[Segurança] problemas de invasão

[Roger sousa]

Ola a todos
Estou começando no Ubuntu agora, e não conheço muita coisa (
Acredito que meu computador estava sendo invadido!
Fazendo uma busca com netstat (quando tinha windows)aparecia muitas informações de endereço remoto!
Bem ,eu não sei se era normal.
Resolvi formatar toda a maquina e instalar o Ubuntu
dei netstat (já com Ubuntu)e essas informações de endereço remoto continuaram a aparecer
Gostaria de saber se é normal e como faço para aumentar a proteção
Grato



Proto  Endereço Local          Endereço Remoto         Estado     

[agente100gelo]

Que endereços são esses? Pode listar?

[Roger sousa]

um deles é esse
endereço remoto
 77.174.248.2

[Roger sousa]

segue a lista que aparece quando dou netstat
gostaria de saber se é normal essa quantidade toda

Conexões Internet Ativas (sem os servidores)
 Endereço Remoto         Estado     
 cpe-184-56-249-10:51413 SYN_ENVIADO
 catv-154-147.tbwi:16881 SYN_ENVIADO
 177.2.132.213:59329     TIME_WAIT 
 pool-78-29-9-139.c:6881 SYN_ENVIADO
  gru06s10-in-f24.1:https ESTABELECIDA
   a23-14-223-154.dep:http TIME_WAIT 
 213.55.104.129:38259    SYN_ENVIADO
 gru09s17-in-f3.1e1:http ESTABELECIDA
gru09s17-in-f2.1e1:http TIME_WAIT 
85.99.179.0.dynam:64201 TIME_WAIT 
 64-201-244-58.sta:51413 TIME_WAIT 
 ec2-54-85-82-173.c:http TIME_WAIT 
 gru09s17-in-f2.1e:https ESTABELECIDA
 adsl92.39.202.239:16881 SYN_ENVIADO
 host168.181-110-5:36136 SYN_ENVIADO
 72.251.243.4:http       TIME_WAIT 
static-33-152-24-:61259 ESTABELECIDA
 198.52.151.200:42567    TIME_WAIT 
tap.rlogin.net:http     ESTABELECIDA
 a23-14-223-154.dep:http ESTABELECIDA
 gru06s10-in-f13.1e:http ESTABELECIDA
host168.181-110-5:36136 TIME_WAIT 
  porta100.campo-al:45632 TIME_WAIT 
  gru09s17-in-f3.1e:https ESTABELECIDA
  utrace.de:http          TIME_WAIT 
 91.246.229.150:51413    SYN_ENVIADO
 gru09s17-in-f1.1e:https ESTABELECIDA
 mdsp.madnet.ru:http     ESTABELECIDA
gru09s17-in-f2.1e1:http ESTABELECIDA
 236.81.76.188.dyn:61856 ESTABELECIDA
51.241-broadband.:56600 SYN_ENVIADO
72.251.243.4:http       TIME_WAIT 
 mdsp.madnet.ru:http     ESTABELECIDA
53.49.82.80.dsl-d:47069 SYN_ENVIADO
 gru09s17-in-f2.1e:https ESTABELECIDA
 82.205.88.134:45053     SYN_ENVIADO
 mulberry.canonical:http ESPERANDO_FECHAR
  tap.rlogin.net:http     ESTABELECIDA
 41.82.122.151:45682     SYN_ENVIADO
 pbtg-nuggad.unbeli:http TIME_WAIT 
KD121109111016.pp:51413 SYN_ENVIADO
189.Red-88-9-75.d:51413 SYN_ENVIADO
 a23-14-223-154.dep:http ESTABELECIDA
 46.234.205.31:1999      SYN_ENVIADO
 bl28-165-253.dsl.:22044 SYN_ENVIADO
pbtg-nuggad.unbeli:http TIME_WAIT 
 89.163.211.233:http     TIME_WAIT 
 84-232-222-214.rd:57413 TIME_WAIT 
tap.rlogin.net:http     ESTABELECIDA
server.ubuntuforum:http TIME_WAIT 
 utrace.de:http          TIME_WAIT 
mdsp.madnet.ru:http     TIME_WAIT 
utrace.de:http          TIME_WAIT 
ec2-54-85-82-173.c:http TIME_WAIT 
tap.rlogin.net:http     ESTABELECIDA
host-184-167-252-:51413 SYN_ENVIADO
105.109.213.218:26994   TIME_WAIT 
177.2.132.213:59329     TIME_WAIT 
 productsearch.ubu:https ESPERANDO_FECHAR
 pbtg-nuggad.unbeli:http TIME_WAIT 
utrace.de:http          ESPERA_FIN2
a23-14-223-154.dep:http ESTABELECIDA
 ool-4350d6f1.dyn.:51413 SYN_ENVIADO
 178.32.21.220:64328     ESTABELECIDA
gru09s17-in-f4.1e:https ESTABELECIDA
 tap.rlogin.net:http     ESTABELECIDA
31.130.0.209:24027      TIME_WAIT 
77.66.54.155:http       TIME_WAIT 
 utrace.de:http          TIME_WAIT 
mdsp.madnet.ru:http     TIME_WAIT 
108.162.232.196:http    TIME_WAIT 
utrace.de:http          TIME_WAIT 
108.162.232.196:http    TIME_WAIT 
linuxexpressif.fr:51413 SYN_ENVIADO
 gru06s10-in-f13.1e:http TIME_WAIT 
 ns508697.ip-198-1:51413 SYN_ENVIADO
 105.106.42.114:63543    ESTABELECIDA
ip6-localhost:ipp       ESPERANDO_FECHAR

[Felix]

um deles é esse
endereço remoto
 77.174.248.2

muito estranho:

felix@valhalla:~$ whois 77.174.248.2
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '77.160.0.0 - 77.175.255.255'

% Abuse contact for '77.160.0.0 - 77.175.255.255' is 'abuse@planet.nl'

inetnum:        77.160.0.0 - 77.175.255.255
org:            ORG-WAPI1-RIPE
netname:        NL-WAPI-20061102
descr:          KPN B.V.
country:        NL
admin-c:        PT978-RIPE
admin-c:        KPN-RIPE
tech-c:         PT978-RIPE
tech-c:         KPN-RIPE
status:         ALLOCATED PA
remarks:        Please mail abuse issues to: abuse@planet.nl
remarks:        Please mail security issues to: security@planet.nl
mnt-by:         RIPE-NCC-HM-MNT
mnt-lower:      AS8737-MNT
mnt-lower:      KPN-MNT
mnt-routes:     AS8737-MNT
mnt-routes:     KPN-MNT
mnt-domains:    AS8737-MNT
mnt-domains:    KPN-MNT
created:        2006-11-02T12:11:52Z
last-modified:  2014-12-22T14:49:59Z
source:         RIPE # Filtered

organisation:   ORG-WAPI1-RIPE
org-name:       KPN B.V.
org-type:       LIR                                                                                                                           
address:        KPN B.V.                                                                                                                       
address:        Peter Bosman                                                                                                                   
address:        R?ntgenlaan 75                                                                                                                 
address:        2719 DX
address:        Zoetermeer
address:        NETHERLANDS
phone:          +31 70 4513398
phone:          +31 30 6588612
fax-no:         +31 30 6588290
admin-c:        RH672-RIPE
admin-c:        PBOS-RIPE
admin-c:        BAKC-RIPE
admin-c:        RG1525-RIPE
admin-c:        RH13540-RIPE
admin-c:        AP2254-RIPE
mnt-ref:        AS8737-MNT
mnt-ref:        RIPE-NCC-HM-MNT
mnt-by:         RIPE-NCC-HM-MNT
abuse-mailbox:  abuse@planet.nl
abuse-c:        PT978-RIPE
created:        2004-04-17T11:44:04Z
last-modified:  2015-01-02T08:43:48Z
source:         RIPE # Filtered

role:           KPN Internet
address:        KPN
address:        P.O. Box 30000
address:        2500 GA Den Haag
address:        Netherlands
phone:          +31 70 4513500
phone:          +31 70 4513398
fax-no:         +31 70 4511116
remarks:        trouble: +----------------------------------------------
remarks:        trouble: | Operational issues: noc@kpn.com |
remarks:        trouble: | Peering issues: peering-office@kpn.com |
remarks:        trouble: +----------------------------------------------
admin-c:        JZ1998-RIPE
abuse-mailbox:  abuse@kpnmail.nl
admin-c:        PBOS-RIPE
admin-c:        FVD5-RIPE
admin-c:        TJ354-RIPE
tech-c:         BC70-RIPE
tech-c:         MH5996-RIPE
tech-c:         AO1625-RIPE
tech-c:         FVD5-RIPE
tech-c:         TJ354-RIPE
remarks:        ========================================
remarks:        Role Object for KPN Internet Solutions
remarks:        For urgent operational issues, change requests, routing
remarks:        policies, etc use the email address "noc@kpn.com"
remarks:        For portscans, DoS attacks and spam complaints, please
remarks:        use the email address "abuse@kpnmail.nl".
remarks:        Please include all headers and logging where appropriate.
remarks:        For domain changes use the email address "domain@kpn.com"
remarks:        ========================================
nic-hdl:        KPN-RIPE
mnt-by:         AS286-MNT
created:        2004-08-11T08:57:52Z
last-modified:  2015-05-18T08:44:16Z
source:         RIPE # Filtered

role:           KPN B.V.
address:        Stationsstraat 115 (visit address)
address:        P.O. box 3053
address:        3800 DB Amersfoort
address:        The Netherlands
phone:          +31 30 6588612
remarks:        Operational issues: sqcdbfixedservices@kpn.com
remarks:        Peering issues: peering-office@kpn.com
nic-hdl:        PT978-RIPE
admin-c:        RH13540-RIPE
tech-c:         RH13540-RIPE
remarks:        For security & abuse issues see inetnum.
abuse-mailbox:  abuse@planet.nl
mnt-by:         AS8737-MNT
mnt-by:         KPN-MNT
created:        2003-04-02T10:49:57Z
last-modified:  2015-02-02T08:17:18Z
source:         RIPE # Filtered

% Information related to '77.174.0.0/16AS12871'

route:          77.174.0.0/16
descr:          Concepts ICT B.V.
origin:         AS12871
mnt-by:         KPN-MNT
created:        2013-11-06T14:57:12Z
last-modified:  2013-11-06T14:57:12Z
source:         RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.79.2 (DB-1)

[Felix]

execute o comando "netstat -p" que será exibida também a informação de qual aplicativo esta executando o processo.

[Roger sousa]

Os aplicativos são:
firefox,    transmission-,      unity-scope-ho,          ubuntu-geoip-p   

alguns só aparece um traço  -

[zekkerj]

A saída desse comando é apenas a lista dos sites que você está visitando com seu navegador.

[agente100gelo]

Os aplicativos são:
firefox,    transmission-,      unity-scope-ho,          ubuntu-geoip-p   

alguns só aparece um traço  -

Amigo, se você tá usando o transmission vai tá apontando para tudo que é gente que estiver conectado com seus torrents.

[Roger sousa]

Ah entendi!
Obrigado,agente100gelo,zekkerj,Felix
O Ubuntu tem alguma forma de proteção?
Estou usando a versão 15.04
Já fiz todas as atualizações dele

[Creto]

(...)
O Ubuntu tem alguma forma de proteção?
(...)

Tem sim, para um user de desktop como nós acho que o conteudo abaixo em um terminal seja o bastante:

Código: [Selecionar]

sudo ufw enable
Para saber mais sobre, também no terminal:
man ufw

Espero que isso lhe seja útil de alguma forma.

T+

[Scorpionyt]

(...)
O Ubuntu tem alguma forma de proteção?
(...)

Tem sim, para um user de desktop como nós acho que o conteudo abaixo em um terminal seja o bastante:

Código: [Selecionar]

sudo ufw enable
Para saber mais sobre, também no terminal:
man ufw

Espero que isso lhe seja útil de alguma forma.

T+

Complementando o que o colega falou, existe uma interface gráfica para o ufw, o gufw que você pode instalar diretamente no repositório ou com o comando.

sudo apt-get install gufw

Para utilizar é só abrir o programa (que solicitará a senha do root) e clicar na chave para ligar o firewall.....