conexões fantasmas? Meu gerenciador de download pirou? trojan?no ubuntu?

Iniciado por raimundo1, 14 de Dezembro de 2009, 01:40

tópico anterior - próximo tópico
Imprimir
Ir para Fim Páginas1
Ações

raimundo1

14 de Dezembro de 2009, 01:40
Amigos,

Estou utilizando o ubuntu desktop 8.04 , recentemente atualizado pelo update-manager.Abrir o firestarter sem executar o firefox e tiver um susto. Varias conexoes estavam sendo usadas ( umas cinco). Nesses dias utilizei o downloader for X, para baixar alguns programas, mas não instalei nenhum dos que baixei. No firefox naveguei por muitos sites, mas não instalei nenhuma extensão ou plugin. Geralmente instalo programas pelo gnome-app-install ou pelo synaptic. Recentemente instalei o picasa direto pelo site do google, mas pelo synaptic.

Nunca mandei instalar o apache2, e este apareceu na minha lista de processo em execução. Fui no synaptic e removir o apache2, mas não da forma completa. Bloqueei as conexões, mas no meio destas estava o ip 70.32.95.68 . Fui ao site www.gwebtools.com.br, e usei a opção traceroute, e ai descobrir que é o site da encore de onde estava baixando um drive para fax modem. Desbloqueei tal ip e voltei a fazer o dowloard . Até agora, não voltou nenhum conexão fantasma. Outro detalhe, a conexão de rede ( virtual) do virtualbox apresentou valores de velocidade absurdos! impossíveis para uma conexão discada.

Se for algum trojan, e este estiver dentro de meu pc, tem com identificar? ou só tenho esperança na proxima atualização do sistema? Se for um ataque de negação de serviço, como me livro?

Desde já, agradeço a atenção
Abaixo o ip que bloqueei:

72.246.216.26
67.195.9.75
98.136.112.217
200.222.200.34
200.222.203.77

Abaixo o resultado do site www.gwebtools.com.br :

Traceroute 70.32.95.68
#       Host / IP    Time    Time    Time 1       1-164-111-65.serverpronto.com(65.111.164.1)    820.116 ms    820.554 ms    821.014 ms
2       ge2-edge.mia.infolink.com(64.251.0.65)                       817.041 ms    817.043 ms    817.044 ms
3       miamfllr1m6-ge-0-0-0-127.ip.epik.net(216.22.64.93)      817.422 ms    817.443 ms    817.464 ms
4       ae-32-52.ebr2.Miami1.Level3.net(4.69.138.126)     820.080 ms    820.071 ms    820.145 ms
5       ae-2.ebr2.Atlanta2.Level3.net(4.69.140.142)              837.605 ms    837.581 ms    837.576 ms
6       ae-73-70.ebr3.Atlanta2.Level3.net(4.69.138.20)      837.149 ms    *    *
7       ae-2.ebr1.Washington1.Level3.net(4.69.132.86)       848.406 ms    31.141 ms    31.114 ms
8       ae-91-91.csw4.Washington1.Level3.net(4.69.134.142)    28.205 ms    *    *
9       ae-24-79.car4.Washington1.Level3.net(4.68.17.70)           29.927 ms    *    *
10       WBS-CONNECT.car4.Washington1.Level3.net(4.79.170.226)    27.937 ms    28.510 ms    28.297 ms
11       cr01-1-1.iad1.net2ez.com(65.97.48.254)                             37.896 ms    37.871 ms    38.072 ms
12       cust-77.iad1.net2ez.com(65.97.50.2)                                    28.570 ms    28.404 ms    28.544 ms
13       static-70-32-64-250.mtsvc.net(70.32.64.250)                             29.307 ms    29.262 ms    29.280 ms
14       vz358.mediatemple.net(70.32.93.5)                               28.813 ms    28.276 ms    28.554 ms
15       encore-usa.com(70.32.95.68)                                         29.436 ms    28.909 ms    28.791 ms

jeflui

#1
14 de Dezembro de 2009, 09:18 Última edição: 14 de Dezembro de 2009, 09:47 por jeflui
Acho que você fez um poste muito alarmista. Os ips que colocou ai são do yahoo e do dns de seu provedor de internet provavelmente.
Única coisa estranha seria mesmo o apache "aparecer" assim, sobre o virtual box o que seria o valor absurdo? Não está confundindo com a velocidade de rede local?
Alguns comandos que podem ajudar:
top
ps aux
netstat -ptl
Caso encontre algum ip que queira verificar, um whois <ip> já dá para ter uma idéia também.

velox256

#2
14 de Dezembro de 2009, 09:23
Concordo com o chefia acima, sempre há conexões do tipo em qq sistema, justamente por conta de atualizações de programas, drivers e arquivos. O Ubuntu tem o update-manager que fica de olho em novos pacotes nos servidores e há outras coisas do tipo, como o envio de pacotes 'keep alive' para manter a conexão ativa, aMSN ou outro tipo de messenger, os plugins do navegador usado e por aí vai.

Mas continue com as suas pesquisas aí com os ips, nunca se sabe, hehehe...
Computador perereca, com disco perereca, monitor perereca e sistema super xuxu. Visitem a minha página em http://sidserra.k6.com.br ou meu blog em http://sidserra.blogspot.com.br.

zekkerj

#3
15 de Dezembro de 2009, 02:49
Mais do que os endereços das conexões, fique ligado mesmo nas portas locais e remotas. Bem como o estado das conexões. É normal que vc encontre conexões no estado "TIME_WAIT" ou "FIN_WAIT", são conexões que já foram fechadas, mas que estão esperando o encerramento do "three way handshake".

Se vc usou um download manager, ou um programa P2P, é mais do que comum que eles abram várias conexões simultâneas, pra acelerar os downloads.

Trojans pra linux existem, mas o pessoal costuma fazer muito alarde à toa por conta disso. Se você realmente desconfia que isso aconteceu, procure por um pacote de auditoria, ou por um "anti-rootkit".
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D
Imprimir
Ir para Topo Páginas1
Ações