it-swarm.com.de

Ermitteln Sie Port-Scans, die von Ihrem Computer durchgeführt wurden

Mir wurde gesagt, dass mein funktionierender PC massiv die Ports eines anderen PCs scannt, was nicht von mir beabsichtigt ist. Wie kann ich herausfinden, welches Programm das macht?


Auf Anraten von ByteCommanders Kommentar habe ich nethogs verwendet, um meinen Netzwerkverkehr aufzulisten. Ich habe auf meinem Computer keine verdächtigen Programme gefunden, die auf diese Weise ausgeführt werden (was nicht unbedingt bedeutet, dass es keine solchen Programme gibt - ich kann nur nicht die gesamte Ausgabe überwachen), aber es gibt einige seltsame Zeilen in der Form

my_ip_address:port-other_ip_address:port

wo die IP-Adressen auf der rechten Seite z. 123.24.163.24, 58.221.44.109 oder 88.248.51.254. Wenn Sie sie googeln, werden Sie sehen, dass sie alle auf einigen schwarzen Listen erscheinen. Bedeutet das, dass gerade etwas Verdächtiges passiert? Könnte das etwas mit meinem ursprünglichen Problem zu tun haben?

6
Dune

Ich habe einen anderen Ansatz für Sie, da ich mich in der Vergangenheit mit der gleichen Situation konfrontiert habe.

  1. BLOCKIEREN SIE NOCH NICHTS MIT IPTABLES!
  2. Beenden Sie alle Anwendungen oder Prozesse, die mit dem Opfer kommunizieren können (z. B. Browser, der mit der IP-Adresse des Opfers verbunden ist).
  3. Finden Sie mithilfe von heraus, welcher Datenverkehr zwischen Ihrem PC und dem PC des Opfers stattfindet
    tcpdump -nn Host your_victim_ip
    Ihre Ausgabe sollte ungefähr so ​​aussehen
08:36:19.738610 IP 192.168.89.xxx.46582 > 89.35.224.xxx.80: Flags [.], ack 18825, win 523, options [nop,nop,TS val 15987331 ecr 427321428], length 0
08:36:19.738625 IP 89.35.224.xxx.80 > 192.168.89.xxx.46582: Flags [.], seq 18825:20273, ack 492, win 243, options [nop,nop,TS val 427321428 ecr 15987307], length 1448: HTTP
08:36:19.738635 IP 192.168.89.xxx.46582 > 89.35.224.xxx.80: Flags [.], ack 20273, win 545, options [nop,nop,TS val 15987331 ecr 427321428], length 0
08:36:19.738643 IP 89.35.224.xxx.80 > 192.168.89.xxx.46582: Flags [FP.], seq 20273:21546, ack 492, win 243, options [nop,nop,TS val 427321428 ecr 15987307], length 1273: HTTP

Von der obigen Ausgabe sind die Ports kühner 192.168.89.xxx. ** 46582 **> 89.35.224.xxx. ** 80 **

  1. Finden Sie heraus, was dieser Port mit lsof verwendet
    lsof -i:80
    Ändern Sie ": 80", wobei die Ports in der tcpdump-Ausgabe enthalten sind. Das -n wird verwendet, um das Auflösen von IPs in Namen zu unterdrücken, und das -P wird verwendet, um das Konvertieren von Ports in Namen zu unterdrücken. Es sollte Ihnen zeigen, welcher Prozess den Port 80 verwendet.
COMMAND   PID  USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
firefox 30989 mihai   61u  IPv4 496649      0t0  TCP 192.168.89.xxx:40890->89.35.224.xxx:80 (ESTABLISHED)

Wie Sie in meinem Beispiel sehen können, verwendet der BEFEHL firefox den Port 80 in der Kommunikation, die mit IP 89.35.224.xxx hergestellt wurde

  1. Wenn der Befehl seltsam zu sein scheint, überprüfen Sie, wo er mit ls -l /proc/$PID/exe ausgeführt wird, wobei $ PID die Prozess-ID ist, die zuvor mit dem Befehl lsof erstellt wurde. Sollte ein ähnliches Ergebnis haben wie:
lrwxrwxrwx 1 mihai mihai 0 Jan 16 22:37 /proc/30989/exe -> /usr/lib/firefox/firefox
  1. Zusätzlich können Sie den oben mit lsof -i:port aufgelisteten Befehl mit überprüfen
    lsof -c command_name

Denken Sie also daran, dass fast alles mit diesem "laufenden Befehl" zusammenhängt, der angezeigt wird, z. B. welche Dateien er verwendet, welche anderen Verbindungen usw.

  1. Beende den Prozess mit Sudo kill -9 $PID

  2. Es ist möglicherweise eine gute Idee, die Datei an einem anderen Ort zu sichern und zu löschen, wenn es sich nicht um einen allgemeinen Prozessnamen wie Firefox handelt.

Ein anderer Ansatz besteht darin, die Befehlsverwendung in Schritt 4 mit lsof [email protected]*victim_ip_address* zu ändern, um alle Prozesse und Befehle anzuzeigen, die aktive Verbindungen mit der IP-Adresse Ihres Opfers haben

** ** WICHTIG ** **: Führen Sie alle Befehle als root oder mit Sudo aus.
Wenn Sie weder tcpdump noch lsof installiert haben, können Sie sie folgendermaßen installieren:

Sudo apt-get install lsof tcpdump

An diesem Punkt denke ich, dass Sie alle Informationen haben, die benötigt werden, um IPTABLES zu verwenden und ausgehenden Verkehr zu blockieren, wenn er noch benötigt wird.
Vergessen Sie nicht, tcpdump erneut zu verwenden, um festzustellen, ob das Problem behoben ist.

2
Stancu Mihai

Eine einfache Möglichkeit, Ihr System zu überwachen, besteht darin, einen Tag lang einen Befehl wie netstat auszuführen und zu prüfen, was aus dem System herausgeht. Zum Beispiel würde so etwas wie this alle ausgehenden (abgefragten) Verbindungen anzeigen:

netstat -nputwc | tee ~/network.log

Von dort aus können Sie network.log in Ihrem Home-Ordner überprüfen, um festzustellen, ob seltsame/anomale Verbindungen bestehen. Führen Sie dies am besten an einem Tag aus, an dem Sie nicht zu häufig das Internet nutzen, sodass Sie nur Hintergrundverbindungen und nicht aktive Verbindungen erhalten. Mit Netstat können Sie sehen, welcher Prozess auch die Verbindungen aufruft. Dies kann sich lohnen, wenn ein Scanner ausgeführt wird.

Darüber hinaus können Sie mit tcpdump ein detaillierteres/ausführlicheres Protokoll abrufen, mit dem Sie eine erweiterte Ausgabe und weitere Informationen abrufen können. Weitere Informationen finden Sie unter man tcpdump. Beachten Sie jedoch insbesondere den Ausdruck src, um nur ausgehende Verbindungen abzurufen. Stellen Sie außerdem sicher, dass Sie die Option -w verwenden, um in eine Datei zu schreiben und sie einfach zu suchen. Sie können ein bisschen mehr über tcpdumphier lesen, wenn Sie möchten. Zumindest zeigt dies an, ob Ihr Computer tatsächlich scannt.

Von beiden können Sie entweder den Prozess abrufen (durch netstat) oder wichtige Dinge wie wann und wohin die Dinge gehen. Sie können tatsächlich beide gleichzeitig ausführen , um nach Triggern oder Ähnlichem zu suchen, die zu Scans führen. Sie können sogar tcpdump verwenden, um zu ermitteln, wann Überprüfungen stattfinden, und dann mit netstat einen Querverweis erstellen, um zu ermitteln, welcher Prozess Dinge tut.

Wenn Sie bemerken, dass diese Scans regelmäßig stattfinden, sollten Sie nach Cronjobs oder Ähnlichem suchen, die (relativ) leicht entfernt werden können.

Andernfalls können Sie die allgemeinen Sicherheitstipps verwenden, z. B. rkhunter, clamav usw. Sie können Ihr System auch immer einfach von einem als funktionierend bekannten Backup neu installieren, um es jetzt zu beenden.


Und nur für ein bisschen Hintergrundwissen über Botnets, hauptsächlich, um Sie zu langweilen.

In der Regel befindet sich ein Botnetz im Leerlauf auf Ihrem System, bis es von einer bestimmten Reihenfolge ausgelöst wird. Dies kann entweder Ihr System sein, das eine Nachricht von einem Remote-Server empfängt, oder Ihr Computer, der einen Server nach seinen neuen "Bestellungen" abfragt. In beiden Fällen können Sie dieselben Tools verwenden, um diese Botnet-Befehle zu finden und zu ermitteln, wohin sie führen.

Sobald Sie erfassen können, ob Ihr Computer Teil eines Botnetzes ist (falls vorhanden), können Sie herausfinden, wo sich die Botnetz-Software befindet, und sie mit beliebigen Methoden entfernen.

Es kann auch wichtig sein, zu beachten, dass Ihr Computer möglicherweise nicht das infizierte Gerät im Netzwerk ist. Ein Router, ein WAP, eine Webcam oder eine andere Art von IoT-Dingen (sogar Drucker!) Können auch Mitglieder eines Botnetzes sein. Wenn sie sich hinter derselben Verbindung/IP wie Ihr Computer befinden (insbesondere zu Hause oder ähnlich), geben Sie möglicherweise fälschlicherweise Ihrem Computer die Schuld, anstatt Ihrem intelligenten Toaster oder was auch immer.

7
Kaz Wolfe

Mögliche Dinge, die Sie tun können:

  • Ändern Sie Ihre Passwörter: Falls ein menschlicher Angreifer Ihre Geräte als Maske verwendet, ist es offensichtlich, dass Ihre Authentifizierung in irgendeiner Weise beeinträchtigt wurde. Dies umfasst Ihren Computer, aber auch Router, Modems und intelligente Geräte in Ihrem Heimnetzwerk. Die meisten Benutzer geben nur ein Passwort für das WLAN ein, aber kein Passwort für das Administratorkonto ihres Routers. Das ist schlecht. Wie Kaz betonte, sind intelligente Geräte auch einfache Ziele. Überprüfen Sie beim Überprüfen des Routers auch, ob die Portweiterleitung auf dem Router aktiviert ist, um genau zu erfahren, auf welches Gerät zugegriffen wird.

  • Auf nmap prüfen. Nmap ist eines der am häufigsten verwendeten Tools zum Scannen von Netzwerken. Es kann zum Guten und zum Guten für Systemadministratoren, aber auch für die Bösen verwendet werden. Führen Sie apt-cache policy nmap aus, um festzustellen, ob jemand es auf Ihrem Computer installiert hat.

  • Analysieren Sie Ihre Netzwerkverbindungen und den Datenverkehr. Tools wie netstat zeigen an, welche Programme welche Netzwerkports verwenden. Besonders interessant ist der Befehl Sudo netstat -tulpan. Ein weiteres bereits erwähntes Tool ist Wireshark. Möglicherweise müssen Sie sich etwas Zeit nehmen, um den Umgang damit zu erlernen. Ich würde empfehlen, dass Sie alle diese Tests mit allen Browsern und Anwendungen ausführen, die vom deaktivierten Netzwerk abhängen.

  • Betrachten Sie das Löschen von Plugins für Browser: Chrome Erweiterungen und Firefox-Addons sind erstaunlich, aber sie sind keine unschuldigen kleinen Kätzchen. Möglicherweise führen Sie einen Browser aus, und diese Erweiterungen führen alle böswilligen Aktivitäten im Hintergrund aus. Ziehen Sie in Betracht, alle zu löschen oder einfach ~/.mozilla und ~/.config/google-chrome/ zu entfernen.

  • Wenn nichts anderes funktioniert, nuke es aus dem Orbit: Mit anderen Worten, sichern Sie Ihre Daten und installieren Sie Ihr Ubuntu neu. Sobald ein System kompromittiert ist, ist es schwer, ihm zu vertrauen. Eine weit verbreitete Technik besteht darin, ein legitimes Programm durch ein gefälschtes zu ersetzen. Bei Tausenden von Binärdateien auf dem Computer kann es schwierig sein, die Ursache für das Chaos zu ermitteln, wenn Sie kein Computerforensiker oder Sicherheitsforscher sind. Erstellen Sie einen Ubuntu Live-USB-Stick (vorzugsweise auf einem anderen, vertrauenswürdigen Computer) und installieren Sie Ihr System neu. Entfernen Sie auch Ihren Router und holen Sie sich einen neuen. Das Installieren von Malware in Routern ist nicht so ungewöhnlich wie Sie denken. Wenn Sie dies nicht möchten, sollten Sie Open-Source-Software wie DD-WRT oder Open-WRT auf dem Router installieren. Diese unterstützen den Hersteller und die Version Ihres Routers.

  • Fragen Sie einen Fachmann um Hilfe.: Dies kostet Sie möglicherweise am meisten. Wenn Sie jedoch herausfinden möchten, was tatsächlich vor sich geht, sollten Sie jemanden einstellen, der die Sicherheit von Computernetzwerken untersucht Lebensunterhalt. Das potenzielle Plus ist, dass sie Ihnen mitteilen können, wer und wie Ihr Netzwerk kompromittiert hat und es für böswillige Juju verwendet.

5

Sie sollten wireshark für die Paketüberprüfung installieren. In der Zwischenzeit könnten Sie die IPs oder besser die gesamte Bandbreite blockieren (falls sie alle besitzen), aber es ist wahrscheinlich, dass sie nur eine andere Route verwenden.

Für eine einzelne IP:

Sudo ufw deny from 123.24.163.24 to any

Für einen Bereich:

Sudo ufw deny from 123.24.163.0/24 to any

oder hängen Sie eine Regel an iptables an, wenn Sie dies vorziehen.

Sudo iptables -A INPUT -s 123.24.163.0/24 -j DROP

Es besteht die Möglichkeit, dass jemand von Ihrem Computer aus arbeitet, daher das Scannen. In einem solchen Fall, wer weiß, was noch auf Ihrem Computer gemacht wurde. Möglicherweise ist eine vollständige Reinigung erforderlich.

2
user633551

Der EtherApe-Netzwerkmonitor ist eine Mittelbereichsoption zur Überwachung des Datenverkehrs in Ihrem Netzwerk. Als Open Source-Netzwerkmonitor zeigt EtherApe die Netzwerkaktivität grafisch mit einer farbcodierten Protokollanzeige an. Hosts und Links ändern ihre Größe mit dem Datenverkehr. Es unterstützt Ethernet-, WLAN-, FDDI-, Token Ring-, ISDN-,PPP- und SLIP-Geräte. Es kann den anzuzeigenden Datenverkehr filtern und den Datenverkehr aus einer Datei sowie den Live-Datenverkehr aus dem Netzwerk lesen. Für Downloads und weitere Informationen besuchen Sie die EtherApe-Homepage .

enter image description here

Das Blockieren der anstößigen Adresse ist so einfach wie das Hinzufügen der verdächtigen Adresse zu einer Eingabe-IP-Tabellenkette wie dieser

iptables –A INPUT –m tcp –s OFFENDING_IP_ADDRESS –d WEB_SERVER_ADDRESS –dport 80 –j DENY (where OFFENDING_IP_ADDRESS is the suspect address and WEB_SERVER_ADDRESS is the web server being hit)

Es gibt auch andere sehr gute Open-Source-Software (OSS) für Linux, die Sie auf Ihrem Ubuntu installieren können, um die Sicherheit zu erhöhen und Ihr System auf mögliche Fehler zu untersuchen.

Lynis

Lynis ist ein Open-Source-Tool zur Sicherheitsüberprüfung. Wird von Systemadministratoren, Sicherheitsexperten und Prüfern verwendet, um die Sicherheitsverteidigung ihrer Linux- und UNIX-basierten Systeme zu bewerten. Es läuft auf dem Host selbst und führt daher umfangreichere Sicherheitsscans durch als Vulnerability-Scanner.

Obwohl es viele Analysemöglichkeiten bietet (die sogar durch Plugins ergänzt werden können), besteht die Grundoperation darin, eine Reihe von Aspekten des Systems zu analysieren und zu überprüfen, ob die Konfiguration korrekt ist.

Am Ende erhalten Sie auf der Grundlage der erzielten Ergebnisse einen Richtwert von 100, den sie als Härtungsindex bezeichnen, sowie eine gute Aufzeichnung aller Warnungen und Korrekturmaßnahmen, die Sie anwenden sollten.

Lynis läuft auf fast allen UNIX-basierten Systemen und Versionen.

Lynis ist leicht und einfach zu bedienen. Es wird für verschiedene Zwecke verwendet.

Sie können mehr über Lynis auf seiner offiziellen Website lesen Link .

Installationsanleitung

Typische Anwendungsfälle für Lynis sind:

Security auditing
Compliance testing (e.g. PCI, HIPAA, SOx)
Vulnerability detection and scanning
System hardening

OpenVAS/Nessus

Diese Produkte konzentrieren sich hauptsächlich auf das Scannen von Sicherheitslücken. Sie tun dies über das Netzwerk, indem sie Dienste abrufen. Optional melden sie sich bei einem System an und erfassen Daten.

RootKit Checkers " rkhunter & chkrootkit "

Das Paket rkhunter ist in den Repos, also einfach

Sudo apt-get install rkhunter

Ist so chkrootkit

Sudo apt-get install chkrootkit

1
user641576