web-dev-qa-db-fra.com

Aidez-moi! connexions Netstat étranges, Wireshark montre des redirections, pense que je suis infecté

aujourd'hui, mon pc Ubuntu 12.04 s'est écrasé et j'ai dû le tuer de force, ce qu'il ne fait jamais. Ensuite, après avoir démarré la sauvegarde, j'ai exécuté Wheelshark et j'ai vu des demandes DNS aléatoires et un protocole que je n'avais jamais vu auparavant 'dec dna' ainsi que de nombreux flux udp étranges. J'ai couru

netstat -la et ce fut la sortie:

root@linuxbox:~# netstat -la
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 localhost:domain        *:*                     LISTEN     
tcp        0      0 *:ssh                   *:*                     LISTEN     
tcp        0      0 localhost:ipp           *:*                     LISTEN     
tcp        0      0 localhost:mysql         *:*                     LISTEN     
tcp        0      0 *:http                  *:*                     LISTEN     
tcp6       0      0 [::]:ssh                [::]:*                  LISTEN     
tcp6       0      0 ip6-localhost:ipp       [::]:*                  LISTEN     
udp        0      0 *:1900                  *:*                                
udp        0      0 *:40322                 *:*                                
udp        0      0 localhost:domain        *:*                                
udp        0      0 localhost:ntp           *:*                                
udp        0      0 *:ntp                   *:*                                
udp        0      0 *:mdns                  *:*                                
udp6       0      0 fe80::7879:ff:fe00::ntp [::]:*                             
udp6       0      0 fe80::12fe:edff:fe2:ntp [::]:*                             
udp6       0      0 fe80::216:6fff:fe4d:ntp [::]:*                             
udp6       0      0 ip6-localhost:ntp       [::]:*                             
udp6       0      0 [::]:ntp                [::]:*                             
udp6       0      0 [::]:47318              [::]:*                             
udp6       0      0 [::]:mdns               [::]:*                
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node   Path
unix  2      [ ACC ]     STREAM     LISTENING     11019    /tmp/.X11-unix/X0
unix  2      [ ACC ]     STREAM     LISTENING     11618    /tmp/.winbindd/pipe
unix  2      [ ACC ]     STREAM     LISTENING     13721    /tmp/keyring-HyNZDz/control
unix  2      [ ACC ]     STREAM     LISTENING     13860    /tmp/ssh-COlALKGR2295/agent.2295
unix  2      [ ACC ]     STREAM     LISTENING     13890    /tmp/.ICE-unix/2295
unix  2      [ ACC ]     STREAM     LISTENING     14080    /tmp/keyring-HyNZDz/pkcs11
unix  2      [ ACC ]     STREAM     LISTENING     14084    /tmp/keyring-HyNZDz/ssh
unix  2      [ ACC ]     STREAM     LISTENING     14085    /tmp/keyring-HyNZDz/gpg
unix  2      [ ACC ]     STREAM     LISTENING     10790    /var/run/acpid.socket
unix  2      [ ACC ]     SEQPACKET  LISTENING     7973     /run/udev/control
unix  19     [ ]         DGRAM                    10025    /dev/log
unix  2      [ ACC ]     STREAM     LISTENING     7850     @/com/ubuntu/mountall

... et beaucoup, je ne peux pas m'adapter ici.

... quelqu'un peut-il me dire quels sont ces services d'écoute étranges? J'avais un serveur Web sur mon réseau local et aujourd'hui, je l'ai déplacé vers un serveur virtuel pour des raisons de sécurité. J'avais remarqué des choses étranges avec le réseau avant la semaine, mais cela semble anormal. Je n'ai jamais vu ça auparavant. Est-ce que quelqu'un peut m'aider? Rkhunter ne semble rien trouver. Je me suis connecté à mon openvpn, j'ai de nouveau exécuté wirehark et j'ai remarqué des connexions ssh à partir d'ips aléatoires. J'ai couru "qui" et personne d'autre n'était là. Mais ensuite, cableshark a commencé à afficher la redirection tcp de mon trafic openvpn, à plusieurs reprises jusqu'à ce que je coupe la connexion. Je dois noter que cela se produit également maintenant sur mon autre ordinateur Ubuntu, qui se trouve sur le même réseau.

Je n'ai plus besoin d'aide pour cela. Un peu plus de fouilles m'a informé que ce sont des services normaux, et que les sorties de ls -la et ls -a ne sont pas la même chose ... Je n'ai pas dormi depuis deux jours, alors pardonnez mon ignorance.

1
Chev_603

Ce sont des services d'écoute très normaux, rien de suspect n'apparaît!

Explication de ces ports et sockets d'écoute,

  • *:ssh le serveur SSH écoute-t-il le 22 [accessible sur TOUTES les IP]
  • *:http le serveur Web écoute-t-il sur 80 [accessible sur TOUTES les IP]
  • localhost:domain est resovler DNS écoute sur 53 [accessible localement] [sûr]
  • localhost:ipp est cpusd (impression de trucs) à l'écoute sur 631 [accessible localement] [sûr]
  • localhost:mysql est MySQL comme il est dit sur 3306 [accessible localement] [sûr]

  • mdns et ntp sont associés au DNS et à l'heure du réseau.

  • Tous les sockets/flux Unix semblent également normaux, ce sont des sockets couramment trouvés.

Pour vérifier la requête DNS en direct (-i <2> numéro d'interface.)

tshark -D (Pour lister les interfaces)

time tshark -n -i 2 -R "dns.flags.response == 0" | tee ~/dns.log; wc ~/dns.log

less ~/dns.log (parcourir les journaux manuellement)

Cependant, je vous recommande d'enquêter davantage sur le trafic réseau, car vous avez mentionné que vous avez observé de nombreuses redirection DNS, afin d'en creuser plus, de vérifier le contenu transmis, l'adresse source/de destination et le port respectif, ce qui devrait fournir plus d'informations sur ce qui est exactement provoquant une redirection.

1
Mayura