У меня очень медленный интернет-опыт. Во внстате вижу

   rx:        4 kbit/s     3 p/s          tx:    94.74 Mbit/s 14072 p/s^C


 eth4  /  traffic statistics

                           rx         |       tx
--------------------------------------+------------------
  bytes                    11.85 MiB  |       30.30 GiB
--------------------------------------+------------------
          max            6.86 Mbit/s  |    94.93 Mbit/s
      average           28.18 kbit/s  |    73.80 Mbit/s
          min               0 kbit/s  |        0 kbit/s
--------------------------------------+------------------
  packets                      17127  |        37761168
--------------------------------------+------------------
          max                584 p/s  |       14108 p/s
      average                  4 p/s  |       10964 p/s
          min                  0 p/s  |           0 p/s
--------------------------------------+------------------
  time                 57.40 minutes

Используя nethogs, я вижу,

  PID USER     PROGRAM                                                                                                                                                         DEV        SENT      RECEIVED       
2546  root     su                                                                                                                                                              eth4       0.013       0.072 KB/sec
?     root     192.168.7.100:58888-43.250.83.106:61878                                                                                                                                    0.021       0.025 KB/sec
?     root     192.168.7.100:58888-70.24.39.90:65025                                                                                                                                      0.021       0.025 KB/sec
?     root     192.168.7.100:44145-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:52239-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:15834-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:29433-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:49576-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:36540-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:32289-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:25437-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:10155-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:32125-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:59269-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:57686-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:2747-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:59482-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:58985-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:56246-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:4345-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:10665-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:40676-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:35600-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:12241-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:43541-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:19124-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:1676-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:37809-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:7017-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:14998-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:64834-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:31544-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:17969-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:57675-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:32002-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:1233-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:64445-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:51733-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:38604-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:63299-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:96-115.28.112.60:7575                                                                                                                                        0.168       0.000 KB/sec
?     root     192.168.7.100:28078-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:40611-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:4304-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:43318-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:8573-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:51347-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec

Кажется, кто-то запустил торрент-приложение и загружает все с моего компьютера. Не уверен, хотя.

Как я узнаю, что за процесс делает эти неприятные вещи? Я должен остановить и предотвратить это в будущем.

Я заложен?

Обновить

Я закрыл все порты, кроме sshd (22) брандмауэром моего маршрутизатора. Сейчас я не вижу этого процесса. Но теперь nethogs показывают этот странный вывод.

  PID USER     PROGRAMDEV        SENT      RECEIVED       
?     root     unknown TCP      0.000       0.000 KB/sec

1 ответ1

0

Кажется, что это может относиться к информационной безопасности, но вот начало, чтобы узнать, «как вы будете знать» и если вы pwnd.

Некоторые наблюдения:

  • 43.250.83.106 находится в Бангладеш (поблизости)
  • 70.24.39.90 в Северной Америке (Канада)
  • 115.28.112.60 - AsiaPacific (Китай) без входящего трафика
  • Низкие номера портов (ниже эфемерного предела для вашей ОС) являются привилегированными и обычно не требуются для исходящих соединений.
  • Хотя порт-порт может объяснить последний набор (один источник:IP), нет никаких доказательств того, что это входящие сеансы, и RST (в ответ на сканирование) в любом случае составляют около 50 байтов (а не 172).

Чтобы определить, возможен ли C2 (по двум верхним адресам), за которым следует быстрая последовательность открытых портов (отправка около 172 байтов каждый, закрытие без видимого ответа), вам необходимо повторно подключить систему и начать захват пакетов. Не делай этого.

Если вы собираетесь сохранить / не создавать резервные копии и т.д .:

  • Просмотрите журналы внешнего брандмауэра или перехватите пакеты за пределами системы, чтобы убедиться, что она все еще пытается связаться. Это также может отправлять пакеты в вашу сеть. Это может быть так же просто, как исходящий DNS или ICMP, чтобы избежать выявления C2.
  • На самом хосте вы можете попробовать несколько вещей:
    • Сначала подумайте, что ваши инструменты переопределены или подключены. Для этого вы можете попробовать статически связанные двоичные файлы, которые вы получаете /делаете сами (и используете только для чтения), или используете busybox
    • «netstat -p» часто работает только с повышенными разрешениями (вы, конечно, уже повысили свои права при расследовании, так что это не представляет дополнительного риска).
    • «lsof -i4» покажет процессы + соединения IPv4 (-i6 для IPv6).
    • Unhide сравнивает /proc с 'ps', пробует системные вызовы, выполняет бидфорсинг pid, поиск в обратном потоке, а также может обнаруживать порты, не видимые для netstat.
    • ss -ap (процессы + сокеты)
    • рхунтер, чкрооткит (руткит-шашки)
    • проверить, работает ли что-нибудь в странных местах (например, в папках tmp)
    • проверить наличие резидентных скриптов (perl, python и т. д.)

Другие инструменты:

  • lsmod должен показывать модули ядра
  • Аудит (если он добавлен вашим дистрибутивом) должен дать вам возможность отслеживать странные системные вызовы и сбои.
  • tcpdump (захват сетевого трафика)
  • проверьте свои файлы истории на пользователя (включая /root и /home /*), такие как .bash_history, .lesshst, .mysql_history и т. д.
  • проверьте /proc /filesystems и любые файловые системы ck *, которые вы не установили. Файловые системы в пользовательском пространстве (FUSE) могут скрывать царапины.

Предотвращение повторения - большой, сложный ответ, связанный с тем, что произошло. Брандмауэр (iptables), IDS/IPS (snort), отключение ненужных сервисов, аудит доступа к языку wget/curl/scripting, аудит исполняемых файлов, сброшенных в странных местах (домашних папок, временных папок), мониторинг целостности файлов и т.д. - хорошее начало. SELinux (AppArmor похож на другие системы) обычно требует много работы, но он также полезен.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .