[Segurança] problemas de invasão

Roger sousa · 29 de Maio de 2015, 15:45

Ola a todos
Estou começando no Ubuntu agora, e não conheço muita coisa (
Acredito que meu computador estava sendo invadido!
Fazendo uma busca com netstat (quando tinha windows)aparecia muitas informações de endereço remoto!
Bem ,eu não sei se era normal.
Resolvi formatar toda a maquina e instalar o Ubuntu
dei netstat (já com Ubuntu)e essas informações de endereço remoto continuaram a aparecer
Gostaria de saber se é normal e como faço para aumentar a proteção
Grato

Proto Endereço Local Endereço Remoto Estado

agente100gelo · 29 de Maio de 2015, 16:03

Que endereços são esses? Pode listar?

Roger sousa · 29 de Maio de 2015, 16:12

um deles é esse
endereço remoto
77.174.248.2

Roger sousa · 29 de Maio de 2015, 17:03

segue a lista que aparece quando dou netstat
gostaria de saber se é normal essa quantidade toda

Conexões Internet Ativas (sem os servidores)
Endereço Remoto Estado
cpe-184-56-249-10:51413 SYN_ENVIADO
catv-154-147.tbwi:16881 SYN_ENVIADO
177.2.132.213:59329 TIME_WAIT
pool-78-29-9-139.c:6881 SYN_ENVIADO
gru06s10-in-f24.1:https ESTABELECIDA
a23-14-223-154.dep:http TIME_WAIT
213.55.104.129:38259 SYN_ENVIADO
gru09s17-in-f3.1e1:http ESTABELECIDA
gru09s17-in-f2.1e1:http TIME_WAIT
85.99.179.0.dynam:64201 TIME_WAIT
64-201-244-58.sta:51413 TIME_WAIT
ec2-54-85-82-173.c:http TIME_WAIT
gru09s17-in-f2.1e:https ESTABELECIDA
adsl92.39.202.239:16881 SYN_ENVIADO
host168.181-110-5:36136 SYN_ENVIADO
72.251.243.4:http TIME_WAIT
static-33-152-24-:61259 ESTABELECIDA
198.52.151.200:42567 TIME_WAIT
tap.rlogin.net:http ESTABELECIDA
a23-14-223-154.dep:http ESTABELECIDA
gru06s10-in-f13.1e:http ESTABELECIDA
host168.181-110-5:36136 TIME_WAIT
porta100.campo-al:45632 TIME_WAIT
gru09s17-in-f3.1e:https ESTABELECIDA
utrace.de:http TIME_WAIT
91.246.229.150:51413 SYN_ENVIADO
gru09s17-in-f1.1e:https ESTABELECIDA
mdsp.madnet.ru:http ESTABELECIDA
gru09s17-in-f2.1e1:http ESTABELECIDA
236.81.76.188.dyn:61856 ESTABELECIDA
51.241-broadband.:56600 SYN_ENVIADO
72.251.243.4:http TIME_WAIT
mdsp.madnet.ru:http ESTABELECIDA
53.49.82.80.dsl-d:47069 SYN_ENVIADO
gru09s17-in-f2.1e:https ESTABELECIDA
82.205.88.134:45053 SYN_ENVIADO
mulberry.canonical:http ESPERANDO_FECHAR
tap.rlogin.net:http ESTABELECIDA
41.82.122.151:45682 SYN_ENVIADO
pbtg-nuggad.unbeli:http TIME_WAIT
KD121109111016.pp:51413 SYN_ENVIADO
189.Red-88-9-75.d:51413 SYN_ENVIADO
a23-14-223-154.dep:http ESTABELECIDA
46.234.205.31:1999 SYN_ENVIADO
bl28-165-253.dsl.:22044 SYN_ENVIADO
pbtg-nuggad.unbeli:http TIME_WAIT
89.163.211.233:http TIME_WAIT
84-232-222-214.rd:57413 TIME_WAIT
tap.rlogin.net:http ESTABELECIDA
server.ubuntuforum:http TIME_WAIT
utrace.de:http TIME_WAIT
mdsp.madnet.ru:http TIME_WAIT
utrace.de:http TIME_WAIT
ec2-54-85-82-173.c:http TIME_WAIT
tap.rlogin.net:http ESTABELECIDA
host-184-167-252-:51413 SYN_ENVIADO
105.109.213.218:26994 TIME_WAIT
177.2.132.213:59329 TIME_WAIT
productsearch.ubu:https ESPERANDO_FECHAR
pbtg-nuggad.unbeli:http TIME_WAIT
utrace.de:http ESPERA_FIN2
a23-14-223-154.dep:http ESTABELECIDA
ool-4350d6f1.dyn.:51413 SYN_ENVIADO
178.32.21.220:64328 ESTABELECIDA
gru09s17-in-f4.1e:https ESTABELECIDA
tap.rlogin.net:http ESTABELECIDA
31.130.0.209:24027 TIME_WAIT
77.66.54.155:http TIME_WAIT
utrace.de:http TIME_WAIT
mdsp.madnet.ru:http TIME_WAIT
108.162.232.196:http TIME_WAIT
utrace.de:http TIME_WAIT
108.162.232.196:http TIME_WAIT
linuxexpressif.fr:51413 SYN_ENVIADO
gru06s10-in-f13.1e:http TIME_WAIT
ns508697.ip-198-1:51413 SYN_ENVIADO
105.106.42.114:63543 ESTABELECIDA
ip6-localhost:ipp ESPERANDO_FECHAR

Felix · 29 de Maio de 2015, 17:06

Citação de: Roger sousa online 29 de Maio de 2015, 16:12
um deles é esse
endereço remoto
77.174.248.2

muito estranho:

Citar
felix@valhalla:~$ whois 77.174.248.2
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '77.160.0.0 - 77.175.255.255'

% Abuse contact for '77.160.0.0 - 77.175.255.255' is 'abuse@planet.nl'

inetnum: 77.160.0.0 - 77.175.255.255
org: ORG-WAPI1-RIPE
netname: NL-WAPI-20061102
descr: KPN B.V.
country: NL
admin-c: PT978-RIPE
admin-c: KPN-RIPE
tech-c: PT978-RIPE
tech-c: KPN-RIPE
status: ALLOCATED PA
remarks: Please mail abuse issues to: abuse@planet.nl
remarks: Please mail security issues to: security@planet.nl
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: AS8737-MNT
mnt-lower: KPN-MNT
mnt-routes: AS8737-MNT
mnt-routes: KPN-MNT
mnt-domains: AS8737-MNT
mnt-domains: KPN-MNT
created: 2006-11-02T12:11:52Z
last-modified: 2014-12-22T14:49:59Z
source: RIPE # Filtered

organisation: ORG-WAPI1-RIPE
org-name: KPN B.V.
org-type: LIR
address: KPN B.V.
address: Peter Bosman
address: R?ntgenlaan 75
address: 2719 DX
address: Zoetermeer
address: NETHERLANDS
phone: +31 70 4513398
phone: +31 30 6588612
fax-no: +31 30 6588290
admin-c: RH672-RIPE
admin-c: PBOS-RIPE
admin-c: BAKC-RIPE
admin-c: RG1525-RIPE
admin-c: RH13540-RIPE
admin-c: AP2254-RIPE
mnt-ref: AS8737-MNT
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
abuse-mailbox: abuse@planet.nl
abuse-c: PT978-RIPE
created: 2004-04-17T11:44:04Z
last-modified: 2015-01-02T08:43:48Z
source: RIPE # Filtered

role: KPN Internet
address: KPN
address: P.O. Box 30000
address: 2500 GA Den Haag
address: Netherlands
phone: +31 70 4513500
phone: +31 70 4513398
fax-no: +31 70 4511116
remarks: trouble: +----------------------------------------------
remarks: trouble: | Operational issues: noc@kpn.com |
remarks: trouble: | Peering issues: peering-office@kpn.com |
remarks: trouble: +----------------------------------------------
admin-c: JZ1998-RIPE
abuse-mailbox: abuse@kpnmail.nl
admin-c: PBOS-RIPE
admin-c: FVD5-RIPE
admin-c: TJ354-RIPE
tech-c: BC70-RIPE
tech-c: MH5996-RIPE
tech-c: AO1625-RIPE
tech-c: FVD5-RIPE
tech-c: TJ354-RIPE
remarks: ========================================
remarks: Role Object for KPN Internet Solutions
remarks: For urgent operational issues, change requests, routing
remarks: policies, etc use the email address "noc@kpn.com"
remarks: For portscans, DoS attacks and spam complaints, please
remarks: use the email address "abuse@kpnmail.nl".
remarks: Please include all headers and logging where appropriate.
remarks: For domain changes use the email address "domain@kpn.com"
remarks: ========================================
nic-hdl: KPN-RIPE
mnt-by: AS286-MNT
created: 2004-08-11T08:57:52Z
last-modified: 2015-05-18T08:44:16Z
source: RIPE # Filtered

role: KPN B.V.
address: Stationsstraat 115 (visit address)
address: P.O. box 3053
address: 3800 DB Amersfoort
address: The Netherlands
phone: +31 30 6588612
remarks: Operational issues: sqcdbfixedservices@kpn.com
remarks: Peering issues: peering-office@kpn.com
nic-hdl: PT978-RIPE
admin-c: RH13540-RIPE
tech-c: RH13540-RIPE
remarks: For security & abuse issues see inetnum.
abuse-mailbox: abuse@planet.nl
mnt-by: AS8737-MNT
mnt-by: KPN-MNT
created: 2003-04-02T10:49:57Z
last-modified: 2015-02-02T08:17:18Z
source: RIPE # Filtered

% Information related to '77.174.0.0/16AS12871'

route: 77.174.0.0/16
descr: Concepts ICT B.V.
origin: AS12871
mnt-by: KPN-MNT
created: 2013-11-06T14:57:12Z
last-modified: 2013-11-06T14:57:12Z
source: RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.79.2 (DB-1)

Felix · 29 de Maio de 2015, 17:11

execute o comando "netstat -p" que será exibida também a informação de qual aplicativo esta executando o processo.

Roger sousa · 29 de Maio de 2015, 17:31

Os aplicativos são:
firefox, transmission-, unity-scope-ho, ubuntu-geoip-p

alguns só aparece um traço -

zekkerj · 29 de Maio de 2015, 18:03

A saída desse comando é apenas a lista dos sites que você está visitando com seu navegador.

agente100gelo · 29 de Maio de 2015, 18:55

Citação de: Roger sousa online 29 de Maio de 2015, 17:31

Os aplicativos são:
firefox, transmission-, unity-scope-ho, ubuntu-geoip-p

alguns só aparece um traço -

Amigo, se você tá usando o transmission vai tá apontando para tudo que é gente que estiver conectado com seus torrents.

Roger sousa · 29 de Maio de 2015, 19:19

Ah entendi!
Obrigado,agente100gelo,zekkerj,Felix
O Ubuntu tem alguma forma de proteção?
Estou usando a versão 15.04
Já fiz todas as atualizações dele

Creto · 29 de Maio de 2015, 20:06

Citação de: Roger sousa online 29 de Maio de 2015, 19:19
(...)
O Ubuntu tem alguma forma de proteção?
(...)

Tem sim, para um user de desktop como nós acho que o conteudo abaixo em um terminal seja o bastante:

Código Selecionar

sudo ufw enable

Para saber mais sobre, também no terminal:
man ufw

Espero que isso lhe seja útil de alguma forma.

T+

Scorpionyt · 13 de Julho de 2015, 20:28

Citação de: Creto online 29 de Maio de 2015, 20:06
Citação de: Roger sousa online 29 de Maio de 2015, 19:19
(...)
O Ubuntu tem alguma forma de proteção?
(...)
Tem sim, para um user de desktop como nós acho que o conteudo abaixo em um terminal seja o bastante:
Código Selecionar Expandir
sudo ufw enable

Para saber mais sobre, também no terminal:
man ufw

Espero que isso lhe seja útil de alguma forma.

T+

Complementando o que o colega falou, existe uma interface gráfica para o ufw, o gufw que você pode instalar diretamente no repositório ou com o comando.

sudo apt-get install gufw

Para utilizar é só abrir o programa (que solicitará a senha do root) e clicar na chave para ligar o firewall.....

[Segurança] problemas de invasão

Creto

Scorpionyt