ווטסאפ - לינוקס, BSD, קוד פתוח ותוכנה חופשית בעברית. Whatsup - Linux, BSD, open source and free software in Hebrew

 
 
  כניסת חברים · רישום · שכחתי סיסמה  
tux the penguin
תגובה לנושא
צפיה בנושא הבא Printable version התחבר כדי לבדוק הודעות פרטיות צפיה בנושא הקודם
אורח · ·
 

הודעה פורסם: 06/01/2017 - 21:50
נושא ההודעה: נסיונות התקשרות החוצה לפורט 9888 ,סוס טרויאני?

שאלה
באובנטו 16 פתחתי את הלוג של ה IPTABLES וראיתי שהמחשב שלי מנסה ליצור קשר עם מחשב אחר בפורט 9888 יש מעבר על כל ה SPT בקפיצות של 2 ההתנהגות היא של סוס טרויאני שמנסה להתקשר החוצה. בגוגל ראיתי שכניראה מדובר בחברת cyborg systems
יש למישהו מושג במה מדובר? ( לא התקנתי שום תוכנה חיצונית)

תחילת הלוג
Jan 4 20:04:49 HpUbMa kernel: [ 982.499613] OUTPUT_DROP:IN= OUT=ppp0 SRC=100.65.140.55 DST=202.104.102.159 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=6323 DF PROTO=TCP SPT=41718 DPT=9888 WINDOW=29200 RES=0x00 SYN URGP=0
Jan 4 20:04:49 HpUbMa kernel: [ 982.500721] OUTPUT_DROP:IN= OUT=ppp0 SRC=100.65.140.55 DST=202.104.102.159 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=31679 DF PROTO=TCP SPT=41720 DPT=9888 WINDOW=29200 RES=0x00 SYN URGP=0
Jan 4 20:04:49 HpUbMa kernel: [ 982.500785] OUTPUT_DROP:IN= OUT=ppp0 SRC=100.65.140.55 DST=202.104.102.159 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=17179 DF PROTO=TCP SPT=41722 DPT=9888 WINDOW=29200 RES=0x00 SYN URGP=0
Jan 4 20:04:49 HpUbMa kernel: [ 982.501139] OUTPUT_DROP:IN= OUT=ppp0 SRC=100.65.140.55 DST=202.104.102.159 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=11548 DF PROTO=TCP SPT=41724 DPT=9888 WINDOW=29200 RES=0x00 SYN URGP=0
Jan 4 20:04:49 HpUbMa kernel: [ 982.501198] OUTPUT_DROP:IN= OUT=ppp0 SRC=100.65.140.55 DST=202.104.102.159 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=34666 DF PROTO=TCP SPT=41726 DPT=9888 WINDOW=29200 RES=0x00 SYN URGP=0
...
...

Jan 4 20:09:50 HpUbMa kernel: [ 1283.519862] OUTPUT_DROP:IN= OUT=ppp0 SRC=100.65.140.55 DST=202.104.102.159 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=12750 DF PROTO=TCP SPT=41932 DPT=9888 WINDOW=29200 RES=0x00 SYN URGP=0
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 06/01/2017 - 22:15
נושא ההודעה: Re: נסיונות התקשרות החוצה לפורט 9888 ,סוס טרויאני?

Anonymous :
שאלה
באובנטו 16 פתחתי את הלוג של ה IPTABLES וראיתי שהמחשב שלי מנסה ליצור קשר עם מחשב אחר בפורט 9888 יש מעבר על כל ה SPT בקפיצות של 2 ההתנהגות היא של סוס טרויאני שמנסה להתקשר החוצה. בגוגל ראיתי שכניראה מדובר בחברת cyborg systems
יש למישהו מושג במה מדובר? ( לא התקנתי שום תוכנה חיצונית)

תחילת הלוג
Jan 4 20:04:49 HpUbMa kernel: [ 982.499613] OUTPUT_DROP:IN= OUT=ppp0 SRC=100.65.140.55 DST=202.104.102.159 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=6323 DF PROTO=TCP SPT=41718 DPT=9888 WINDOW=29200 RES=0x00 SYN URGP=0
Jan 4 20:04:49 HpUbMa kernel: [ 982.500721] OUTPUT_DROP:IN= OUT=ppp0 SRC=100.65.140.55 DST=202.104.102.159 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=31679 DF PROTO=TCP SPT=41720 DPT=9888 WINDOW=29200 RES=0x00 SYN URGP=0
Jan 4 20:04:49 HpUbMa kernel: [ 982.500785] OUTPUT_DROP:IN= OUT=ppp0 SRC=100.65.140.55 DST=202.104.102.159 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=17179 DF PROTO=TCP SPT=41722 DPT=9888 WINDOW=29200 RES=0x00 SYN URGP=0
Jan 4 20:04:49 HpUbMa kernel: [ 982.501139] OUTPUT_DROP:IN= OUT=ppp0 SRC=100.65.140.55 DST=202.104.102.159 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=11548 DF PROTO=TCP SPT=41724 DPT=9888 WINDOW=29200 RES=0x00 SYN URGP=0
Jan 4 20:04:49 HpUbMa kernel: [ 982.501198] OUTPUT_DROP:IN= OUT=ppp0 SRC=100.65.140.55 DST=202.104.102.159 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=34666 DF PROTO=TCP SPT=41726 DPT=9888 WINDOW=29200 RES=0x00 SYN URGP=0
...
...

Jan 4 20:09:50 HpUbMa kernel: [ 1283.519862] OUTPUT_DROP:IN= OUT=ppp0 SRC=100.65.140.55 DST=202.104.102.159 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=12750 DF PROTO=TCP SPT=41932 DPT=9888 WINDOW=29200 RES=0x00 SYN URGP=0


אני מודה שאני לא יודע מה זה אבל זה בהחלט נראה חשוד : ה ip 202.104.102.159 מוביל לחברה סינית . הפורט של cyborg . מה זה הקרנל הזה HpUbMa ? האם הורדת את ה ubuntu ממקור אמין ? אין לי אובונטו אבל נסה להתקין תוכנות כגון clamav ו rkhuner ולסרוק איתן את המחשב . באופן אישי הייתי שוקל לפרמט ולהתקין את מערכת ההפעלה מחדש .
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 06/01/2017 - 23:30
נושא ההודעה:

תן פלט של הפקודות הבאות:
קוד:

netstat -lptn
netstat -tupan
ps aux
lsmod


קיפלת את הקרנל בעצמך? איזה patches החלת?
התקנת theme מקובץ .deb?
הוספת מאגר חיצוני ל - apt?
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 07/01/2017 - 15:58
נושא ההודעה:

תודה על התשובות

קצת הבהרות
מדובר ב ubuntu-mate-16.04.1-desktop-i386.iso מהאתר הרישמי בדקתי SHA256SUMS וזה תקין (כלומר זה הקובץ מקורי). אני משתמש בקרנל המקורי.( HpUbMa זה שם המחשב )
לא התקנתי תוכנות חיצוניות ולא הוספתי מאגרים חיצוניים אבל כן הוספתי theme לא דרך קובץ deb אלא הוספתי ספריית theme לספריית ה themes מהאתר www.gnome-look.org (אולי זו הבעייה או שקובץ ההתקנה הרישמי נגוע)

הסוס הזה (בהנחה שזה סוס) רץ פעם ביממה למשך פחות מדקה וגם לא כל יום .אני רק רואה עקבות שלו בקובץ הלוג , עד היום ראיתי 3 ריצות שלו בלוג במשך 2 שבועות .כך שפקודות netstat ן ps לא יעזרו .

עד היום חסמתי בפיירוול רק את הINPUT. זו הפעם הראשונה שאני חסמתי בOUTPUT את מה שאני לא צריך ובהחלט התוצאה הפתיע אותי. אני מניח שיש לי סוס טרואיני במחשב נראה לי שאני אחקור את זה עוד לפני שאני אתקין מחדש מערכת הפעלה.

מסקנה כדאי לפתוח בפיירוול רק את מה שצריך גם ב INPUT וגם בOUTPUT גם בלינוקס ולא להסתמך על זה שאם לא התקנתי תוכנות חיצוניות אז הכל בסדר בצד של הOUTPUT .

ושוב תודה על התשובות
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 07/01/2017 - 19:49
נושא ההודעה:

Anonymous :
תודה על התשובות

קצת הבהרות
מדובר ב ubuntu-mate-16.04.1-desktop-i386.iso מהאתר הרישמי בדקתי SHA256SUMS וזה תקין (כלומר זה הקובץ מקורי). אני משתמש בקרנל המקורי.( HpUbMa זה שם המחשב )
לא התקנתי תוכנות חיצוניות ולא הוספתי מאגרים חיצוניים אבל כן הוספתי theme לא דרך קובץ deb אלא הוספתי ספריית theme לספריית ה themes מהאתר www.gnome-look.org (אולי זו הבעייה או שקובץ ההתקנה הרישמי נגוע)

הסוס הזה (בהנחה שזה סוס) רץ פעם ביממה למשך פחות מדקה וגם לא כל יום .אני רק רואה עקבות שלו בקובץ הלוג , עד היום ראיתי 3 ריצות שלו בלוג במשך 2 שבועות .כך שפקודות netstat ן ps לא יעזרו .

עד היום חסמתי בפיירוול רק את הINPUT. זו הפעם הראשונה שאני חסמתי בOUTPUT את מה שאני לא צריך ובהחלט התוצאה הפתיע אותי. אני מניח שיש לי סוס טרואיני במחשב נראה לי שאני אחקור את זה עוד לפני שאני אתקין מחדש מערכת הפעלה.

מסקנה כדאי לפתוח בפיירוול רק את מה שצריך גם ב INPUT וגם בOUTPUT גם בלינוקס ולא להסתמך על זה שאם לא התקנתי תוכנות חיצוניות אז הכל בסדר בצד של הOUTPUT .

ושוב תודה על התשובות

חסימה של output לא תעבוד אם הכותב היה חכם והשתמש בפורט כמו 80 או 443 (או שבכלל השתמש ב-http ב-tunnel).

בכל זאת, אשמח אם תביא את הקישור ל-theme שהורדת. כמו כן, אתה יכול להריץ netstat פעם בשניה, לחפש בו פורט 9888 ולשמור את התוצאה אם משהו בצורה אוטומטית.
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 07/01/2017 - 20:02
נושא ההודעה:

כמו כן, טרויאנים, חכמים ככל שיהיו הם לא קוסמים: משהו צריך להריץ אותו: או שהוא רץ ופעם בכמה זמן מנסה להתקשר או שהוא גורם לעצמו לרוץ בזמן כל שהוא (למשל בעזרת cron או user systemd).
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 07/01/2017 - 20:40
נושא ההודעה:

תבדוק עם lsof מה פותח את הפורט .
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
דורון רפאלאורח · ·
 

הודעה פורסם: 08/01/2017 - 02:00
נושא ההודעה: לדעתי אתה יכול להיות רגוע

האם נכנסת לאתרי קניות בתקופה האחרונה?
בעיקר של מוצרים סיניים?
אם כן, אז בטח קיבלת את הלינק הזה כהפנייה באחד האתרים האלה.
http://ebay.davismicro.com.cn:9888
ככל הנראה שרת שמחזיק את הקבצי מדיה של המוצרים לפחות עד כמה שראיתי או איזה api כלשהו.. אין לי כוח לחקור יותר לעומק..(:
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
הצגת הודעות מלפני:     
מעבר אל:  
כל הזמנים הם GMT + 2 שעות
תגובה לנושא
צפיה בנושא הבא Printable version התחבר כדי לבדוק הודעות פרטיות צפיה בנושא הקודם
PNphpBB2 © 2003-2004 

תוכן הדיון

  1. אורח
  2. אורח
  3. אורח
  4. אורח
  5. אורח
  6. אורח
  7. אורח
  8. אורח [דורון רפאל]