Ho appena notato qualcosa oggi, e ora sono curioso ... Ero sul mio server shell, mi chiedevo chi fosse, quindi ho dato il comando $ w e ho visto questo:
j0h@server:~$ w
22:06:02 up 18 days, 7:02, 3 users, load average: 0.71, 0.35, 0.17
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
j0h tty5 07Jun14 14days 0.38s 0.33s -bash
j0h pts/0 :0.0 Fri21 24:08m 0.20s 0.20s /bin/bash
j0h pts/2 182.53.252.66.kn 22:01 2.00s 0.22s 0.00s w
quindi, ho visto l'indirizzo 182.53.252.66.kn e mi chiedo, qual è l'indirizzo? Questo non è il mio solito IP. quindi, ho controllato il mio indirizzo IP e, in effetti, non corrispondono. Ho deciso di esplorare l'IP 182.53.252.66 in Firefox per le risatine e ho ottenuto una risposta da un router economico, TD854W.
quindi ho deciso di verificare contro il mio server web, qual è il mio IP, tramite i log di accesso, che ha restituito il mio normale indirizzo IP.
Successivamente, ho usato dig, nslookup e whois che mi mostra un tema ricorrente il mio traffico è diretto attraverso un totbb.net ;; SEZIONE RISPOSTA: 66.252.53.182.in-addr.arpa. 80 IN PTR node-1dtu.pool-182-53.dynamic.totbb.net.
Tutto ciò mi sembra sospetto. Come un abitante della costa orientale, avere il mio traffico attraverso Bangkok sembra strano. Il TD854W non è esattamente l'hardware della classe ISP. e sono appena del tutto delineato al momento.
Qualche parola di saggezza? Sono solo paranoico? Dovrei cercare qualcos'altro? Ho un modem ZHONE proprietario a casa, non ho idea di come determinare se è stato compromesso e non c'è un'interfaccia determinabile che possa trovare. Devo contattare il mio ISP per questo?