Download non spiegato

0

Stavo solo guardando mentre il monitor della mia larghezza di banda si è spiked scaricando un file. Ho controllato il mio attuale netstat e non ho riconosciuto uno degli IP, quindi ho iniziato a catturare i dati con Wireshark.

La situazione:

  • Nessuno dei miei servizi spiega la connessione
  • L'IP sospetto si presenta come Ricerca Google malevola e database malc0de
  • Non ho idea di dove siano andati a finire i dati che sono stati scaricati.
  • Wireshark lo mostra come un bronzo 0x20 e src porta 80 per destare la porta 36935

Le mie domande:

  • Dove sono finiti i dati? Stava scaricando a 2.5MBps per più di un minuto!
  • Come posso ottenere informazioni più specifiche dall'acquisizione di Wireshark?
  • Quali precauzioni dovrei prendere? Basta bloccare quell'IP? Qualunque altra cosa? Come chiamare il numero di Abuso per quell'IP dalle informazioni WhoIs?

MODIFICA ... Ulteriori informazioni: Sembra essere un server condiviso CacheFly ospitato su CacheNetworks.

    
posta TryTryAgain 22.03.2012 - 03:16
fonte

2 risposte

2

Non bloccare solo un IP - è una battaglia persa - se un IP entra a fare attività nefande che gli altri possono (o la stessa persona che usa altri IP).
Inoltre, tu dici che si sono connessi da src 1.1.1.1:80 (fingendo che il tuo IP sia 1.1.1.1) per dest 205.234.175.175:36935 (porta 36935 sul loro IP) - questo sembra normale per una normale connessione al tuo webserver su porta 80 (prova questo per te). Fondamentalmente, quando un client stabilisce una connessione TCP a un server web sulla porta 80, il client sceglie una porta inutilizzata arbitraria (1024-65535) in questo caso 36935 per il traffico da inviare / ricevere alla fine.

  • Chiudi porte / servizi che non stai utilizzando. Hai bisogno di testare cose sul web? Fine, aprire la porta 80 per gli indirizzi IP locali (ad esempio 192.168.0.0/16 ). In ubuntu con say ufw (firewall non complicato - un involucro sottile per le regole di iptables) questo può essere fatto con regole come sudo ufw allow to tcp port 80 from 192.168.0.0/16 .

  • Controlla i registri. I log del tuo server web, i log del firewall, auth.log , ecc.

  • Imposta fail2ban o honeypot per rallentare gli attaccanti.

  • Assicurati di non avere password predefinite o facili da indovinare / brute force impostate per qualsiasi account.

risposta data 22.03.2012 - 16:32
fonte
2

Dalla prospettiva wireshark, un approccio potrebbe essere quello di guardare attraverso l'acquisizione per le stringhe ascii (usando Segui flusso TCP) e quindi cercare il tuo disco rigido per la stessa stringa. Se riesci a trovare qualcosa di appropriato, questo potrebbe portarti ai dati scaricati.

La coppia di porte che descrivi sembra un download standard di un sito Web (la porta alta viene assegnata in modo casuale per ricevere i dati)

Sono attivate le funzioni di aggiornamento automatico (sistema operativo / browser, ecc.)? Una potenziale fonte di un download sconosciuto di dimensioni maggiori sarebbe il software che si aggiorna da solo.

Dato che stai eseguendo servizi esternamente dalla scatola, c'è la possibilità che tu sia stato compromesso e che il download sia stato qualcuno che ha messo degli strumenti nel tuo sistema. Se questo è il caso, dovresti fare una ricerca approfondita del server (alcune buone informazioni qui )

    
risposta data 22.03.2012 - 15:50
fonte

Leggi altre domande sui tag