0t0 TCP tux.local:34900->nondaplum.canonical.com:https (CLOSE_WAIT) desktopco 3466 aflaouras 23u IPv4 20784 0t0 TCP localhost:56351->localhost:58000 (CLOSE_WAIT) desktopco 3466 aflaouras 24u IPv4 20807 0t0 TCP localhost:56355->localhost:58000 (CLOSE_WAIT) desktopco 3466 aflaouras 25u IPv4 20823 0t0 TCP localhost:56357->localhost:58000 (CLOSE_WAIT) desktopco 3466 aflaouras 26u IPv4 20839 0t0 TCP localhost:56361->localhost:58000 (ESTABLISHED) ssl_esock 3484 aflaouras 4u IPv4 16768 0t0 TCP localhost:47136 (LISTEN)

από **ant_0611** » 20 Ιαν 2011, 12:23

Απο αυτά που μας δείχνεις, φαίνεται οτι αρκετά απο προγράμματα που χρησιμοποιείς ανοίγουν συνδέσεις σε εναν σερβερ που τρέχει στον υπολογιστή σου. Μάλιστα αυτος ο σερβερ ακούει στην πόρτα 58000 ... σου θυμίζει τίποτα αυτο;;; Λογικά εσύ το έχεις δηλώσει σε εγκατάσταση ή ρυθμιση προγράμματος ή σερβερ.

από **simosx** » 20 Ιαν 2011, 15:09

aflaouras έγραψε:
Κώδικας: Επιλογή όλων
lsof -i COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME clock-app 2733 aflaouras 22r IPv4 89091 0t0 TCP tux.local:54110->akamai-eie-8.grnet.gr:www (CLOSE_WAIT) ubuntuone 2943 aflaouras 18u IPv4 15957 0t0 TCP localhost:56289->localhost:58000 (CLOSE_WAIT) beam.smp 3291 aflaouras 17u IPv4 15815 0t0 TCP localhost:58000 (LISTEN) beam.smp 3291 aflaouras 45u IPv4 20840 0t0 TCP localhost:58000->localhost:56361 (ESTABLISHED) beam.smp 3291 aflaouras 50u IPv4 20867 0t0 TCP tux.local:55691->couchdb-one-ubuntu-com.calamansi.canonical.com:https (CLOSE_WAIT) desktopco 3466 aflaouras 14u IPv4 20602 0t0 TCP localhost:56320->localhost:58000 (CLOSE_WAIT) desktopco 3466 aflaouras 15u IPv4 20621 0t0 TCP tux.local:46329->couchdb-one-ubuntu-com.amatungulu.canonical.com:https (CLOSE_WAIT) desktopco 3466 aflaouras 17u IPv4 20644 0t0 TCP localhost:56327->localhost:58000 (CLOSE_WAIT) desktopco 3466 aflaouras 20u IPv4 20662 0t0 TCP tux.local:34879->nondaplum.canonical.com:https (CLOSE_WAIT) desktopco 3466 aflaouras 21u IPv4 20701 0t0 TCP localhost:56344->localhost:58000 (CLOSE_WAIT) desktopco 3466 aflaouras 22u IPv4 20775 0t0 TCP tux.local:34900->nondaplum.canonical.com:https (CLOSE_WAIT) desktopco 3466 aflaouras 23u IPv4 20784 0t0 TCP localhost:56351->localhost:58000 (CLOSE_WAIT) desktopco 3466 aflaouras 24u IPv4 20807 0t0 TCP localhost:56355->localhost:58000 (CLOSE_WAIT) desktopco 3466 aflaouras 25u IPv4 20823 0t0 TCP localhost:56357->localhost:58000 (CLOSE_WAIT) desktopco 3466 aflaouras 26u IPv4 20839 0t0 TCP localhost:56361->localhost:58000 (ESTABLISHED) ssl_esock 3484 aflaouras 4u IPv4 16768 0t0 TCP localhost:47136 (LISTEN)

Από τις γραμμές που αναφέρουν 'localhost', μπορείς να τις αγνοήσεις διότι πρόκειται για συνδέσεις μέσα στον ίδιο τον υπολογιστή σου. Είναι ένας τρόπος επικοινωνίας μεταξύ των εφαρμογών. Οπότε, δεν υπάρχει πρόβλημα. Για παράδειγμα, μπορείς να δεις το desktopcouchdb, το beam.smp. Google στο καθένα για να μάθεις περισσότερα.

Το όνομα του υπολογιστή σου είναι tux.local οπότε αυτές οι συνδέσεις είναι με έξω.
1. Χρησιμοποιείς το Ubuntu One, οπότε οι συνδέσεις στην Canonical είναι σχετικές με το Ubuntu One.
2. Υπάρχει σύνδεση με το grnet.gr από τη μικροεφαρμογή του ρολογιού. Και είναι σε κατάσταση CLOSE_WAIT, που σημαίνει ότι η σύνδεση ήταν σύντομη και κλείνει.
Αυτό νομίζω ότι έχει να κάνει με την ενημέρωση της ώρας (ntp).

Οπότε, τα βλέπω μια χαρά!

από **the_eye** » 20 Ιαν 2011, 15:14

Βλέπω ότι τρέχει το beam.smp που χρησιμοποιεί μια βάση δεδομένων couchdb και έχουν αναφερθεί κάποια bugs
https://bugs.launchpad.net/ubuntu/+sour ... bug/458453

τρέχεις evolution ή gwibber ;

από **aflaouras** » 21 Ιαν 2011, 01:59

Ναι έτρεχα gwibber για λίγο , το έκανα απεγκατάσταση , αλλά μάλλον δεν απεγκαταστήθηκε πλήρως...

Έτρεξα ένα

Κώδικας: Επιλογή όλων: sudo apt-get autoremove gwibber

τώρα... Ελπίζω να διορθωθεί

Θέματα ασφάλειας

Θέματα ασφάλειας

Re: Θέματα ασφάλειας

Re: Θέματα ασφάλειας

Re: Θέματα ασφάλειας

Re: Θέματα ασφάλειας

Re: Θέματα ασφάλειας

Re: Θέματα ασφάλειας

Re: Θέματα ασφάλειας

Re: Θέματα ασφάλειας

Re: Θέματα ασφάλειας