Вопрос Я часть ботнета?


У меня Ubuntu 14.10. Как проверить, является ли мой Ubuntu частью ботнета? Это адреса, которые я нашел в netstat:

tcp   ESTAB      0      0           192.168.5.122:33195     213.199.179.157:40016  
tcp   ESTAB      0      0           192.168.5.122:52340     64.4.47.18:https   
tcp   ESTAB      0      0           192.168.5.122:51396     157.56.53.41:12350   
tcp   ESTAB      0      0           192.168.5.122:38527     157.56.194.8:https   
tcp   ESTAB      0      0    ::ffff:192.168.5.122:54152     ::ffff:74.125.71.125:xmpp-client 
tcp   ESTAB      0      0    ::ffff:192.168.5.122:33257     ::ffff:173.252.106.17:xmpp-client 
tcp   ESTAB      0      0    ::ffff:192.168.5.122:36003     ::ffff:64.233.167.125:xmpp-client

Это то, что netstat -tlnp показал:

(Not all processes could be identified, non-owned process info
 will not be shown, you would have to be root to see it all.)
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address    Foreign Address   State       PID/Program name
tcp        0      0 0.0.0.0:15668    0.0.0.0:*         LISTEN      11551/skype     
tcp        0      0 127.0.1.1:53     0.0.0.0:*         LISTEN      -               
tcp        0      0 0.0.0.0:25       0.0.0.0:*         LISTEN      -               
tcp        0      0 127.0.0.1:2628   0.0.0.0:*         LISTEN      -               
tcp6       0      0 ::1:13113        :::*              LISTEN      11552/java      
tcp6       0      0 :::25            :::*              LISTEN      -  

1
2018-03-24 11:05


происхождения


Чисто основанный на нескольких TCP-соединениях, трудно сказать, что вы инфицированы вредоносными программами. Нам понадобится гораздо больше деталей, чтобы быть в этом убедительными. Я не думаю, что этот сайт является хорошим местом для проверки вашей системы. Если вы действительно хотите, пожалуйста, предоставьте всю информацию в своем вопросе, например, какие процессы (+ двоичные файлы) выполняют эти подключения, создают PCAP и предоставляют их для анализа и т. Д. Помните, что мы не можем получить доступ к вашей машине и не можем см. экран. Мы полностью полагаемся на информацию в вашем вопросе. - gertvdijk
использование netstat -tnlp, проверьте PID и программы, которые находятся за этими процессами. - muru
Я отредактировал его ... но пока все кажется законным, поэтому я в порядке. - Mario Kamenjak


ответы:


Вам нужно отследить каждую программу, запущенную на этих портах. Вы сами запускаете xmpp? Вы используете веб-браузер? В частности, что подключается к портам 40016 и 12350?

lsof -i TCP:40016
lsof -i TCP:12350
lsof -i TCP:xmpp-client

вам может потребоваться это.


2
2018-03-24 11:30



Эти порты были скайпом и чат-клиентом. Все в порядке, все кажется законным до сих пор. - Mario Kamenjak