有人正在从我的电脑上传内容

有人正在从我的电脑上传内容

我的互联网体验非常慢。在 vnstat 中我看到

   rx:        4 kbit/s     3 p/s          tx:    94.74 Mbit/s 14072 p/s^C


 eth4  /  traffic statistics

                           rx         |       tx
--------------------------------------+------------------
  bytes                    11.85 MiB  |       30.30 GiB
--------------------------------------+------------------
          max            6.86 Mbit/s  |    94.93 Mbit/s
      average           28.18 kbit/s  |    73.80 Mbit/s
          min               0 kbit/s  |        0 kbit/s
--------------------------------------+------------------
  packets                      17127  |        37761168
--------------------------------------+------------------
          max                584 p/s  |       14108 p/s
      average                  4 p/s  |       10964 p/s
          min                  0 p/s  |           0 p/s
--------------------------------------+------------------
  time                 57.40 minutes

使用 nethogs 我明白了,

  PID USER     PROGRAM                                                                                                                                                         DEV        SENT      RECEIVED       
2546  root     su                                                                                                                                                              eth4       0.013       0.072 KB/sec
?     root     192.168.7.100:58888-43.250.83.106:61878                                                                                                                                    0.021       0.025 KB/sec
?     root     192.168.7.100:58888-70.24.39.90:65025                                                                                                                                      0.021       0.025 KB/sec
?     root     192.168.7.100:44145-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:52239-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:15834-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:29433-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:49576-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:36540-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:32289-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:25437-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:10155-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:32125-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:59269-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:57686-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:2747-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:59482-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:58985-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:56246-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:4345-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:10665-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:40676-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:35600-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:12241-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:43541-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:19124-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:1676-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:37809-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:7017-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:14998-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:64834-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:31544-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:17969-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:57675-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:32002-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:1233-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:64445-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:51733-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:38604-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:63299-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:96-115.28.112.60:7575                                                                                                                                        0.168       0.000 KB/sec
?     root     192.168.7.100:28078-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:40611-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:4304-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:43318-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:8573-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:51347-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec

似乎有人运行了 torrent 应用程序并从我的电脑上传了所有内容。但我不确定。

我怎么知道哪个进程在做这种讨厌的事情?我需要阻止它并防止它在未来再次发生。

我是不是被当成了抵押品?

更新

我已经通过路由器防火墙关闭了除 sshd (22) 之外的所有端口。现在我看不到此进程。但现在 nethogs 显示了这种奇怪的输出。

  PID USER     PROGRAMDEV        SENT      RECEIVED       
?     root     unknown TCP      0.000       0.000 KB/sec

答案1

这似乎可能属于信息安全,但这里首先要看看“你如何知道”以及你是否被攻击了。

一些观察:

  • 43.250.83.106 位于孟加拉国 (附近)
  • 70.24.39.90 位于北美(加拿大)
  • 115.28.112.60 为亚太地区(中国),无入站流量
  • 低端口号(低于操作系统的临时限制)是特权端口,通常不需要出站。
  • 虽然端口扫描可以解释最后一组(单一来源:IP),但没有证据表明它是入站会话,并且 RST(响应扫描)大约为 50 字节(而不是 172)。

要确定是否有可能存在 C2(位于前两个地址)后跟快速打开出站端口序列(每个端口发送约 172 个字节,关闭时没有明显响应),您必须重新连接系统并开始捕获数据包。不要这样做。

如果您要保留它/不备份等:

  • 查看外部防火墙日志,或捕获系统外的数据包,看看它是否仍在尝试联系。它也可能正在向您的网络发送数据包。这可能就像 DNS 或 ICMP 出站一样简单,以避免暴露 C2。
  • 在主机本身,你可以尝试几件事:
    • 首先考虑你的工具是否被覆盖或挂载。为此,你可以尝试获取静态链接的二进制文件/使自己(并保存在只读媒体上),或者使用忙碌箱
    • “netstat -p”通常只有在提升权限的情况下才有效(您在调查时肯定已经提升了权限,因此这不会带来额外的风险)。
    • “lsof -i4” 将显示进程 + IPv4 连接(-i6 表示 IPv6)。
    • 取消隐藏将 /proc 与 'ps' 进行比较,尝试系统调用,执行 pid 暴力破解、反向线程搜索,还可以显示 netstat 看不到的端口。
    • ss -ap(进程 + 套接字)
    • rkhunter、chkrootkit(rootkit 检查器)
    • 检查是否有任何东西在奇怪的地方运行(例如 tmp 文件夹)
    • 检查常驻脚本(perl、python 等)

其他工具:

  • lsmod 应该显示内核模块
  • auditd(如果您的发行版添加了它)应该可以让您监控奇怪的系统调用和故障。
  • tcpdump(捕获网络流量)
  • 检查每个用户的历史文件(包括 /root 和 /home/*),例如 .bash_history、.lesshst、.mysql_history 等。
  • 检查 /proc/filesystems 和任何您未安装的 ck* 文件系统。用户空间 (FUSE) 中的文件系统可能隐藏了临时区域。

预防再次发生是一个与所发生事件相关的复杂而复杂的答案。防火墙 (iptables)、IDS/IPS (snort)、禁用不必要的服务、审核 wget/curl/脚本语言访问、审核放在奇怪位置(主文件夹、临时文件夹)的可执行文件、文件完整性监控等都是不错的选择。SELinux(AppArmor 在其他系统上类似)往往需要大量工作,但也很有用。

相关内容