Ataque?

1. Ataque?

Ricardo Gomes Pina
ricardopina

(usa Debian)

Enviado em 22/02/2016 - 11:55h

Bom dia pessoal, alguém pode me ajudar.

Creiei um servidor de backup com debian, a distro foi baixada diretamente do site oficial,
Após a instalação alguns programas como SSH foi instalado. Tudo está sendo atualizado semanalmente desde que foi instalado há quase 1 ano.
Executei o comando netstat e para minha supresa apareceu uma conexão e pesquisei o IP e o mesmo tem origem da China no comando w não aparece usuário nenhum conectado, veja o resultado do comando netstat abaixo. Como faço para bloquear ou descobrir onde está a brecha de segurança?

root@backup-server:~# netstat
Conexões Internet Ativas (sem os servidores)
Proto Recv-Q Send-Q Endereço Local Endereço Remoto Estado
tcp 0 0 192.168.0.6:ssh 58.218.211.198:5077 ESTABELECIDA
tcp 0 372 192.168.0.6:ssh 192.168.0.10:5071 ESTABELECIDA
tcp 0 0 192.168.0.6:48934 192.168.0.:microsoft-ds ESTABELECIDA
tcp 0 0 192.168.0.6:58547 192.168.0.:microsoft-ds ESTABELECIDA
tcp 0 0 192.168.0.6:36319 192.168.0.:microsoft-ds ESTABELECIDA
Domain sockets UNIX ativos (sem os servidores)
Proto RefCnt Flags Type State I-Node Caminho
unix 10 [ ] DGRAM 5813 /dev/log
unix 3 [ ] STREAM CONECTADO 196969 /var/run/samba/winbin dd_privileged/pipe
unix 3 [ ] STREAM CONECTADO 196968
unix 2 [ ] DGRAM 196965
unix 3 [ ] STREAM CONECTADO 196958
unix 3 [ ] STREAM CONECTADO 196957
unix 2 [ ] DGRAM 196896
unix 3 [ ] STREAM CONECTADO 10849
unix 3 [ ] STREAM CONECTADO 10848
unix 3 [ ] STREAM CONECTADO 10845
unix 3 [ ] STREAM CONECTADO 10844
unix 2 [ ] DGRAM 6494
unix 2 [ ] DGRAM 6386
unix 3 [ ] STREAM CONECTADO 6295
unix 3 [ ] STREAM CONECTADO 6294
unix 2 [ ] DGRAM 6278
unix 2 [ ] DGRAM 6216
unix 3 [ ] STREAM CONECTADO 5983
unix 3 [ ] STREAM CONECTADO 5982
unix 2 [ ] DGRAM 5922
unix 2 [ ] DGRAM 5913
unix 3 [ ] STREAM CONECTADO 5571
unix 3 [ ] STREAM CONECTADO 5570
unix 3 [ ] DGRAM 3446
unix 3 [ ] DGRAM 3445



  


2. Re: Ataque?

Marcelo Oliver
msoliver

(usa Debian)

Enviado em 22/02/2016 - 12:41h

ricardopina escreveu:

Bom dia pessoal, alguém pode me ajudar.

Creiei um servidor de backup com debian, a distro foi baixada diretamente do site oficial,
Após a instalação alguns programas como SSH foi instalado. Tudo está sendo atualizado semanalmente desde que foi instalado há quase 1 ano.
Executei o comando netstat e para minha supresa apareceu uma conexão e pesquisei o IP e o mesmo tem origem da China no comando w não aparece usuário nenhum conectado, veja o resultado do comando netstat abaixo. Como faço para bloquear ou descobrir onde está a brecha de segurança?

root@backup-server:~# netstat
Conexões Internet Ativas (sem os servidores)
Proto Recv-Q Send-Q Endereço Local Endereço Remoto Estado
tcp 0 0 192.168.0.6:ssh 58.218.211.198:5077 ESTABELECIDA
tcp 0 372 192.168.0.6:ssh 192.168.0.10:5071 ESTABELECIDA
tcp 0 0 192.168.0.6:48934 192.168.0.:microsoft-ds ESTABELECIDA
tcp 0 0 192.168.0.6:58547 192.168.0.:microsoft-ds ESTABELECIDA
tcp 0 0 192.168.0.6:36319 192.168.0.:microsoft-ds ESTABELECIDA
Domain sockets UNIX ativos (sem os servidores)
Proto RefCnt Flags Type State I-Node Caminho
unix 10 [ ] DGRAM 5813 /dev/log
unix 3 [ ] STREAM CONECTADO 196969 /var/run/samba/winbin dd_privileged/pipe
unix 3 [ ] STREAM CONECTADO 196968
unix 2 [ ] DGRAM 196965
unix 3 [ ] STREAM CONECTADO 196958
unix 3 [ ] STREAM CONECTADO 196957
unix 2 [ ] DGRAM 196896
unix 3 [ ] STREAM CONECTADO 10849
unix 3 [ ] STREAM CONECTADO 10848
unix 3 [ ] STREAM CONECTADO 10845
unix 3 [ ] STREAM CONECTADO 10844
unix 2 [ ] DGRAM 6494
unix 2 [ ] DGRAM 6386
unix 3 [ ] STREAM CONECTADO 6295
unix 3 [ ] STREAM CONECTADO 6294
unix 2 [ ] DGRAM 6278
unix 2 [ ] DGRAM 6216
unix 3 [ ] STREAM CONECTADO 5983
unix 3 [ ] STREAM CONECTADO 5982
unix 2 [ ] DGRAM 5922
unix 2 [ ] DGRAM 5913
unix 3 [ ] STREAM CONECTADO 5571
unix 3 [ ] STREAM CONECTADO 5570
unix 3 [ ] DGRAM 3446
unix 3 [ ] DGRAM 3445

######################################################################
Boa tarde ricardopina.
Você utiliza algum serviço de DDNS, tipo no-ip?

Att.:
Marcelo



3. Re: Ataque?

Fabiano
fpires

(usa Debian)

Enviado em 22/02/2016 - 13:37h

O netstat mostra conexões TCP estabelecidas. Não significa que a pessoa conseguiu o acesso ao console. Cheque seus arquivos de log por tentativas de acesso (com sucesso e/ou falha) e terá uma noção melhor do que está ocorrendo.


4. Re: Ataque?

Ricardo Gomes Pina
ricardopina

(usa Debian)

Enviado em 22/02/2016 - 13:37h

Não Marcelo,

No último final de semana instalei o PPTPD para poder acessar de fora, não sei dizer se isso estava antes ou depois.



5. Re: Ataque?

Ricardo Gomes Pina
ricardopina

(usa Debian)

Enviado em 22/02/2016 - 15:06h

Tenho o samba e o NFS instalado tambem







Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts