Що це таке

[idontremember]

Я колись скачував щось і та программа сховалася і системний трей. Дивлюсь я на "ґремлінські монітори" та й офігеваю. Відразу паніка жах. Хтось поламав! Чому такимй трафік - я ж нічого не качаю? Потім дійшло.
А ще було таке: Завантажував я колись Фоксом якісь дані. Завантаження е закінчилось, але я його закрив, ну а він все рівно продовжував завантажвати дані, бо віконце завантаження було на іншому робочому столі і я його не  помітив - знову я злякався   хто чому і як без мого дозволу, на моєму компі, яким користуюся тільки я, щось скачує? Потім глянув ps ax -f - і заспокоївся.
---
А що зараз - зараз чомусь вихідний траф. І до чого тут 445 порт?

Код: [Вибрати]

root@myhost:/home/rdr/downloads/FF# cat ~/bin/ns.sh
#!/bin/bash
netstat -alp$1|grep -B10000 UNIX


Код: [Вибрати]

root@myhost:/home/rdr/downloads/FF# ~/bin/ns.sh a
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
udp        0      0 254-51-178-94.pool.:ntp *:*                                1549/ntpd
udp        0      0 192.168.0.1:ntp         *:*                                1549/ntpd
udp        0      0 myhost.my.net:ntp       *:*                                1549/ntpd
udp        0      0 *:ntp                   *:*                                1549/ntpd
udp6       0      0 fe80::202:44ff:fe3a:ntp *:*                                1549/ntpd
udp6       0      0 localhost:ntp           *:*                                1549/ntpd
udp6       0      0 *:ntp                   *:*                                1549/ntpd
Active UNIX domain sockets (servers and established)

 Налаштування iptables у мене давно-давно такі як нижче.

Код: [Вибрати]

root@myhost:/home/rdr/downloads/FF# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  myhost.my.net        myhost.my.net
DROP       tcp  --  anywhere             anywhere            tcp dpts:0:1023
DROP       udp  --  anywhere             anywhere            udp dpts:0:1023
DROP       icmp --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination


Код: [Вибрати]

root@myhost:/home/rdr/downloads/FF# ifconfig -a
eth0      Link encap:Ethernet  HWaddr 00:02:44:3A:D8:90
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::202:44ff:fe3a:d890/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:21094 errors:0 dropped:0 overruns:0 frame:0
          TX packets:21129 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2002577 (1.9 MiB)  TX bytes:1925058 (1.8 MiB)
          Interrupt:11 Base address:0x4000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:2 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:100 (100.0 b)  TX bytes:100 (100.0 b)

ppp0      Link encap:Point-to-Point Protocol
          inet addr:94.178.51.254  P-t-P:195.5.5.202  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:21019 errors:0 dropped:0 overruns:0 frame:0
          TX packets:21047 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:1535595 (1.4 MiB)  TX bytes:1456905 (1.3 MiB)

Іще одне

Код: [Вибрати]

root@myhost:/home/rdr/downloads/FF# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  myhost.my.net        myhost.my.net
DROP       tcp  --  anywhere             anywhere            tcp dpts:0:1023
DROP       udp  --  anywhere             anywhere            udp dpts:0:1023
DROP       icmp --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
root@myhost:/home/rdr/downloads/FF# ~/bin/ns.sh a
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 254-51-178-94.poo:40132 89.149.175.18:http      ESTABLISHED2130/KWeatherServic
udp        0      0 254-51-178-94.pool.:ntp *:*                                1549/ntpd
udp        0      0 192.168.0.1:ntp         *:*                                1549/ntpd
udp        0      0 myhost.my.net:ntp       *:*                                1549/ntpd
udp        0      0 *:ntp                   *:*                                1549/ntpd
udp6       0      0 fe80::202:44ff:fe3a:ntp *:*                                1549/ntpd
udp6       0      0 localhost:ntp           *:*                                1549/ntpd
udp6       0      0 *:ntp                   *:*                                1549/ntpd
Active UNIX domain sockets (servers and established)
root@myhost:/home/rdr/downloads/FF#---
Питання що із системою може бути не так? Хоча б якісь здогалк є???

[idontremember]

Ранше такого ніколи не було.  
---
Дописую: Змінив адресу

Код: [Вибрати]

root@myhost:/home/rdr# iptraf
root@myhost:/home/rdr# pppoe-stop
Killing pppd (1446)
Killing pppoe-connect (1422)
root@myhost:/home/rdr# pppoe-start
... Connected!
root@myhost:/home/rdr# ifconfig -a
eth0      Link encap:Ethernet  HWaddr 00:02:44:3A:D8:90
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::202:44ff:fe3a:d890/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:41360 errors:0 dropped:0 overruns:0 frame:0
          TX packets:41417 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:3879336 (3.6 MiB)  TX bytes:3877638 (3.6 MiB)
          Interrupt:11 Base address:0x4000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:4 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:200 (200.0 b)  TX bytes:200 (200.0 b)

ppp0      Link encap:Point-to-Point Protocol
          inet addr:94.178.177.175  P-t-P:195.5.5.202  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:11 errors:0 dropped:0 overruns:0 frame:0
          TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:1306 (1.2 KiB)  TX bytes:1070 (1.0 KiB)

root@myhost:/home/rdrі все стало нормально. Так то мабуть через 94.178.51.254 у попередньому сеансі

Код: [Вибрати]

ppp0      Link encap:Point-to-Point Protocol
          inet addr:94.178.51.254  P-t-P:195.5.5.202  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:21019 errors:0 dropped:0 overruns:0 frame:0
          TX packets:21047 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:1535595 (1.4 MiB)  TX bytes:1456905 (1.3 MiB)
АЛЕ ЩО ТО БУЛО?

[Yury_Bulka]

До мене колись, бувало, на домашній комп’ютер якась зараза лізла й пробувала вгадати ім’я й пароль ssh. Таке я помічав кілька разів, після чого налаштував автентифікацію через ключі. Хоча у Вас, мабуть, щось инше...

Взагалі, цікава тема...

[piktor]

445-й порт — то віндові сервіси — smb, по моєму.
А щодо ssh — я поміняв стандартний порт на якийсь чотиризначний, тепер нехай вгадують.

[idontremember]

Логи у мене на 2 робочому столі ПОСТІЙНО! Нічого підозрілого нема! Я ото колись переглянув відео із osdn-конференції і там (на відео) помітив повідомлення усистЛогах що свідчать про підбір паролів, чи ще якісь несанкціоновані спроби  конекту. А також у книжкках бачив підозрілі записи, АЛЕ у мене таких нема (і не було) - бо жодного серверу я не крутю. Ото тільки httpd запускаю, бо шпрехаю (пишу тільки для себе) на php..
---
Раніше також відслідковував maillog. Коли грався  пошеовиком.
Крім цього системаперіодично перевіряється скриптами та тріваром.
--
Так що то таке було і чи буде ще колись???
---
Взагалі то можливо це пов'язано з модемом? Але до чого тут модем. Конекти йшли ВІД мене і ДО мене. Я сам цілком не зрозумів, що то було (ну тоиу і запитую   ).
-
Я Здається повторююсь : відразу після старту конекту у мене стартує iptables, потім ntpd - синхроніз часу. Більще нічого нема. А-а-а-а, ну іще Х-сервер працює.
---
Я не знаю що навіть і подумати...

[idontremember]

ось вихваляюсь своїм 2 робочим столиком.  Якщо-що то можете видалити саме цей малюнок (якщо він не по темі).

[r00t x]

Ніхто більш нічого не напише?
---
[size=9]Навіщо було перейменовувати тему? [/size]

[Volodymyrko]

так  а samba у вас запущена ?

[anatolijd]

http://www.linuxquestions.org/questions/linux-security-4/port-445-a-246127/

там все написано.

[idontremember]

так  а samba у вас запущена ?

Не запущено жодного серверного демону. І зверніть увагу на мої налаштування iptables!!!
---

http://www.linuxquestions.org/questions/linux-security-4/port-445-a-246127/
там все написано.

Вибачте , але там нічого не написано, абро я щосб не зрозумів.
---
У мене ситема закрита, я намагаюсь відслідковувати "все і всіх". і ото що вказано на iptraf - там якісь icmp-, та udp-пакети йдуть хтозна звідки і хтозна кому. АЛЕ так як система закрита то там (на малюнку) видно що - unrch port.

[idontremember]

ДАНЕ ПОВІДОМЛЕННЯ НІЯКОГО ВІДНОШЕННЯ ДО ВИЩЕ ОПИСАНИХ "ЧУДЕС" НЕ МАЄ. Я написав сме тут, тому що це для мене дивно, але якщо вникнути в суть справи, то xine мабуть при старті звертається до /usr/lib/samba/lowcase.dat . От тому і помилка така у нього: а що і дочого то вже детективна справа  8-).

Код: [Вибрати]

rdr@myhost:~$ /usr/bin/xine
Это xine (графическая оболочка для X11) - свободный видеопроигрыватель v0.99.5.
(c) 2000-2007 The xine Team.
Ошибка сегментирования
rdr@myhost:~$
---
Дивина !!! Хто б міг подумати, що через /usr/lib/samba/lowcase.dat не буде працювати xine

Код: [Вибрати]

Jul  2 16:03:54 myhost kernel: xine[6505]: segfault at 2e02c0a2 ip 2e02c0a2 sp bfbc6e68 error 4 in lowcase.dat[ae335000+20000]
Jul  2 16:04:01 myhost kernel: xine[6521]: segfault at 402c0a3 ip 0402c0a3 sp bfc6a468 error 4 in xine[8048000+d3000]
Jul  2 16:16:01 myhost kernel: xine[6905]: segfault at e702c095 ip e702c095 sp bf9a4bb8 error 5
Jul  2 16:16:07 myhost kernel: xine[6921]: segfault at 3162c0a3 ip 3162c0a3 sp bfa676a8 error 4 in lowcase.dat[aebe0000+20000]
Jul  2 16:41:26 myhost -- MARK --
Не знаю я чому так сталось (АЛЕ ж дуже-дуже цікаво - ЧОМУ??) Ну я тріхо мучив систему ото трішки і "заглючив" найулюбленіший мій плеєр.
Вихід який? Та дуже простий.

Код: [Вибрати]

Шукаємо lowcase.dat
-
root@myhost:/home/rdr/downloads# find / -xdev -name lowcase.dat
/usr/lib/samba/lowcase.dat
-
Потім зясовуємо, що цей файл належить до samba і думаємо що робити ???
(або реінсталити самбу або видалити її, якщо не потрібна)
От в пинципі і все. Основне, що я хотів донести до вас - Звикайте до наукових методів адміністрування! Мене спеціально ніхто не привчав - я якось сам.  8-). А то пишуть всяке та всякі  (убунтологи )
---
[size=9]І навіщо мені потсійно моніторити логи %)[/size] Задовбався редагувати   повідомлення.

[interruptor]

445-й порт — то віндові сервіси — smb, по моєму.
А щодо ssh — я поміняв стандартний порт на якийсь чотиризначний, тепер нехай вгадують.

дик а

Код: [Вибрати]

nmap piktor -p1-65535?  

[piktor]

дик а

Код: [Вибрати]

nmap piktor -p1-65535?  

Якщо ви так розізлилися конкретно на мене і хочете поломати, то, звісно, будете перебирати повний діапазон. А якщо вам треба перерити гори серверів в інтернетах щоб знайти погано захищений для організації розсилання спаму, то муситимете обмежитися стандартними портами, інакше сильно довго буде.
Edit:

Врешті, перебір портів один за одним легко помітить відповідний софт.

[idontremember]

дик а

Код: [Вибрати]

nmap piktor -p1-65535

І шо??? А якщо у нього отак

Код: [Вибрати]

root@pipiktorhost:/home/pipiktor/bin# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
DROP       tcp  --  anywhere             anywhere            tcp dpts:0:1023
DROP       udp  --  anywhere             anywhere            udp dpts:0:1023
DROP       icmp --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
root@pipiktorhost:/home/pipiktor/bin#Всі оті книжки про pf та iptables пропонують одне рішення: ЗАБОРОНИТИ ВСЕ, КРІМ ДОЗВОЛЕНОГО. Та і все. Ну з книг можна почерпнути цікаві схеми побудови вогнестін та всього іншого.
---
А по піднятих мною питаннях ніхто-нічого??? Мене ж цікавістть розриваає!!!!

[piktor]

Off-topic:

Код: [Вибрати]

root@[glow]pipiktor[/glow]host:/home/[glow]pipiktor[/glow]/bin# iptables -L
...


Мене ще ніхто піпіктором не обзивав.