//
stai leggendo...
Security

Linux Net tricks

Come tutti gli utilizzatori di Linux sanno, spesso è necessario intercettare quei processi di rete che possono compromettere la sicurezza del sistema.

Consiglio due semplici verifiche, per effettuare uno scan del sistema in maniera chiara ed immediata.
Se non lo avete fatto installate nmap, lsof e boot-up manager (bum).
Sono gli strumenti che utilizzeremo per effettuare una scansione delle porte della nostra linux box, intercettare i processi che occupano delle porte in maniera più o meno invasiva ed eventualmente decidere se è il caso di disabilitarli.

Innanzitutto aprite la shell, ed invocate il comando nmap nel seguente modo:
_______________________________________________________________

alex@alex-desktop:~$ sudo nmap -sT -O localhost
Starting Nmap 5.00 ( http://nmap.org ) at 2010-05-03 15:20 CEST
Warning: Hostname localhost resolves to 2 IPs. Using 127.0.0.1.
Interesting ports on localhost (127.0.0.1):
Not shown: 997 closed ports
PORT     STATE SERVICE
25/tcp   open  smtp
3306/tcp open  mysql
8082/tcp open  blackice-alerts
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.17 - 2.6.24
Network Distance: 0 hops
OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 2.19 seconds

alex@alex-desktop:~$

________________________________________________________________

Mettiamo di voler approfondire meglio quel servizio che occupa la porta
tcp/8082 dal nome alquanto sibillino “blackice-alerts”.

Non ricordo di avere installato niente con quel nome…. sarà mica un processo sospetto che magari avvia in memoria una backdoor o qualche altra diavoleria ?

Scopriamolo invocando lsof:
________________________________________________________________

alex@alex-desktop:~$ sudo lsof -i tcp:8082

COMMAND   PID     USER   FD   TYPE DEVICE SIZE/OFF NODE NAME

mono    15165 www-data    3u  IPv4 133917      0t0  TCP *:8082 (LISTEN)

alex@alex-desktop:~$

________________________________________________________________

Me ne ero quasi dimenticato oggi ho dovuto installare mono per avviare un applicativo che fa uso delle librerie .net per avviarsi ed e’ proprio lui che si spaccia per blackice-alerts.

Avviate Bootup-manager da Sistema –> Amministrazione –> Bootup-manager.
Intercettate mono-xsp2 (simple server to run ASP.NET 2.0′ applications) e se ritenete che al momento non serva a nessuno scopo, tasto destro e cliccate su arresta o in maniera radicale disattiva e arresta.

Ecco scoperto l’arcano, adesso sto più tranquillo !!! 🙂
Spero possa essere utile a quanti di voi hanno avuto gli stessi interrogativi sulla compromissione del proprio sistema, evitando ansie ingiustificate.

Annunci

Discussione

Non c'è ancora nessun commento.

Rispondi

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: