Ubuntu.pl 🇺🇦️ - Forum Ubuntu

Polskie forum użytkowników Ubuntu
https://ubuntu.pl/forum/

Jak sprawdzić czy ktoś mnie nie zhakował [SOLVED]

https://ubuntu.pl/forum/viewtopic.php?t=184892

Strona 1 z 1

Jak sprawdzić czy ktoś mnie nie zhakował [SOLVED]

: 31 mar 2020, 10:27
autor: Willow
Witam, tak jak w temacie jak najprościej sprawdzić czy ktoś (osoba, trojan itp.) mnie nie zhakował na moim laptopie. W Windows jest prosta komenda netstat ale czy istnieje coś analogicznego w Linuxie?

Re: Jak sprawdzić czy ktoś mnie nie zhakował

: 31 mar 2020, 10:56
autor: Tomfoc
W Linuksie jest netstat.

Re: Jak sprawdzić czy ktoś mnie nie zhakował

: 31 mar 2020, 12:15
autor: Willow
Tomfoc pisze: 31 mar 2020, 10:56 W Linuksie jest netstat.
netstat - nie naleziono polecenia

W Windowsie jest netstat -ano a jaka komenda w linuxie?

Re: Jak sprawdzić czy ktoś mnie nie zhakował

: 31 mar 2020, 12:24
autor: Willow
Temat do zamknięcia, trzeba było doinstalować net-tools a potem netstat -a

P.S.
Nikt mnie nie słucha więc jest OK...

Re: Jak sprawdzić czy ktoś mnie nie zhakował

: 31 mar 2020, 16:08
autor: lcoyote
Willow pisze: 31 mar 2020, 12:24 Nikt mnie nie słucha więc jest OK...
Nikt? - bo może nie mają czasu?
A jak temat do zamknięcia - to osoba która go rozpoczęła pisze w swoim ostatnim poście - w tytule [Solved] co oznacza po anglijsku lub angijsko-amerykańsku [rozwiązano]

Re: Jak sprawdzić czy ktoś mnie nie zhakował

: 31 mar 2020, 21:08
autor: jacekalex
Nestat i całe net-tools to prehistoria troszkę i niezbyt skuteczna.

Aktualne jest iproute:

Kod: Zaznacz cały

 ### root ~>  ss -ptu | grep users | egrep -v '::1|127.0.0.1'
tcp    CLOSE-WAIT  1       0         192.168.1.10:51042   178.235.206.80:https   users:(("mpv",pid=20095,fd=5))                                                 
tcp    ESTAB       0       0         192.168.1.10:37862    217.74.64.236:imaps   users:(("fetchmail",pid=7150,fd=3))                                            
tcp    ESTAB       0       0         192.168.1.10:60710    52.10.115.210:https   users:(("firefox",pid=20459,fd=144))                                           
tcp    ESTAB       0       0         192.168.1.10:37334   64.233.163.109:imaps   users:(("fetchmail",pid=7163,fd=3))                                            
tcp    ESTAB       0       0         192.168.1.10:47984   64.233.162.109:imaps   users:(("fetchmail",pid=7197,fd=3))                                            
tcp    ESTAB       0       0         192.168.1.10:47982   64.233.162.109:imaps   users:(("fetchmail",pid=7144,fd=3))
To są połączenia z wyjątkiem localhosta, z nazwami portów i programami.

Na zadanie domowe masz takie polecenia z roota:

Kod: Zaznacz cały

 lsof -i -n |egrep -v '::1|127.0.0.1'| grep ESTABLISHED
Albo pełniejsze:

Kod: Zaznacz cały

lsof -i -n |egrep -v '::1|127.0.0.1'
Najlepiej naucz się filtrować ruch wychodzący z kompa przez system cgroup, dozbroj wszystkie
appki gadające z netem przy pomocy Apparmora, i będziesz miał spokój nieznany i nieosiągalny
w systemach Windows. :clap:

PS.
Jak chcesz sobie troszkę podnieść ciśnienie tetnicze i się troszkę przestraszyć,
to zaprzyjaźnij się z Rkhunterem i Chkrootkitem. ;-)


To by było na tyle
:craz:

Re: Jak sprawdzić czy ktoś mnie nie zhakował

: 01 kwie 2020, 22:17
autor: Willow
jacekalex pisze: 31 mar 2020, 21:08 Nestat i całe net-tools to prehistoria troszkę i niezbyt skuteczna.

Aktualne jest iproute:

Kod: Zaznacz cały

 ### root ~>  ss -ptu | grep users | egrep -v '::1|127.0.0.1'
tcp    CLOSE-WAIT  1       0         192.168.1.10:51042   178.235.206.80:https   users:(("mpv",pid=20095,fd=5))                                                 
tcp    ESTAB       0       0         192.168.1.10:37862    217.74.64.236:imaps   users:(("fetchmail",pid=7150,fd=3))                                            
tcp    ESTAB       0       0         192.168.1.10:60710    52.10.115.210:https   users:(("firefox",pid=20459,fd=144))                                           
tcp    ESTAB       0       0         192.168.1.10:37334   64.233.163.109:imaps   users:(("fetchmail",pid=7163,fd=3))                                            
tcp    ESTAB       0       0         192.168.1.10:47984   64.233.162.109:imaps   users:(("fetchmail",pid=7197,fd=3))                                            
tcp    ESTAB       0       0         192.168.1.10:47982   64.233.162.109:imaps   users:(("fetchmail",pid=7144,fd=3))
To są połączenia z wyjątkiem localhosta, z nazwami portów i programami.

Na zadanie domowe masz takie polecenia z roota:

Kod: Zaznacz cały

 lsof -i -n |egrep -v '::1|127.0.0.1'| grep ESTABLISHED
Albo pełniejsze:

Kod: Zaznacz cały

lsof -i -n |egrep -v '::1|127.0.0.1'
Najlepiej naucz się filtrować ruch wychodzący z kompa przez system cgroup, dozbroj wszystkie
appki gadające z netem przy pomocy Apparmora, i będziesz miał spokój nieznany i nieosiągalny
w systemach Windows. :clap:

PS.
Jak chcesz sobie troszkę podnieść ciśnienie tetnicze i się troszkę przestraszyć,
to zaprzyjaźnij się z Rkhunterem i Chkrootkitem. ;-)


To by było na tyle
:craz:

Dzięki za obszerne wyjaśnienia
SOLVED

Re: Jak sprawdzić czy ktoś mnie nie zhakował

: 23 kwie 2020, 11:24
autor: Willow
Willow pisze: 01 kwie 2020, 22:17
jacekalex pisze: 31 mar 2020, 21:08 Nestat i całe net-tools to prehistoria troszkę i niezbyt skuteczna.

Aktualne jest iproute:

Kod: Zaznacz cały

 ### root ~>  ss -ptu | grep users | egrep -v '::1|127.0.0.1'
tcp    CLOSE-WAIT  1       0         192.168.1.10:51042   178.235.206.80:https   users:(("mpv",pid=20095,fd=5))                                                 
tcp    ESTAB       0       0         192.168.1.10:37862    217.74.64.236:imaps   users:(("fetchmail",pid=7150,fd=3))                                            
tcp    ESTAB       0       0         192.168.1.10:60710    52.10.115.210:https   users:(("firefox",pid=20459,fd=144))                                           
tcp    ESTAB       0       0         192.168.1.10:37334   64.233.163.109:imaps   users:(("fetchmail",pid=7163,fd=3))                                            
tcp    ESTAB       0       0         192.168.1.10:47984   64.233.162.109:imaps   users:(("fetchmail",pid=7197,fd=3))                                            
tcp    ESTAB       0       0         192.168.1.10:47982   64.233.162.109:imaps   users:(("fetchmail",pid=7144,fd=3))
To są połączenia z wyjątkiem localhosta, z nazwami portów i programami.

Na zadanie domowe masz takie polecenia z roota:

Kod: Zaznacz cały

 lsof -i -n |egrep -v '::1|127.0.0.1'| grep ESTABLISHED
Albo pełniejsze:

Kod: Zaznacz cały

lsof -i -n |egrep -v '::1|127.0.0.1'
Najlepiej naucz się filtrować ruch wychodzący z kompa przez system cgroup, dozbroj wszystkie
appki gadające z netem przy pomocy Apparmora, i będziesz miał spokój nieznany i nieosiągalny
w systemach Windows. :clap:

PS.
Jak chcesz sobie troszkę podnieść ciśnienie tetnicze i się troszkę przestraszyć,
to zaprzyjaźnij się z Rkhunterem i Chkrootkitem. ;-)


To by było na tyle
:craz:

Dzięki za obszerne wyjaśnienia
SOLVED
Jeszcze mała wstawka, sprawdzałem dzisiaj i wyskoczyło mi coś takiego. Jest ktoś w stanie mi to rozkodować?

hpmkj@hpmkj-p15:~$ lsof -i -n |egrep -v '::1|127.0.0.1'| grep ESTABLISHED
opera 2644 hpmkj 34u IPv4 52012 0t0 TCP 192.168.2.57:55876->185.130.105.105:kerberos (ESTABLISHED)
opera 2644 hpmkj 48u IPv4 50650 0t0 TCP 192.168.2.57:36492->185.130.105.118:kerberos (ESTABLISHED)
opera 2644 hpmkj 53u IPv4 48078 0t0 TCP 192.168.2.57:56744->173.194.76.188:5228 (ESTABLISHED)
thunderbi 3470 hpmkj 72u IPv4 52992 0t0 TCP 192.168.2.57:37906->64.233.166.108:imaps (ESTABLISHED)
thunderbi 3470 hpmkj 73u IPv4 52997 0t0 TCP 192.168.2.57:37908->64.233.166.108:imaps (ESTABLISHED)
thunderbi 3470 hpmkj 76u IPv4 49024 0t0 TCP 192.168.2.57:46352->193.17.41.30:imaps (ESTABLISHED)
thunderbi 3470 hpmkj 81u IPv4 49029 0t0 TCP 192.168.2.57:37876->64.233.166.108:imaps (ESTABLISHED)
thunderbi 3470 hpmkj 82u IPv4 56531 0t0 TCP 192.168.2.57:37902->64.233.166.108:imaps (ESTABLISHED)
thunderbi 3470 hpmkj 83u IPv4 49032 0t0 TCP 192.168.2.57:57576->74.208.5.13:imaps (ESTABLISHED)
thunderbi 3470 hpmkj 86u IPv4 49025 0t0 TCP 192.168.2.57:46354->193.17.41.30:imaps (ESTABLISHED)
thunderbi 3470 hpmkj 87u IPv4 49026 0t0 TCP 192.168.2.57:46356->193.17.41.30:imaps (ESTABLISHED)
thunderbi 3470 hpmkj 88u IPv4 49027 0t0 TCP 192.168.2.57:46358->193.17.41.30:imaps (ESTABLISHED)
thunderbi 3470 hpmkj 89u IPv4 49028 0t0 TCP 192.168.2.57:46360->193.17.41.30:imaps (ESTABLISHED)
thunderbi 3470 hpmkj 90u IPv4 49030 0t0 TCP 192.168.2.57:37878->64.233.166.108:imaps (ESTABLISHED)
thunderbi 3470 hpmkj 91u IPv4 49031 0t0 TCP 192.168.2.57:37880->64.233.166.108:imaps (ESTABLISHED)
thunderbi 3470 hpmkj 96u IPv4 56680 0t0 TCP 192.168.2.57:46436->193.17.41.30:imaps (ESTABLISHED)
thunderbi 3470 hpmkj 97u IPv4 59542 0t0 TCP 192.168.2.57:46452->193.17.41.30:imaps (ESTABLISHED)
thunderbi 3470 hpmkj 115u IPv4 56532 0t0 TCP 192.168.2.57:37904->64.233.166.108:imaps (ESTABLISHED)
thunderbi 3470 hpmkj 116u IPv4 53012 0t0 TCP 192.168.2.57:46398->193.17.41.30:imaps (ESTABLISHED)
thunderbi 3470 hpmkj 118u IPv4 58378 0t0 TCP 192.168.2.57:46402->193.17.41.30:imaps (ESTABLISHED)
thunderbi 3470 hpmkj 121u IPv4 58380 0t0 TCP 192.168.2.57:46404->193.17.41.30:imaps (ESTABLISHED)
thunderbi 3470 hpmkj 122u IPv4 57523 0t0 TCP 192.168.2.57:46406->193.17.41.30:imaps (ESTABLISHED)
thunderbi 3470 hpmkj 124u IPv4 57524 0t0 TCP 192.168.2.57:46408->193.17.41.30:imaps (ESTABLISHED)
thunderbi 3470 hpmkj 130u IPv4 54579 0t0 TCP 192.168.2.57:46414->193.17.41.30:imaps (ESTABLISHED)
thunderbi 3470 hpmkj 133u IPv4 55364 0t0 TCP 192.168.2.57:46416->193.17.41.30:imaps (ESTABLISHED)
thunderbi 3470 hpmkj 143u IPv4 53942 0t0 TCP 192.168.2.57:46420->193.17.41.30:imaps (ESTABLISHED)
thunderbi 3470 hpmkj 145u IPv4 56575 0t0 TCP 192.168.2.57:46424->193.17.41.30:imaps (ESTABLISHED)
thunderbi 3470 hpmkj 146u IPv4 56584 0t0 TCP 192.168.2.57:46426->193.17.41.30:imaps (ESTABLISHED)
thunderbi 3470 hpmkj 148u IPv4 55396 0t0 TCP 192.168.2.57:37944->64.233.166.108:imaps (ESTABLISHED)
thunderbi 3470 hpmkj 149u IPv4 56597 0t0 TCP 192.168.2.57:57636->74.208.5.13:imaps (ESTABLISHED)
thunderbi 3470 hpmkj 150u IPv4 53967 0t0 TCP 192.168.2.57:37946->64.233.166.108:imaps (ESTABLISH

Re: Jak sprawdzić czy ktoś mnie nie zhakował [SOLVED]

: 23 kwie 2020, 17:41
autor: jacekalex
Wygląda normalnie.
Dla porównania u mnie:

Kod: Zaznacz cały

# root ~> lsof -i -n  |egrep 'thunderb|firefox|pidgin'
pidgin     2560     pacjent   17u  IPv4 3715102      0t0  TCP 192.168.1.10:59422->208.68.163.218:xmpp-client (ESTABLISHED)
pidgin     2560     pacjent   22u  IPv4 3712718      0t0  TCP 192.168.1.10:44620->192.168.1.1:xmpp-client (ESTABLISHED)
pidgin     2560     pacjent   24u  IPv4 3712719      0t0  TCP 192.168.1.10:44622->192.168.1.1:xmpp-client (ESTABLISHED)
pidgin     2560     pacjent   26u  IPv4 3712720      0t0  TCP 192.168.1.10:44624->192.168.1.1:xmpp-client (ESTABLISHED)
thunderbi 12789     pacjent   71u  IPv4 3667707      0t0  TCP 127.0.0.1:47534->127.0.0.1:imaps (ESTABLISHED)
thunderbi 12789     pacjent   80u  IPv4 3670115      0t0  TCP 127.0.0.1:47536->127.0.0.1:imaps (ESTABLISHED)
thunderbi 12789     pacjent   81u  IPv4 3670116      0t0  TCP 127.0.0.1:47538->127.0.0.1:imaps (ESTABLISHED)
thunderbi 12789     pacjent   85u  IPv4 3670117      0t0  TCP 127.0.0.1:47540->127.0.0.1:imaps (ESTABLISHED)
thunderbi 12789     pacjent   88u  IPv4 3670118      0t0  TCP 127.0.0.1:47542->127.0.0.1:imaps (ESTABLISHED)
thunderbi 12789     pacjent   92u  IPv4 3670119      0t0  TCP 127.0.0.1:47544->127.0.0.1:imaps (ESTABLISHED)
thunderbi 12789     pacjent   94u  IPv4 3670120      0t0  TCP 127.0.0.1:47546->127.0.0.1:imaps (ESTABLISHED)
thunderbi 12789     pacjent   98u  IPv4 3670121      0t0  TCP 127.0.0.1:47548->127.0.0.1:imaps (ESTABLISHED)
thunderbi 12789     pacjent  100u  IPv4 3775483      0t0  TCP 127.0.0.1:47902->127.0.0.1:imaps (ESTABLISHED)
thunderbi 12789     pacjent  101u  IPv4 3776060      0t0  TCP 127.0.0.1:47900->127.0.0.1:imaps (ESTABLISHED)
thunderbi 12789     pacjent  103u  IPv4 3776902      0t0  TCP 127.0.0.1:47904->127.0.0.1:imaps (ESTABLISHED)
thunderbi 12789     pacjent  105u  IPv4 3776906      0t0  TCP 127.0.0.1:47906->127.0.0.1:imaps (ESTABLISHED)
thunderbi 12789     pacjent  106u  IPv4 3777784      0t0  TCP 127.0.0.1:47908->127.0.0.1:imaps (ESTABLISHED)
firefox   17764     pacjent   96u  IPv4 3800528      0t0  TCP 192.168.1.10:51764->104.18.19.88:https (ESTABLISHED)
firefox   17764     pacjent  159u  IPv4 3667856      0t0  TCP 192.168.1.10:60028->52.33.116.145:https (ESTABLISHED)
firefox   17764     pacjent  161u  IPv4 3809098      0t0  TCP 192.168.1.10:57844->185.238.74.116:https (ESTABLISHED)
firefox   17764     pacjent  166u  IPv4 3781682      0t0  TCP 192.168.1.10:35786->52.45.85.77:https (ESTABLISHED)
firefox   17764     pacjent  173u  IPv4 3810451      0t0  TCP 192.168.1.10:57846->185.238.74.116:https (ESTABLISHED)
firefox   17764     pacjent  177u  IPv4 3810452      0t0  TCP 192.168.1.10:57848->185.238.74.116:https (ESTABLISHED)
firefox   17764     pacjent  178u  IPv4 3810453      0t0  TCP 192.168.1.10:57850->185.238.74.116:https (ESTABLISHED)
firefox   17764     pacjent  181u  IPv4 3810454      0t0  TCP 192.168.1.10:57852->185.238.74.116:https (ESTABLISHED)
firefox   17764     pacjent  182u  IPv4 3809117      0t0  TCP 192.168.1.10:57854->185.238.74.116:https (ESTABLISHED)
Pozdro
:craz:

Re: Jak sprawdzić czy ktoś mnie nie zhakował [SOLVED]

: 23 kwie 2020, 19:49
autor: Willow
Dzięki za informację. Na co zwracać uwagę w takim spisie. Co należy uznać za podejrzane?
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl