Onko koneeni mato hyökkäyksen kohteena ??

[HannuTapio]

Moi!

Tuli vähän iso kuvakaappaus.
mistä johtuu tuo portin 8500 aktiivisuus, huomasin sen eilen, onko tämä port mato hyökkäyksen kohteena useasta lähteestä ??

liikenne näyttää 60 - 200 tavua sec receive. send paketit on siis vielä nollissa kokoajan.

------------------



//----

kiitos,,

[gdm]

Kysymykseen:
Eikös apassi pyöri portissa 8500 ellei toisin konfittu?

Offtopic:
Voitko katsoa yksityisviestisi?

[vellu@vmach]

Katso nmapilla mikä sitä porttia käyttää

Koodia: [Valitse]

sudo apt-get install nmap
nmap localhostLisäoptioilla pääset nuuskimaan omaa - ja kaverin - koneen tietoja tarkemminkin.
Voit estää tuon portin 8500 liikenteen esim. ufw:llä

Koodia: [Valitse]

sudo ufw deny 8500Asentamalla paketin gufw, voit tehdä saman graafisesti.

[HannuTapio]

Jeh!

Alla olevan mukaan ei koneeni itse käytä millään ohjelmalla porttia 8500.
Useasta eri lähteestä saapuu yhä pakettia kyseiseen porttiin.

Koodia: [Valitse]

jtapio@Tietokone:~$ nmap localhost

Starting Nmap 4.53 ( http://insecure.org ) at 2008-09-25 16:33 EEST
Interesting ports on localhost (127.0.0.1):
Not shown: 1710 closed ports
PORT     STATE SERVICE
25/tcp   open  smtp
80/tcp   open  http
631/tcp  open  ipp
3306/tcp open  mysql

Nmap done: 1 IP address (1 host up) scanned in 0.198 seconds
jtapio@Tietokone:~$

Lisäksi Apacheni näyttää seuraavaa tekstiä, josta päättelen että Apache käyttäisi portti 80.

Koodia: [Valitse]

Apache/2.2.8 (Ubuntu) PHP/5.2.4-2ubuntu5.3 with Suhosin-Patch Server at 84.249.5.241 Port 80

//----

kiitos,,

[Ville Pöntinen]

Joo kyllä apachen oletusportti on 80.

[jussike]

Oletko NATin takana?

[HannuTapio]

Oletko NATin takana?

Heh!

En täysin tiedä mikä NAT on, minun modeemistani sellainen löytyy, mutta olen kylläkin asettanut modeemini BRIDGED tilaan,
jotenka NAT pitäisi olla poissa käytöstä Modeemin puolesta.

minulla on Firestarter firewall, en tiedä sisältääkö se ohjelmallista NATtia ??

kiusallista, keskimäärin 20 UDP / TCP pakettia tulee minuutissa, eri iipeistä kotikoneeni porttiin 8500 :/

//----

kiitos,,

[jussike]

Oletko NATin takana?

Heh!

En täysin tiedä mikä NAT on, minun modeemistani sellainen löytyy, mutta olen kylläkin asettanut modeemini BRIDGED tilaan,
jotenka NAT pitäisi olla poissa käytöstä Modeemin puolesta.

minulla on Firestarter firewall, en tiedä sisältääkö se ohjelmallista NATtia ??

kiusallista, keskimäärin 20 UDP / TCP pakettia tulee minuutissa, eri iipeistä kotikoneeni porttiin 8500 :/

//----

kiitos,,

Nakkaa NAT päälle niin pysähtynevät modeemiin. Silloin sinulla on oma tietokoneesi erotettu julkisesta verkosta ja suora yhteydenotto koneeseesi ulkomaailmasta estyy ellei ole erikseen määritelty modeemista.

[HannuTapio]

Hei!

No niin, kaksi viikkoa rummutti usea ip porttia 8500,
nyt porttiin ei enää saavu paketteja.

kuinka yleistä tälläinen on.

mistä luulette että oli kyse ??
en itse tunne tietoturva asioita.

onko mahdollista että koneeni on nyt kaapattu, vai onko hakkeri ohjelma vain ( toistaiseksi ) luovuttanut ??

//----

kiitos,,

[Jallu59]

Kun kone on serverinä eli se on suoraan maailman laajuisessa IP-avaruudessa näkyvissää, niin jatkuvasti löytyy oveen kolkuttelijoita milloin miltäkin puolelta maailmaa. Havaitsin itse saman vilelä joutuessani käyttämään windowsia TOAS:in verkossa. ZoneAlarmin lokiin tuli noin 300 yritystä päivässä. Huolestuttavinta oli, että jotkut niistä tulivat TOASin verkon sisältä

Linux hyökkäykset kohdistuyvat nimenomaan palvelimien käyttämiin portteihin, mutta hätää ei pitäisi olla, jos käytettävät paketiti ovat ajan tasalla. Ne harvat virukset, jotka Linuxille on tehty ovat olleet nimenomaan palvelinohjelmistojen heikkouksia hyödyntäviä. Nuo aukot ovat aikoja sitten paikattuja, eli jos asennuksesi käyttää tuoreita versioita, vaaraa ei pitäisi olla.

T:Jallu59