Uso constante da rede por um processo desconhecido

Question

Umnslookupno primeiro endereço mostra que é um sistema na China:

$ nslookup 61.134.84.44 8.8.8.8
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
44.84.134.61.in-addr.arpa       name = 44.61.134.84.net.ts.gs.dynamic.163data.com.cn.

Authoritative answers can be found from:

$

O “cn” no final donome de domínio totalmente qualificado (FQDN)é oCódigo do país para a China. E aCentro de Informações da Rede Ásia-Pacífico (APNIC), oRegistro regional da Internet (RIR)para a Ásia, mostra o endereço IP61.134.84.44está em um intervalo de endereços atribuído ao "Tsqc internet club" na China.

Um nslookup no outro endereço, 184.105.247.226, mostra que o FQDN associado a esse endereço é scan-13h.shadowserver.org. OFundação Shadowserveré um "grupo voluntário de profissionais de segurança da Internet que reúne, rastreia e relata malware, atividades de botnets e fraudes informáticas. Seu objetivo é melhorar a segurança da Internet, aumentando a conscientização sobre a presença de servidores comprometidos, invasores maliciosos e a disseminação de malware." Opagina inicialpara a organização afirma:

Fundada em 2004, a Shadowserver Foundation reúne inteligência sobre o lado mais obscuro da Internet. Somos compostos por profissionais de segurança voluntários de todo o mundo. Nossa missão é compreender e ajudar a acabar com o crime cibernético de alto risco na era da informação.

Para saber por que você pode ter visto transmissões de rede entre o seu sistema e o sistema ShadowServer, consulte o manual da organizaçãoAbra o projeto de digitalização do Portmapperpágina.

O outro endereço IP na China pode ter sido uma tentativa desse sistema de se conectar ao seu sistema. OCentro de tempestades na Internet, que é um programa daInstituto de Tecnologia SANSque monitora o nível de atividade maliciosa na Internet, relataatividade de verificação recente do endereço 61.134.84.44.

Se você estiver conectado à Internet, deverá esperar tentativas frequentes de sistemas em todo o mundo para se conectarem ao seu sistema, pois há pessoas em todo o mundo escaneando a Internet em busca de sistemas com vulnerabilidades que possam explorar; uma tentativa de conexão não significa necessariamente que seu sistema esteja vulnerável, apenas que alguém está investigando seu endereço IP em busca de vulnerabilidades.

Você poderia usartcpdumpouWiresharkpara capturar e analisar os fluxos de dados para ter uma ideia melhor do que está acontecendo, ou seja, alguém está simplesmente verificando seu sistema em busca de vulnerabilidades ou alguém comprometeu seu sistema. Aprender a usar essas ferramentas de forma eficaz pode levar bastante tempo, se você não estiver familiarizado com elas.Protocolos de rede da Internet, mas são inestimáveis na solução de problemas de rede e na análise do tráfego de rede.

Atualizar:

A saída que você postou deNetHogsmostrou apenas oportas de redepara os outros sistemas, ou seja, 24630para o sistema na China e 37393para o sistema Shadowserver, mas não as portas correspondentes em seu sistema, mas se você quiser saber qual processo está escutando em uma porta específica em seu sistema, você pode usar olsofcomando. Por exemplo, se você quiser saber qual processo está escutando na porta HTTP padrão, que éporto conhecido80, você poderia emitir o comando lsof -i TCP:80(TCPé o protocolo para HTTP enquanto alguns outros protocolos de rede usamUDP) ou, alternativamente, você pode usar onetstatcomando netstat -nlp | grep :80. Emita os comandos da conta root, ou seja, faça login como root e emita o comando ou coloque sudona frente do comando dependendo da distribuição do Linux que você está usando. Referir-seEncontrando o PID do processo usando uma porta específica?noUnix e Linuxsite irmão deste site para outros métodos e resultados de exemplo.

Answer 1

Umnslookupno primeiro endereço mostra que é um sistema na China:

$ nslookup 61.134.84.44 8.8.8.8
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
44.84.134.61.in-addr.arpa       name = 44.61.134.84.net.ts.gs.dynamic.163data.com.cn.

Authoritative answers can be found from:

$

O “cn” no final donome de domínio totalmente qualificado (FQDN)é oCódigo do país para a China. E aCentro de Informações da Rede Ásia-Pacífico (APNIC), oRegistro regional da Internet (RIR)para a Ásia, mostra o endereço IP61.134.84.44está em um intervalo de endereços atribuído ao "Tsqc internet club" na China.

Um nslookup no outro endereço, 184.105.247.226, mostra que o FQDN associado a esse endereço é scan-13h.shadowserver.org. OFundação Shadowserveré um "grupo voluntário de profissionais de segurança da Internet que reúne, rastreia e relata malware, atividades de botnets e fraudes informáticas. Seu objetivo é melhorar a segurança da Internet, aumentando a conscientização sobre a presença de servidores comprometidos, invasores maliciosos e a disseminação de malware." Opagina inicialpara a organização afirma:

Fundada em 2004, a Shadowserver Foundation reúne inteligência sobre o lado mais obscuro da Internet. Somos compostos por profissionais de segurança voluntários de todo o mundo. Nossa missão é compreender e ajudar a acabar com o crime cibernético de alto risco na era da informação.

Para saber por que você pode ter visto transmissões de rede entre o seu sistema e o sistema ShadowServer, consulte o manual da organizaçãoAbra o projeto de digitalização do Portmapperpágina.

O outro endereço IP na China pode ter sido uma tentativa desse sistema de se conectar ao seu sistema. OCentro de tempestades na Internet, que é um programa daInstituto de Tecnologia SANSque monitora o nível de atividade maliciosa na Internet, relataatividade de verificação recente do endereço 61.134.84.44.

Se você estiver conectado à Internet, deverá esperar tentativas frequentes de sistemas em todo o mundo para se conectarem ao seu sistema, pois há pessoas em todo o mundo escaneando a Internet em busca de sistemas com vulnerabilidades que possam explorar; uma tentativa de conexão não significa necessariamente que seu sistema esteja vulnerável, apenas que alguém está investigando seu endereço IP em busca de vulnerabilidades.

Você poderia usartcpdumpouWiresharkpara capturar e analisar os fluxos de dados para ter uma ideia melhor do que está acontecendo, ou seja, alguém está simplesmente verificando seu sistema em busca de vulnerabilidades ou alguém comprometeu seu sistema. Aprender a usar essas ferramentas de forma eficaz pode levar bastante tempo, se você não estiver familiarizado com elas.Protocolos de rede da Internet, mas são inestimáveis na solução de problemas de rede e na análise do tráfego de rede.

Atualizar:

A saída que você postou deNetHogsmostrou apenas oportas de redepara os outros sistemas, ou seja, 24630para o sistema na China e 37393para o sistema Shadowserver, mas não as portas correspondentes em seu sistema, mas se você quiser saber qual processo está escutando em uma porta específica em seu sistema, você pode usar olsofcomando. Por exemplo, se você quiser saber qual processo está escutando na porta HTTP padrão, que éporto conhecido80, você poderia emitir o comando lsof -i TCP:80(TCPé o protocolo para HTTP enquanto alguns outros protocolos de rede usamUDP) ou, alternativamente, você pode usar onetstatcomando netstat -nlp | grep :80. Emita os comandos da conta root, ou seja, faça login como root e emita o comando ou coloque sudona frente do comando dependendo da distribuição do Linux que você está usando. Referir-seEncontrando o PID do processo usando uma porta específica?noUnix e Linuxsite irmão deste site para outros métodos e resultados de exemplo.

Uso constante da rede por um processo desconhecido

Responder1

informação relacionada