8 votes

Dune avatar

Détecter les analyses de ports effectuées par son propre ordinateur

Demandé el 9 de Janvier, 2017
Quand la question a-t-elle été
2874 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

On m'a dit que mon PC de travail scanne massivement les ports du PC de quelqu'un d'autre, ce qui n'est pas voulu par moi. Comment puis-je savoir quel programme fait cela ?

Suivant les conseils du commentaire de ByteCommander, j'ai utilisé nethogs pour répertorier mon trafic réseau. Je n'ai pas trouvé de programmes suspects fonctionnant sur mon ordinateur de cette manière (ce qui ne signifie pas nécessairement qu'il n'y a pas de tels programmes - je ne peux simplement pas superviser l'ensemble de la sortie), mais il y a quelques lignes étranges du type

my_ip_address:port-other_ip_address:port

où les adresses IP de droite sont par exemple 123.24.163.24, 58.221.44.109, ou 88.248.51.254. En les googlant, vous verrez qu'elles figurent toutes sur certaines listes noires. Cela signifie-t-il qu'il y a quelque chose de suspect en cours ? Cela pourrait-il avoir un rapport avec mon problème initial ?

Demandé el 9 de Janvier, 2017 par Dune

Réponses

Trop de publicités?

7voto

Kaz Wolfe avatar
Kaz Wolfe Points 32777

Un moyen simple de surveiller votre système est d'exécuter une commande telle que netstat pendant un jour ou deux et voir ce qui sort. Par exemple, quelque chose comme este montrerait toutes les connexions sortantes (interrogées) :

netstat -nputwc | tee ~/network.log

De là, vous pouvez vérifier network.log dans votre dossier personnel pour voir s'il y a des connexions bizarres/anomalies. Il serait préférable d'exécuter cette opération un jour où vous n'utiliserez pas trop Internet, afin de n'obtenir que les connexions en arrière-plan et non actives. Netstat vous donnera la possibilité de voir quel processus appelle également les connexions, ce qui pourrait être utile pour trouver et détruire si un scanner est en cours d'exécution.

De plus, vous pouvez obtenir un journal plus détaillé/verbose en utilisant tcpdump que vous pouvez utiliser pour obtenir des résultats plus avancés et obtenir plus d'informations. Voir man tcpdump pour plus d'informations. Toutefois, regardez particulièrement le src pour obtenir uniquement les connexions sortantes. Veillez également à utiliser l'expression -w option permettant d'écrire dans un fichier pour faciliter la recherche. Vous pouvez lire un peu plus sur tcpdump aquí si vous voulez. Au minimum, cela vous permettra de savoir si votre ordinateur analyse réellement les choses.

A partir de l'un ou l'autre, vous pouvez soit obtenir le processus (par le biais de netstat ) ou des choses importantes comme le moment et l'endroit où les choses se passent. Vous pouvez en fait exécuter les deux en même temps pour rechercher tout déclencheur ou similaire qui provoque des scans. Vous pouvez même utiliser tcpdump pour trouver quand les scans se produisent, et ensuite croiser les références avec netstat pour trouver quel processus fait les choses.

Si vous remarquez que ces analyses se produisent à intervalles réguliers, vous devez rechercher les cronjobs ou autres, qui peuvent être supprimés (relativement) facilement.

Sinon, vous pouvez utiliser les conseils de sécurité généraux, tels que l'exécution de rkhunter , clamav et ainsi de suite. Vous pouvez aussi toujours réinstaller votre système à partir d'une sauvegarde connue pour en finir.

Et juste un peu de contexte sur les botnets, surtout pour vous ennuyer.

En général, un botnet reste inactif sur votre système jusqu'à ce qu'il soit déclenché par un ordre quelconque. Il peut s'agir de votre système qui reçoit un message d'un serveur distant ou de votre machine qui interroge un serveur pour obtenir ses nouvelles "commandes". Dans tous les cas, vous pouvez utiliser ces mêmes outils pour trouver ces commandes de botnet et savoir où elles vont.

Une fois que vous pouvez capturer votre machine faisant partie d'un botnet (si c'est le cas), vous pouvez trouver où et comment se trouve le logiciel du botnet, et le supprimer en utilisant les méthodes que vous voulez.

Il est également important de noter que votre ordinateur peut ne pas être le périphérique infecté sur le réseau. Un routeur en amont, un WAP, une webcam ou toute autre sorte d'objet IoT (même les imprimantes !) peuvent également faire partie d'un botnet. S'ils sont derrière la même connexion/IP que votre machine (surtout à la maison ou similaire), vous pourriez accuser à tort votre ordinateur au lieu de votre grille-pain intelligent ou autre.

Répondu el 15 de Janvier, 2017 par Kaz Wolfe (32777 Points )

6voto

Sergiy Kolodyazhnyy avatar
Sergiy Kolodyazhnyy Points 97292

Les choses possibles que vous pouvez faire :

  • Changez vos mots de passe Dans le cas d'un attaquant humain utilisant votre/vos appareil(s) comme masque, il est évident que votre authentification a été compromise d'une manière ou d'une autre. Cela inclut votre ordinateur, mais aussi le routeur, le modem, les appareils intelligents sur votre réseau domestique. La plupart des utilisateurs ne mettent un mot de passe que pour le wifi, mais pas pour le compte administrateur du routeur, ce qui est une mauvaise chose. Comme Kaz l'a souligné, les appareils intelligents sont également des cibles faciles. Pendant que vous vérifiez le routeur, vérifiez également si quelqu'un a activé la redirection de port sur le routeur pour savoir exactement à quel appareil on accède.

  • Vérifier pour nmap . Nmap est l'un des outils les plus courants utilisés pour scanner les réseaux. Il peut être utilisé à bon escient et c'est un bon outil pour les administrateurs système, mais il peut aussi être utilisé par les méchants. Faites apt-cache policy nmap pour voir si quelqu'un l'a installé sur votre machine.

  • Analyser les connexions et le trafic de votre réseau . Des outils tels que netstat vous indiquera quels programmes utilisent quels ports réseau. Particulièrement intéressant est sudo netstat -tulpan commandement. Un autre outil déjà mentionné est Wireshark. Vous devrez peut-être prendre le temps d'apprendre à l'utiliser. Je vous recommande d'effectuer tous ces tests en désactivant tous les navigateurs et applications qui dépendent du réseau.

  • Envisagez la suppression des plugins pour les navigateurs : Les extensions Chrome et les addons Firefox sont formidables, mais ce ne sont pas d'innocents petits chatons. Vous pourriez être en train d'utiliser un navigateur, et ces extensions effectuent toutes les activités malveillantes en arrière-plan. Envisagez de les supprimer toutes, ou de supprimer simplement ~/.mozilla y ~/.config/google-chrome/

  • Si rien d'autre ne fonctionne, envoyez un missile depuis l'orbite. : En d'autres termes, sauvegardez vos données, et réinstallez votre Ubuntu. Une fois qu'un système est compromis, il est difficile de lui faire confiance. Une technique assez courante consiste à remplacer un programme légitime par un faux. Avec des milliers de fichiers binaires sur l'ordinateur, il peut être difficile de dire ce qui cause le désordre, si vous n'êtes pas un spécialiste de l'informatique légale ou un chercheur en sécurité. Créez une clé USB Ubuntu live (de préférence sur un autre ordinateur de confiance) et réinstallez votre système. Pensez également à vous débarrasser de votre routeur et à en acheter un nouveau. L'installation de logiciels malveillants dans les routeurs n'est pas aussi rare que vous le pensez. Si vous ne voulez pas faire cela, envisagez d'installer un logiciel open source sur le routeur, tel que DD-WRT ou Open-WRT, qui prend en charge le fabricant et la version de votre routeur.

  • Envisagez de demander l'aide d'un professionnel Cette option est peut-être la plus coûteuse, mais si vous voulez aller au fond des choses et découvrir ce qui se passe réellement, envisagez d'engager une personne dont le métier est d'enquêter sur la sécurité des réseaux informatiques. L'avantage potentiel est qu'il pourra vous dire qui et comment a compromis votre réseau et l'utilise à des fins malveillantes.

Répondu el 15 de Janvier, 2017 par Sergiy Kolodyazhnyy (97292 Points )

2voto

user633551 avatar
user633551 Points 421

Vous devez installer wireshark pour l'inspection des paquets. Entre-temps, vous pouvez bloquer les IP ou, mieux encore, toute la gamme (au cas où ils posséderaient tout), mais il est probable qu'ils utiliseront simplement une autre route.

Pour un seul IP :

sudo ufw deny from 123.24.163.24 to any

Pour une gamme :

sudo ufw deny from 123.24.163.0/24 to any

ou ajouter une règle à iptables si vous préférez cette méthode.

sudo iptables -A INPUT -s 123.24.163.0/24 -j DROP

Il y a une chance que quelqu'un opère à partir de votre ordinateur, d'où le scan. Dans ce cas, qui sait ce qui a déjà été fait sur votre ordinateur. Un nettoyage complet pourrait être nécessaire.

Répondu el 14 de Janvier, 2017 par user633551 (421 Points )

2voto

Stancu Mihai avatar
Stancu Mihai Points 415

J'ai une autre approche à vous proposer, car j'ai été confronté par le passé à la même situation.

  1. NE BLOQUEZ RIEN avec les IPTABLES POUR L'instant !

  2. Arrêtez toute application ou processus qui peut communiquer avec la victime (par exemple, un navigateur connecté à l'adresse IP de la victime).

  3. Découvrez quel trafic est effectué entre votre PC et celui de la victime en utilisant

    tcpdump -nn host your_victim_ip

    Votre résultat devrait ressembler à ceci

    08:36:19.738610 IP 192.168.89.xxx.46582 > 89.35.224.xxx.80: Flags [.], ack 18825, win 523, options [nop,nop,TS val 15987331 ecr 427321428], length 0
08:36:19.738625 IP 89.35.224.xxx.80 > 192.168.89.xxx.46582: Flags [.], seq 18825:20273, ack 492, win 243, options [nop,nop,TS val 427321428 ecr 15987307], length 1448: HTTP
08:36:19.738635 IP 192.168.89.xxx.46582 > 89.35.224.xxx.80: Flags [.], ack 20273, win 545, options [nop,nop,TS val 15987331 ecr 427321428], length 0
08:36:19.738643 IP 89.35.224.xxx.80 > 192.168.89.xxx.46582: Flags [FP.], seq 20273:21546, ack 492, win 243, options [nop,nop,TS val 427321428 ecr 15987307], length 1273: HTTP

    D'après la sortie ci-dessus, les ports sont en gras 192.168.89.xxx. 46582 > 89.35.224.xxx. 80

  4. Découvrez ce qui utilise ce port avec lsof

    lsof -i:80

    Remplacez ":80" par le ou les ports trouvés dans tcpdump La sortie -n est utilisée pour supprimer la résolution des IP en noms et la sortie -P est utilisée pour supprimer la conversion des ports en noms ; elle devrait vous montrer quel processus utilise le port 80.

    COMMAND   PID  USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
firefox 30989 mihai   61u  IPv4 496649      0t0  TCP 192.168.89.xxx:40890->89.35.224.xxx:80 (ESTABLISHED)

    Comme vous pouvez le voir dans mon exemple, la COMMANDE firefox utilise le port 80 dans la communication établie avec l'IP 89.35.224.xxx.

  5. Si la commande semble étrange, vérifiez d'où elle est exécutée avec ls -l /proc/$PID/exe où $PID est l'ID du processus trouvé avec la commande lsof plus tôt. Vous devriez obtenir un résultat similaire à celui-ci :

    lrwxrwxrwx 1 mihai mihai 0 Jan 16 22:37 /proc/30989/exe -> /usr/lib/firefox/firefox

  6. En outre, vous pouvez vérifier pour plus de détails la commande listée ci-dessus avec lsof -i:port en utilisant lsof -c command_name

    C'est la partie la plus difficile, alors gardez à l'esprit que presque tout est lié à cette "commande en cours d'exécution", comme les fichiers qu'elle utilise, les autres connexions, etc.

  7. Arrêtez le processus avec sudo kill -9 $PID

  8. Il peut être judicieux de sauvegarder le fichier dans un autre endroit et de le supprimer s'il ne s'agit pas d'un nom de processus courant comme firefox, mais vous pouvez envisager de réinstaller l'application s'il s'agit d'un nom courant.

Une autre approche consiste à modifier l'utilisation des commandes à l'étape 4. Avec lsof -i@*victim_ip_address* pour voir tous les processus et commandes qui ont des connexions actives avec l'adresse IP de votre victime

IMPORTANT : Exécuter toutes les commandes en tant que root ou avec sudo .

Si vous n'avez pas tcpdump ni lsof installé alors vous pouvez les installer par : sudo apt install lsof tcpdump

A ce stade, je pense que vous avez toutes les informations nécessaires pour utiliser IPTABLES et bloquer le trafic sortant si c'est encore nécessaire.

N'oubliez pas d'utiliser tcpdump à nouveau pour voir si le problème a disparu.

Répondu el 17 de Janvier, 2017 par Stancu Mihai (415 Points )

1voto

Utilisateur non enregistré avatar
Utilisateur non enregistré Points 0

Le moniteur réseau EtherApe est une option de milieu de gamme pour surveiller le trafic de données de votre réseau. En tant que moniteur réseau open source, EtherApe affiche l'activité du réseau sous forme graphique avec un code couleur pour les protocoles. Les hôtes et les liens changent de taille en fonction du trafic. Il supporte les périphériques Ethernet, WLAN, FDDI, Token Ring, ISDN, PPP et SLIP. Il peut filtrer le trafic à afficher et lire le trafic à partir d'un fichier ainsi qu'en direct du réseau. Pour les téléchargements et de plus amples informations, visitez la page d'accueil d'EtherApe .

screenshot

Le blocage de l'adresse offensive est aussi simple que l'ajout de l'adresse suspecte à une chaîne de tables IP d'entrée comme ceci

iptables –A INPUT –m tcp –s OFFENDING_IP_ADDRESS –d WEB_SERVER_ADDRESS –dport 80 –j DENY (where OFFENDING_IP_ADDRESS is the suspect address and WEB_SERVER_ADDRESS is the web server being hit)

Il existe également d'autres très bons logiciels libres (OSS) pour Linux que vous pouvez installer dans votre Ubuntu pour avoir une plus grande sécurité et évaluer votre système d'éventuelles défaillances.

Lynis

Lynis est un outil d'audit de sécurité open source. Utilisé par les administrateurs système, les professionnels de la sécurité et les auditeurs, pour évaluer les défenses de sécurité de leurs systèmes basés sur Linux et UNIX. Il fonctionne sur l'hôte lui-même, ce qui lui permet d'effectuer des analyses de sécurité plus complètes que les scanners de vulnérabilité.

Bien qu'il dispose de nombreuses options d'analyse (pouvant même être complétées par des plugins), le fonctionnement de base consiste à analyser une série d'aspects du système et à vérifier si la configuration est correcte.

Au final, sur la base des résultats obtenus, on vous proposera une note indicative de 100, qu'ils appellent l'indice de durcissement, ainsi qu'un bon relevé de tous les avertissements et mesures correctives qu'on vous suggère d'appliquer.

Lynis fonctionne sur presque tous les systèmes et versions basés sur UNIX.

Lynis est léger et facile à utiliser, il est utilisé à plusieurs fins différentes.

Vous pouvez en savoir plus sur Lynis sur son site officiel. lien .

Guide d'installation

Les cas d'utilisation typiques de Lynis comprennent :

Security auditing
Compliance testing (e.g. PCI, HIPAA, SOx)
Vulnerability detection and scanning
System hardening

OpenVAS / Nessus

Ces produits se concentrent principalement sur l'analyse des vulnérabilités. Ils le font via le réseau en interrogeant les services. Ils peuvent également se connecter à un système et recueillir des données.

RootKit Checkers : rkhunter & chkrootkit

Le paquet rkhunter est dans les dépôts, donc il suffit de

sudo apt-get install rkhunter

Tout comme chkrootkit

sudo apt-get install chkrootkit
Répondu el 18 de Janvier, 2017 par Utilisateur non enregistré (0 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X