The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Попал в ботнет?"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Обнаружение и предотвращение атак / Linux)
Изначальное сообщение [ Отслеживать ]

"Попал в ботнет?"  +/
Сообщение от Zerg (??) on 24-Июл-13, 15:39 
Какая-то странная сетевая активность на свежеустановленном Debian, который стоит на домашнем компьютере с MATE. Ставил с минимального образа и по идее вообще не запущено каких-либо программ, которые должны обращаться в Сеть.

Открыт только входящий порт 6881 для торрентов на ASUS-маршрутизаторе. Сначала думал, что это личеры за файлами лезут, когда я даже qBittorrent удалил, но нет, после перезагрузки маршуритазтора (динамический IP-адрес) всё равно эти запросы.

Через DNS-сервер могут компьютер взломать? Недавно прописал один новый везде, opennic.

Из сторонних программ скачивал только Tor Browser и проверил архив с помощью GPG, не могли ничего подменить.

Может это MATE-репозиторий взломали? Он подключён для установки графического окружения.

Вот лог, сделанный Wireshark-ом и включённой функцией при сохранении лога "Compress with gzip": http://bit.ly/15fpA6p

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Попал в ботнет?"  +/
Сообщение от Zerg (??) on 24-Июл-13, 16:30 
Сейчас тишина. До переустановки системы помнится точно такая же штука была, но я списывал это на то, что qBittorrent просто после закрытия наверное продолжал работать, хотя процесс завершался. Оказывается и при удалённом торрент-клиенте и перезагрузке системы такая же ситуация получилась (создал тему).
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Попал в ботнет?"  +1 +/
Сообщение от reader (ok) on 24-Июл-13, 17:06 
> Какая-то странная сетевая активность на свежеустановленном Debian, который стоит на домашнем
> компьютере с MATE. Ставил с минимального образа и по идее вообще
> не запущено каких-либо программ, которые должны обращаться в Сеть.
> Открыт только входящий порт 6881 для торрентов на ASUS-маршрутизаторе. Сначала думал, что
> это личеры за файлами лезут, когда я даже qBittorrent удалил, но
> нет, после перезагрузки маршуритазтора (динамический IP-адрес) всё равно эти запросы.

уверены что ip изменился при этом, и на этом ip не было тоже торрента?

> Через DNS-сервер могут компьютер взломать? Недавно прописал один новый везде, opennic.
> Из сторонних программ скачивал только Tor Browser и проверил архив с помощью
> GPG, не могли ничего подменить.
> Может это MATE-репозиторий взломали? Он подключён для установки графического окружения.
> Вот лог, сделанный Wireshark-ом и включённой функцией при сохранении лога "Compress with
> gzip": http://bit.ly/15fpA6p

это торрент клиенты, которые все еще помнят о вас, стучатся

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Попал в ботнет?"  +1 +/
Сообщение от parad (ok) on 24-Июл-13, 17:20 
чистый дамп.

примени фильтр:
!(( stp ) || ( icmp.type == 3 ) || ( tcp.port == 6881 ) || ( udp.port == 6881 ))

увидишь все что осталось.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Попал в ботнет?"  +/
Сообщение от Zerg (??) on 25-Июл-13, 02:22 
Хорошо, спасибо. Скриншот трафика, если кто с такой же проблемой столкнётся и попадёт сюда из поисковика: http://bit.ly/16avCE8
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Попал в ботнет?"  +1 +/
Сообщение от parad (ok) on 25-Июл-13, 02:36 
скриншот, ты прикалываешься чтоли? у тебя проблемы то и нет - нормальная сетевая активность.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Попал в ботнет?"  +/
Сообщение от Zerg (??) on 25-Июл-13, 06:07 
Всё равно спасибо за помощь, а то у меня уже от страха кожа начала слезать :)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Попал в ботнет?"  +/
Сообщение от михалыч (ok) on 25-Июл-13, 08:54 
> Всё равно спасибо за помощь, а то у меня уже от страха
> кожа начала слезать :)

Явные признаки когнитивного диссонанса. ))
Если за вами не следят - это не значит, что у вас нет паранойи.
Такие дела.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Попал в ботнет?"  +/
Сообщение от parad (ok) on 25-Июл-13, 15:18 
тор-браузер, минимальный линух, недетская паранойя...
он реально боится что кто-то узнает что он там вытворяет.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Попал в ботнет?"  +/
Сообщение от михалыч (ok) on 25-Июл-13, 15:35 
> тор-браузер, минимальный линух, недетская паранойя...
> он реально боится что кто-то узнает что он там вытворяет.

Да, уж.. Вы пользуетесь tor? Тогда мы идём к вам!
С 1 августа только за саму мысль скачать что-либо с торрентов будут сажать лет эдак на ..дцать.
Вот _такие_невесёлые_ дела.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Попал в ботнет?"  +/
Сообщение от parad (ok) on 25-Июл-13, 16:16 
можно будет впс за бугром купить, торрент клиент врубить и по ссшу сливать... ))
хотя еще нужно будет подумать о впне для скачивания торрент файла.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Попал в ботнет?"  +/
Сообщение от михалыч (ok) on 25-Июл-13, 16:44 
Угум'с.. Что-нибудь замутим.
Без сладкого не останемся. ))
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру