Gentoo - как поймать бандитов.

«с неё осуществляется нападие на их ЦОД». В подтверждение они продемонстрировали запросы по адресам

https://fx8.io https://www.cobaltstrike.com https://mirrors.aliyun.com

которые едут с моего компьютера в час ночи, по локальному времени.

Чего? Не понял. То есть ты осуществлял атаку тем, что заходил на какие-то сайты?

как поймать

в час ночи

выключай компьютер на ночь - береги электроэнергию

А какже торренты

Так я и не заходил никуда. Оно само заходит в час ночи туда, куда наш отдел КБ запрещает.

а зачем они? нинужно.

куда наш отдел КБ запрещает

https://mirrors.aliyun.com

так это же наши братушки

изначально какая ситуация была? что это вообще за машина?

куда наш отдел КБ запрещает

Выуди из отдела КБ список запрещенного и запили в host файле записи вида:

127.0.0.1   aliyun.com

P.S. «Нет Куско - нет Кускотопии - нет и проблем» © The Emperor’s New Groove

Это работа отдела КБ. Зачем на работе заниматься не своими делами?

Зачем на работе заниматься не своими делами?

А чтоб не пересекаться лишний раз с этими кибервахтерами.

Попробуй ещё просто по всем файлам погрепать

Заверни эти адреса на локалхост, делов то.

Просто посмотри что в конфигах крона у тебя. Может проверка обновлений какая-то. Зачем мудрить какие-то извращения с нетстатом?

Университетская машина. Она вообще должна быть в домене, и на виндоусе, но на это КБ, судя по всему, готово закрыть глаза. Лишь бы университетские сервера не шатали.

Крон чист. Машина нулевая.

Как я фф снёс - волшебные запросы прекратились. Но хотелось бы, разумеется, убедиться.

Завернуть запрещёнку в локалхост можно, но это не решит исходную проблему – тачка будет в дерьме, меня больше всего это мыкает.

Я в любом случае планирую все интернеты проксировать через впн, потому что никакого желания оставлять следы в логах кб-прокси у меня нет. Ну и вот эти приколы тоже. Но хочется всё-же избавиться малвари и понять, как её можно детектить.

Есть +- сложные варианты. Пусть трафик через локальный фаерволл и логать исходящий трафик, но тогда я только установлю факт хреновых запросов. Процесс таким образом найти не получится. А задача в этом.

Не факт, что у тебя малварь, а не штатное поведение. Если виноват файрфокс смотри исходники, которые ты компилировал

фф снёс - волшебные запросы прекратились

все это конечно очень удручает - специалисты пользующиеся подобным дерьмом нихрена не тянут на специалистов, проксировать он собрался - я бы тебя метлой отправил махать.

Стандартный совет, лежащий на поверхности – используйте auditd.

У себя не увидишь. На стороне провайдера надо смотреть.

Что у провайдера смотреть? Процессы?

Можно сделать свой наколенный DNS-форвардер, лишь бы сокеты самому создавать, и по этим сокетам затем вычислять PID, сканируя /proc/PID/fd. Сложно, но если очень хочется, то можно. Хотя, возможно на каком-нибудь питоне + dnspython это делается за вечер.

Ещё, теоретически, можно глибц-шные резолвящие функции подменить через LD_PRELOAD, однако, не все программы пользуются этими функциями, брузеры как раз просто читают resolv.conf и своими силами запрашивают DNS.

Траф

Хуяф

Хз, когда /me подломали, помогло общение с админом прова.

Да у парня строгий отдел безопасности тупит и на словах не разрешает указанные соединения в нерабочее время под угрозой отобрать комп. Комп, понятно дело, засран всякими адблоками и плагинами и постоянно, без разрешения Komatsu, сам соединяется. Но Komatsu и не против, он понимает, что это, возможно, нормальное поведение системы, а вот отдел безпеки — против. Топик Стартер интересуется, можно ли вычислить по запрашиваемым адресам локальный процесс, который их шлёт.

Это больше всего похоже на правильный подход, но к сожалению моей компетенции не хватит, чтобы скрафтить быстро. Ну, ладно. Вот прям какого-то готового решения я так и не придумал, кроме как писать весь аптайм логи, и потом грепать по необходимости.

В общем, снесу адблок, и поставлю который опенсорсный. Траф пущу через впн, под радарами этих киберполицаев.

А, понятно. Сразу не распарсил.