aujourd'hui, mon pc Ubuntu 12.04 s'est écrasé et j'ai dû le tuer de force, ce qu'il ne fait jamais. Ensuite, après avoir démarré la sauvegarde, j'ai exécuté Wheelshark et j'ai vu des demandes DNS aléatoires et un protocole que je n'avais jamais vu auparavant 'dec dna' ainsi que de nombreux flux udp étranges. J'ai couru
netstat -la et ce fut la sortie:
root@linuxbox:~# netstat -la
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 localhost:domain *:* LISTEN
tcp 0 0 *:ssh *:* LISTEN
tcp 0 0 localhost:ipp *:* LISTEN
tcp 0 0 localhost:mysql *:* LISTEN
tcp 0 0 *:http *:* LISTEN
tcp6 0 0 [::]:ssh [::]:* LISTEN
tcp6 0 0 ip6-localhost:ipp [::]:* LISTEN
udp 0 0 *:1900 *:*
udp 0 0 *:40322 *:*
udp 0 0 localhost:domain *:*
udp 0 0 localhost:ntp *:*
udp 0 0 *:ntp *:*
udp 0 0 *:mdns *:*
udp6 0 0 fe80::7879:ff:fe00::ntp [::]:*
udp6 0 0 fe80::12fe:edff:fe2:ntp [::]:*
udp6 0 0 fe80::216:6fff:fe4d:ntp [::]:*
udp6 0 0 ip6-localhost:ntp [::]:*
udp6 0 0 [::]:ntp [::]:*
udp6 0 0 [::]:47318 [::]:*
udp6 0 0 [::]:mdns [::]:*
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node Path
unix 2 [ ACC ] STREAM LISTENING 11019 /tmp/.X11-unix/X0
unix 2 [ ACC ] STREAM LISTENING 11618 /tmp/.winbindd/pipe
unix 2 [ ACC ] STREAM LISTENING 13721 /tmp/keyring-HyNZDz/control
unix 2 [ ACC ] STREAM LISTENING 13860 /tmp/ssh-COlALKGR2295/agent.2295
unix 2 [ ACC ] STREAM LISTENING 13890 /tmp/.ICE-unix/2295
unix 2 [ ACC ] STREAM LISTENING 14080 /tmp/keyring-HyNZDz/pkcs11
unix 2 [ ACC ] STREAM LISTENING 14084 /tmp/keyring-HyNZDz/ssh
unix 2 [ ACC ] STREAM LISTENING 14085 /tmp/keyring-HyNZDz/gpg
unix 2 [ ACC ] STREAM LISTENING 10790 /var/run/acpid.socket
unix 2 [ ACC ] SEQPACKET LISTENING 7973 /run/udev/control
unix 19 [ ] DGRAM 10025 /dev/log
unix 2 [ ACC ] STREAM LISTENING 7850 @/com/ubuntu/mountall
... et beaucoup, je ne peux pas m'adapter ici.
... quelqu'un peut-il me dire quels sont ces services d'écoute étranges? J'avais un serveur Web sur mon réseau local et aujourd'hui, je l'ai déplacé vers un serveur virtuel pour des raisons de sécurité. J'avais remarqué des choses étranges avec le réseau avant la semaine, mais cela semble anormal. Je n'ai jamais vu ça auparavant. Est-ce que quelqu'un peut m'aider? Rkhunter ne semble rien trouver. Je me suis connecté à mon openvpn, j'ai de nouveau exécuté wirehark et j'ai remarqué des connexions ssh à partir d'ips aléatoires. J'ai couru "qui" et personne d'autre n'était là. Mais ensuite, cableshark a commencé à afficher la redirection tcp de mon trafic openvpn, à plusieurs reprises jusqu'à ce que je coupe la connexion. Je dois noter que cela se produit également maintenant sur mon autre ordinateur Ubuntu, qui se trouve sur le même réseau.
Je n'ai plus besoin d'aide pour cela. Un peu plus de fouilles m'a informé que ce sont des services normaux, et que les sorties de ls -la et ls -a ne sont pas la même chose ... Je n'ai pas dormi depuis deux jours, alors pardonnez mon ignorance.
Ce sont des services d'écoute très normaux, rien de suspect n'apparaît!
Explication de ces ports et sockets d'écoute,
*:ssh
le serveur SSH écoute-t-il le 22 [accessible sur TOUTES les IP]*:http
le serveur Web écoute-t-il sur 80 [accessible sur TOUTES les IP]localhost:domain
est resovler DNS écoute sur 53 [accessible localement] [sûr]localhost:ipp
est cpusd (impression de trucs) à l'écoute sur 631 [accessible localement] [sûr]localhost:mysql
est MySQL comme il est dit sur 3306 [accessible localement] [sûr]
mdns
et ntp
sont associés au DNS et à l'heure du réseau.
Pour vérifier la requête DNS en direct (-i <2>
numéro d'interface.)
tshark -D
(Pour lister les interfaces)
time tshark -n -i 2 -R "dns.flags.response == 0" | tee ~/dns.log; wc ~/dns.log
less ~/dns.log
(parcourir les journaux manuellement)
Cependant, je vous recommande d'enquêter davantage sur le trafic réseau, car vous avez mentionné que vous avez observé de nombreuses redirection DNS, afin d'en creuser plus, de vérifier le contenu transmis, l'adresse source/de destination et le port respectif, ce qui devrait fournir plus d'informations sur ce qui est exactement provoquant une redirection.