Forum Debian Users Gang

terefere · 2008-01-11 21:10:27

Nie wiem od czego zacząć więc może zacznę od tego co wiem. mianowicie mój conky od jakiegoś czasu zaczął pokazywać mi dziwne grabki podczas braku mojej aktywności w sieci
http://img90.imageshack.us/img90/512/netif7.jpg
iptraf zaś odnotowuje takie akcję;
http://uploader.pl/?d=AEC73CD81

a to log z paru godzin wcześniej gdzie przez godzinę logowałem co się dzieje:
http://uploader.pl/?d=3A8675631 Dla zainteresowanych ten wstawiłem ponowne gdyż poprzednio się rypłem
żeby było ciekawiej podaje wynik pracy chkrootkit:
http://uploader.pl/?d=234A89001

I moje pytanie jak mam to wszystko interpretować, porty 6667 31337 1542 pokazywane przez chkrootkit no i te logi od których już głupieje.

Ostatnio edytowany przez terefere (2008-01-12 14:26:22)

terefere · 2008-01-12 15:19:59

Może ktoś zlitować się i spojrzeć na tel ogi szczególnie na ten co wstawiłem i pomóc mi w moim raczkowaniu jeśli chodzi o sieci czemu mój provider (62.21.80.1)dobija się do mnie ciągle (na maskę sieci?).

Kod:

Fri Jan 11 17:46:56 2008; UDP; eth1; 329 bytes; from 62.21.80.1:67 to 255.255.255.255:68
Fri Jan 11 17:46:58 2008; UDP; eth1; 329 bytes; from 62.21.80.1:67 to 255.255.255.255:68
Fri Jan 11 17:47:01 2008; UDP; eth1; 328 bytes; from 62.21.80.1:67 to 255.255.255.255:68

i dlaczego ja mu wysyłam niemal że ciągle pingi

Kod:

Fri Jan 11 17:46:02 2008; ICMP; eth1; 84 bytes; from 62.21.85.23 to 62.21.80.1; echo req
Fri Jan 11 17:46:02 2008; ICMP; eth1; 84 bytes; from 62.21.80.1 to 62.21.85.23; echo rply
Fri Jan 11 17:46:03 2008; ICMP; eth1; 84 bytes; from 62.21.85.23 to 62.21.80.1; echo req
Fri Jan 11 17:46:03 2008; ICMP; eth1; 84 bytes; from 62.21.80.1 to 62.21.85.23; echo rply

Dałbym sobie głowę uciąć że jakiś czas temu tak nie było.

No i co z tym chkrootkit.
Przeskanowałem dyski za pomocą clamav i nie znalazłem nic oprócz Oversized.zip i paru trojanów/cukierków dla wine. Czy mmo to powinienem się tym przejmować?

Jak sprawdzić bezpieczeństwo swojego pc oprócz stron online sprawdzających porty?

Ostatnio edytowany przez terefere (2008-01-12 15:20:51)

bercik · 2008-01-12 17:36:05

terefere napisał(-a):
Może ktoś zlitować się i spojrzeć na tel ogi szczególnie na ten co wstawiłem i pomóc mi w moim raczkowaniu jeśli chodzi o sieci czemu mój provider (62.21.80.1)dobija się do mnie ciągle (na maskę sieci?).
Kod:
Fri Jan 11 17:46:56 2008; UDP; eth1; 329 bytes; from 62.21.80.1:67 to 255.255.255.255:68
Fri Jan 11 17:46:58 2008; UDP; eth1; 329 bytes; from 62.21.80.1:67 to 255.255.255.255:68
Fri Jan 11 17:47:01 2008; UDP; eth1; 328 bytes; from 62.21.80.1:67 to 255.255.255.255:68

/etc/services mowi ze to porty wykozystywane przez protokol BOOTP ... z opisu protokolu (patrz chociazby wikipedia ... jak nie masz ochoty na RFC) wynika ze sa to wysylane na adres rozgloszeniowy (do calej podsieci ograniczonej routerami, ktore nie powinny tego przepuszczac dalej) zadania uzyskania danych konfiguracyjnych (wysyla je 62.21.80.1 i raczej ma problemy z dostaniem odpowiedzi)

terefere napisał(-a):
i dlaczego ja mu wysyłam niemal że ciągle pingi

nie tylko jemu wysylasz tez ping rozgloszeniowy:

Kod:

Fri Jan 11 17:59:03 2008; ICMP; eth1; 84 bytes; from 62.21.85.23 to 255.255.255.255; echo req

wyglada na prace jakiegos monitora sieci (dostepnosci hostow) czy cos takiego (bo rozumiem ze Ty w trakcie testu nie uzywales zadnych narzedzi do analizy sieci typu ping) - zobacz / pokaz ps -Al z okresu w okolicy przesylania pingow

Forum Debian Users Gang

Ogłoszenie

#1 2008-01-11 21:10:27

terefere - Członek DUG

logi - nie bić... wytłumaczyć.. proszę

#2 2008-01-12 15:19:59

terefere - Członek DUG

Re: logi - nie bić... wytłumaczyć.. proszę

Kod:

Kod:

#3 2008-01-12 17:36:05

bercik - Moderator Mamut

Re: logi - nie bić... wytłumaczyć.. proszę

terefere napisał(-a):

Kod:

terefere napisał(-a):

Kod:

Stopka forum