Come analizzare il log di netstat per le connessioni sospette?

1

Ho trovato una domanda da qui: link Ma non sono sicuro di quale sia la sua risposta. Ecco la domanda e mi chiede di scoprire tutte le voci sospette:

Proto Local Address     Foreign Address    State
 TCP  0.0.0.0:53        0.0.0.0:0          LISTENING
 TCP  0.0.0.0:135       0.0.0.0:0          LISTENING
 TCP  0.0.0.0:445       0.0.0.0:0          LISTENING
 TCP  0.0.0.0:5357      0.0.0.0:0          LISTENING
 TCP  192.168.1.4:53    91.198.117.247:443 CLOSE_WAIT
 TCP  192.168.1.4:59393 74.125.224.39:443  ESTABLISHED
 TCP  192.168.1.4:59515 208.50.77.89:80    ESTABLISHED
 TCP  192.168.1.4:59518 69.171.227.67:443  ESTABLISHED
 TCP  192.168.1.4:59522 96.16.53.227:443   ESTABLISHED
 TCP  192.168.1.4:59523 96.16.53.227:443   ESTABLISHED
 TCP  192.168.1.4:53    208.71.44.30:80    ESTABLISHED
 TCP  192.168.1.4:59538 74.125.224.98:80   ESTABLISHED
 TCP  192.168.1.4:59539 74.125.224.98:80   ESTABLISHED

Finora, ho capito che le prime 4 voci non dovrebbero essere un problema. Porta 53 (DNS), 135 (rpc), 445 (SMB), 5357 (alcuni servizi Windows) E questa voce dovrebbe essere sospetta dal momento che il servizio DNS si connette al servizio HTTP

TCP  192.168.1.4:53    208.71.44.30:80    ESTABLISHED

Qualcuno può dirmi se c'è qualche altra voce sospetta o se mi manca qualcosa di importante? In realtà, vedo che ci sono più connessioni allo stesso indirizzo IP sulla porta 80 (e 443). È normale?

Grazie.

    
posta Yang Yu 06.01.2016 - 07:28
fonte

3 risposte

3

In realtà sarei sospettoso del fatto che stia ascoltando sulla porta 53, specialmente se si tratta di una workstation: perché dovrebbe essere in esecuzione un server DNS? Può essere un'indicazione di comunicazioni dannose che tentano di travestirsi da traffico DNS / HTTP / HTTPS dato, come hai detto, le connessioni dalla porta 53 < - > 80/443.

Se si trattasse di uno scenario reale, potresti voler dare un'occhiata e vedere quale processo è in ascolto sulla porta 53 (Aggiungendo l'opzione "-o" al comando netstat)

Le connessioni allo stesso indirizzo sulle porte 80 e 443 non sono necessariamente insolite. Ad esempio, un sito web con contenuti misti potrebbe pubblicare contenuti sia su HTTP (80) sia su HTTPS (443).

    
risposta data 06.01.2016 - 07:47
fonte
1

È possibile utilizzare questo comando per elencare le porte TCP e i relativi servizi associati:

  netstat -plnt

Usa u per t per elencare le porte udp. Penso che il tuo output sia nornmal perché la porta tcp e udp 53 sui client è utilizzata da dnsmasq :

tcp        0      0 192.168.122.1:53   LISTEN      10736/dnsmasq 
udp        0      0 192.168.122.1:53               10736/dnsmasq 

$man dnsmaq 
NAME
   dnsmasq - A lightweight DHCP and caching DNS server.
   ...........................
   ...........................

Penso che sarà lo stesso nel tuo caso. È installato di default.

Per i test, puoi fermarli o eliminarli e vedere di nuovo se appare nel tuo output oppure no.

    
risposta data 06.01.2016 - 10:41
fonte
0

È piuttosto difficile dire guardando solo l'output di netstat, mostra solo lo stato corrente delle connessioni TCP e UDP.

Inoltre non sappiamo del servizio che stai ospitando consapevolmente o inconsapevolmente e se queste connessioni TCP sono semplici TCP o che è possibile una certa reversibilità e apre una shell inversa all'attaccante.

    
risposta data 22.10.2016 - 13:11
fonte

Leggi altre domande sui tag