Anonymous : |
שאלה
באובנטו 16 פתחתי את הלוג של ה IPTABLES וראיתי שהמחשב שלי מנסה ליצור קשר עם מחשב אחר בפורט 9888 יש מעבר על כל ה SPT בקפיצות של 2 ההתנהגות היא של סוס טרויאני שמנסה להתקשר החוצה. בגוגל ראיתי שכניראה מדובר בחברת cyborg systems יש למישהו מושג במה מדובר? ( לא התקנתי שום תוכנה חיצונית) תחילת הלוג Jan 4 20:04:49 HpUbMa kernel: [ 982.499613] OUTPUT_DROP:IN= OUT=ppp0 SRC=100.65.140.55 DST=202.104.102.159 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=6323 DF PROTO=TCP SPT=41718 DPT=9888 WINDOW=29200 RES=0x00 SYN URGP=0 Jan 4 20:04:49 HpUbMa kernel: [ 982.500721] OUTPUT_DROP:IN= OUT=ppp0 SRC=100.65.140.55 DST=202.104.102.159 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=31679 DF PROTO=TCP SPT=41720 DPT=9888 WINDOW=29200 RES=0x00 SYN URGP=0 Jan 4 20:04:49 HpUbMa kernel: [ 982.500785] OUTPUT_DROP:IN= OUT=ppp0 SRC=100.65.140.55 DST=202.104.102.159 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=17179 DF PROTO=TCP SPT=41722 DPT=9888 WINDOW=29200 RES=0x00 SYN URGP=0 Jan 4 20:04:49 HpUbMa kernel: [ 982.501139] OUTPUT_DROP:IN= OUT=ppp0 SRC=100.65.140.55 DST=202.104.102.159 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=11548 DF PROTO=TCP SPT=41724 DPT=9888 WINDOW=29200 RES=0x00 SYN URGP=0 Jan 4 20:04:49 HpUbMa kernel: [ 982.501198] OUTPUT_DROP:IN= OUT=ppp0 SRC=100.65.140.55 DST=202.104.102.159 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=34666 DF PROTO=TCP SPT=41726 DPT=9888 WINDOW=29200 RES=0x00 SYN URGP=0 ... ... Jan 4 20:09:50 HpUbMa kernel: [ 1283.519862] OUTPUT_DROP:IN= OUT=ppp0 SRC=100.65.140.55 DST=202.104.102.159 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=12750 DF PROTO=TCP SPT=41932 DPT=9888 WINDOW=29200 RES=0x00 SYN URGP=0 |
קוד: |
netstat -lptn netstat -tupan ps aux lsmod |
Anonymous : |
תודה על התשובות
קצת הבהרות מדובר ב ubuntu-mate-16.04.1-desktop-i386.iso מהאתר הרישמי בדקתי SHA256SUMS וזה תקין (כלומר זה הקובץ מקורי). אני משתמש בקרנל המקורי.( HpUbMa זה שם המחשב ) לא התקנתי תוכנות חיצוניות ולא הוספתי מאגרים חיצוניים אבל כן הוספתי theme לא דרך קובץ deb אלא הוספתי ספריית theme לספריית ה themes מהאתר www.gnome-look.org (אולי זו הבעייה או שקובץ ההתקנה הרישמי נגוע) הסוס הזה (בהנחה שזה סוס) רץ פעם ביממה למשך פחות מדקה וגם לא כל יום .אני רק רואה עקבות שלו בקובץ הלוג , עד היום ראיתי 3 ריצות שלו בלוג במשך 2 שבועות .כך שפקודות netstat ן ps לא יעזרו . עד היום חסמתי בפיירוול רק את הINPUT. זו הפעם הראשונה שאני חסמתי בOUTPUT את מה שאני לא צריך ובהחלט התוצאה הפתיע אותי. אני מניח שיש לי סוס טרואיני במחשב נראה לי שאני אחקור את זה עוד לפני שאני אתקין מחדש מערכת הפעלה. מסקנה כדאי לפתוח בפיירוול רק את מה שצריך גם ב INPUT וגם בOUTPUT גם בלינוקס ולא להסתמך על זה שאם לא התקנתי תוכנות חיצוניות אז הכל בסדר בצד של הOUTPUT . ושוב תודה על התשובות |