Collegamenti DNS inspiegabili all'avvio

Question

Collegamenti DNS inspiegabili all'avvio

#1 da (3 voti)

0

Oggi ero su un VPS Ubuntu, con un server DNS bind9 (senza DNSSEC configurato) installato e funzionante.

Immediatamente dopo l'avvio della macchina ho eseguito:

netstat -tanp

E ha ricevuto questo risultato:

Proto Recv-Q Send-Q Local Address                   Foreign Address         State       PID/Program name    
tcp        0      0 127.0.0.1:3306                  0.0.0.0:*               LISTEN      -                   
tcp        0      0 0.0.0.0:80                      0.0.0.0:*               LISTEN      -                   
tcp        0      0 <redacted>:53               0.0.0.0:*               LISTEN      -                   
tcp        0      0 <redacted>:53               0.0.0.0:*               LISTEN      -                   
tcp        0      0 127.0.0.1:53                    0.0.0.0:*               LISTEN      -                   
tcp        0      0 127.0.0.53:53                   0.0.0.0:*               LISTEN      -                   
tcp        0      0 0.0.0.0:22                      0.0.0.0:*               LISTEN      -                   
tcp        0      0 0.0.0.0:25                      0.0.0.0:*               LISTEN      -                   
tcp        0      0 127.0.0.1:953                   0.0.0.0:*               LISTEN      -                   
tcp        0      0 0.0.0.0:443                     0.0.0.0:*               LISTEN      -                   
tcp        0      0 <redacted>:41430            91.189.91.26:80         TIME_WAIT   -                   
tcp        0      0 <redacted>:42885            192.112.36.4:53         TIME_WAIT   -                   
tcp        0     36 <redacted>:22               <redacted>:50294        ESTABLISHED -                   
tcp        0      0 <redacted>:45229            192.112.36.4:53         TIME_WAIT   -                   
tcp        0      0 <redacted>:35011            192.112.36.4:53         TIME_WAIT   -                   
tcp        0      0 <redacted>:56401            192.112.36.4:53         TIME_WAIT   -                   
tcp        0      0 <redacted>:41434            91.189.91.26:80         TIME_WAIT   -                   
tcp6       0      0 :::53                           :::*                    LISTEN      -                   
tcp6       0      0 :::22                           :::*                    LISTEN      -                   
tcp6       0      0 :::25                           :::*                    LISTEN      -                   
tcp6       0      0 ::1:953                         :::*                    LISTEN      -

Che indicava che il server era connesso a due indirizzi IP diversi dal mio:

91.189.91.26:80

Che sembra essere di proprietà di "Canonical Group" che secondo la mia ricerca produce Ubuntu, e potrebbe avere senso considerando che si tratta di una macchina Ubuntu ... (qualsiasi chiarimento sarebbe apprezzato rispetto alla legittimità di tale richiesta ).

ma leggermente più riguardo a:

192.112.36.4:53 (Department of Defense Network Information Center?)

Entrambe le connessioni di cui sopra sono scomparse entro pochi secondi dall'avvio della macchina.

Il secondo tempo in cui ho avviato questa macchina e ho eseguito lo stesso processo in cui ho ottenuto questo risultato:

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 <redacted>:53           0.0.0.0:*               LISTEN      -                   
tcp        0      0 <redacted>:53           0.0.0.0:*               LISTEN      -                   
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      -                   
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      -                   
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      -                   
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      -                   
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      -                   
tcp        0      0 <redacted>:42763    192.203.230.10:53           TIME_WAIT   -                   
tcp        0      0 <redacted>:43359    192.203.230.10:53           TIME_WAIT   -                   
tcp        0      0 <redacted>:34985    192.203.230.10:53           TIME_WAIT   -                   
tcp        0     36 <redacted>:22       <redacted>:50504            ESTABLISHED -                   
tcp        0      0 <redacted>:52257    192.203.230.10:53           TIME_WAIT   -                                      
tcp6       0      0 :::53                   :::*                    LISTEN      -                   
tcp6       0      0 :::22                   :::*                    LISTEN      -                   
tcp6       0      0 :::25                   :::*                    LISTEN      -                   
tcp6       0      0 ::1:953                 :::*                    LISTEN      -

192.203.230.10:53 (NASA?)

Di nuovo le connessioni sono scomparse alcuni secondi dopo l'avvio.

Ciò che è ancora più strano è che entrambi questi IP mostrano qui come diagnosi di connessioni IP correlate al malware che vanno sotto il nome di Troj / Sinowal-BI .

Qual è la probabilità che ci siano richieste DNS legittime a queste reti relativamente serie immediatamente dopo l'avvio di una macchina che non ha ufficialmente nulla a che fare con esse e nessuna configurazione intenzionale per farlo?

Se sulla scatola era presente un rootkit, l'output di netstat non dovrebbe essere considerato attendibile, ma perché un rootkit non nasconderebbe semplicemente quelle connessioni invece di spoofarle, magari per apparire come DoD e NASA?

Questa macchina dovrebbe essere considerata compromessa sulla base di queste informazioni?

Qualcuno potrebbe fornire una panoramica di questo o qualcuno ha mai sperimentato questo o qualcosa di simile ad esso?

ubuntu dns malware rootkits dnssec

posta uofc 07.09.2018 - 10:04

fonte

1 risposta

Leggi altre domande sui tag ubuntu dns malware rootkits dnssec

È più sicuro utilizzare i firewall di due diversi fornitori? Riutilizzare un indirizzo email con una password persa

score 3 · Accepted Answer

In breve: non c'è bisogno di preoccuparsi.

Per quanto riguarda 91.189.91.26:80:

Questa è una richiesta a un server Web sulla porta HTTP standard. La maggior parte delle macchine Ubuntu sono installate in un modo che, dopo l'avvio, vorranno controllare gli aggiornamenti scaricando alcuni elenchi di pacchetti dai server Canonical o dai relativi mirror. E di solito lo ripetono una volta ogni tanto.

Prova ad annusare il traffico di rete e io sono sicuro al 99,9% che sarà proprio questo.

Se non vuoi che ciò accada, cerca nel funzionamento interno di Ubuntu per identificare lo script che lo fa e disabilitarlo; anche se questa sarebbe una domanda per Ubuntu StackExchange.

Per quanto riguarda:

192.112.36.4:53 e 192.203.230.10:53

Queste sono query DNS per i server DNS di root. È perfettamente normale che siano gestiti da NASA e DARPA, tra gli altri. Controlla l'articolo di Wikipedia sui server DNS di root sul link . Lo spiega abbastanza bene.

Il trojan a cui ti riferisci (dal modo in cui un eseguibile di Windows, che è molto improbabile che possa infettare un VPS di Ubuntu) sembra ovviamente utilizzare le query DNS. Il trojan può essere programmato in modo da eseguire sempre query DNS autorevoli ricorsive complete invece di fare affidamento sulla risoluzione DNS del sistema operativo sottostante, in modo che non venga bloccato da qualche software anti-threat basato su DNS. Ma trarre la conclusione dall'altra parte (cioè se un trojan chiama quell'indirizzo deve essere malvagio) è semplicemente sbagliato.