Меня взломали. Что делать...

1

0

Ситуация следующая:
Получаю интернет по VPN от билайна. Соответственно есть еще и городская сетка. Вчера обнаружил, что с меня идет трафик во внутрегородскую сеть, причем довольно быстро. При этом ни Samba, ни DC++ илил что-то похожее не запущено.
Вопрос:
Каким образом можно посмотреть, какая программа и через какой порт качает инфу.
(Желательно, чтоб была таблица вида:
мой порт | адрес:порт назначения | объем трафика
).

Пробовал посмотреть это все с помощью netstat, но пока что до конца не разобрался.
Всем, кто откликнется, заранее огромное спасибо. Ну а сам пойду пока что маны полистаю, может и сам ответ отыщу.

Ссылка

←	Nagios: SMS-уведомления.

selinux мешает загрузке после изменений

→

netstat -pantu

tcpdump

wireshark

и т.д.

dimon555 ★★★★★
(22.07.09 14:53:54 MSD)

Ссылка

iptraf :)

а вообще-то достаточно pstree -AaclpuU | less и пробежать глазами на предмет левых процессов.
ну и who, last тоже.

Komintern ★★★★★
(22.07.09 15:06:10 MSD)

Ссылка

trafshow-linux

sin_a ★★★★★
(22.07.09 15:09:55 MSD)

Ссылка

iftop

xio ★
(22.07.09 17:43:07 MSD)

Ссылка

netstat -atp; netstat -aup из-под рута (чтобы видеть процессы)

isden ★★★★★
(22.07.09 18:18:25 MSD)

Ответ на: комментарий от isden 22.07.09 18:18:25 MSD

> netstat -atp; netstat -aup из-под рута (чтобы видеть процессы)

Фи ;) netstat -anp64 лучше :)

zenith ★★★
(22.07.09 19:16:24 MSD)

Ответ на: комментарий от zenith 22.07.09 19:16:24 MSD

там выше вообще советовали волшебно-звучащие ключики "-pantu" ^___^

isden ★★★★★
(22.07.09 19:23:10 MSD)

Ссылка

Вот два видео урока показывающие как работать с анализаторами трафика.

http://ss.lg.ua/node/291 http://ss.lg.ua/node/264

hub
(23.07.09 19:26:22 MSD)

Ссылка

мне нравится lsof -i

например:
lsof -i | grep ESTABLISHED
или
lsof -i | grep IPv4

обычно первой команды (+ плазмоид сетевой монитор на панели) достаточно, чтобы понять кто ест траффик - если прибить все процессы, которые она выдает, плазмоид начинает показывать нулевую активность.

правда было несколько раз так, что lsof выдает нулевой список процессов, а траффик все равно идет - вот это сильно напрягало - думал или список процессов реально не полный, или правда кто залез (все-таки надеюсь, что маловероятно).

bender ★★★★★
(28.07.09 23:47:34 MSD)

Ссылка

это ж что у вас за сетка такая, что линуховые машины ломают? я вот сижу в местной на лине и о безопастности не парюсь вообще, ибо на 110% уверен что меня не хакнут.

VladimirMalyk ★★★★★
(28.07.09 23:53:43 MSD)

Ответ на: комментарий от VladimirMalyk 28.07.09 23:53:43 MSD

Вобщем я запарил сильно.
Оказалось, что трафик идет только в мою сторону.
Во всяком случае так говорит ifconfig.

Если в интерактивной загрузке отказатся от запуска VirtualBox, WMvare, firstboot и ConsoleKit - тогда подобной активности не наблюдается.

Подозрение вызывают 2 последни фичи. Сейчас вот пытаюсь выяснить, что это и откуда взялось.

А насчет безопасности в сетке и линуха... Я вот тоже так думал, но "на линукс надейся, но и сам не плошай". Вот и обнаружилось.

А вообще интересует вопрос: трафик считается для пакетов, которые кто-то принял или если они пришли - сразу же считаются? Может быть это просто мусор какой-то мне на сетевую приходит? Т.к. процессов, слушающих и получающих что-либо ни одним из способов обнаружить не удалось.

P.S. Если кто-нибудь подскажет, где можно почитать про правильную настройку iptables при использовании pptp соединения с провайдером - буду очень благодарен.

trex6 ★★★★★
(29.07.09 13:38:59 MSD) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Nagios: SMS-уведомления.

Admin

selinux мешает загрузке после изменений

→

Похожие темы