היי, עקב איטיות במחשב ובפרט בגלישה באינטרנט אני בוחן את התעבורת רשת במחשב שלי, חוץ מהתליכים שאני מזהה יש לי מלא דברים כאלו(בד"כ זה יותר, זה כל הזמן יורד ועולה)







אין לי מושג מה זה החיבורים האלו, הכתובת השמאלית היא כתובת פנימית שמובילה ל APACHE אצלי במחשב. (החיבורים בד"כ מתחברים ל 80/443/3306)


ניסיתי לחסום תקשורת פנימה ע"י

קוד:

ufw default deny incoming

וגם חסמתי את 443 ספציפית
אבל זה לא נראה עוזר, האם אני עושה משהו לא תקין? האם זה מצב תקין?

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

שלושת הראשונים הם הענן של אמאזון
הרביעי גוגל

מה עובר שם קשה לדעת כי זה פורט מוצפן, אבל אם תקליט את התעבורה עם tcpdump ואם לא משתמשים ב ESNI, אתה תוכל לדעת לאיזה הוסט הלקוחות ניסו להתחבר על ידי עיון בתחלופת ה SNI בתוך TLS

כמו כן, netstat -ptn (כשהוא רץ בתור המשתמש root) יגיד לך איזו תוכנה פתחה את החיבורים. זו דרך הרבה יותר הגיונית להסתכל עליהם מאשר באמצעות תוכנה שמטרתה לבדוק מה מבזבז לך רוחב פס

לגבי anydesk מדובר על תוכנה לשליטה מרחוק במחשב

פורט 3306 זהו הפורט של MySQL (כיום MariaDB)

נמאס לכם לזכור סיסמאות? לחצו כאן!

תודה שימי.


ראשית מה שהיה נראה לי חשוד זה שזה נראה כמו חיבורים נכנסים ולא יוצאים ולכן חשדתי שמישהו מתקיף את המחשב שלי ולכן ניסיתי לחסום עם ufw. [גם מחיפוש בגוגל על פלט של nethogs נראה יותר ששורות כאלו שייכות לשרתים ולא למחשבים אישיים] אני מבין שאתה לא מבין ככה?



שנית אני אבדוק בעוד כמה רגעים אם אפשר לראות מה ההוסט שזה פונה אליו, בנתיים עשיתי reverse dns lookup על התמונה מתחת: והתוצאה היא: edge-star-shv-01-frx5.facebook.com, החמישי בתמונה שפתחתי איתה את האשכול הוא: ber01s14-in- 14.1e100.net והרביעי הוא: server-13-227-170-34.lhr52.r.cloudfront.net עשיתי WHOIS והם באמת של גוגל ואמזון מה שגורם לי לחשוד שזה אולי באמת חיבורים יוצאים כי סביר להניח [או שלא סביר?] שהחברות האלו לא מנסות להתחבר אליי למחשב אלא משהו אצלי מתחבר אליהן.





לגבי netstat, אני לא רואה שם תוכנות לא רצויות למעט שתי שורות חשודות בעיניי שאין להן ציון לתוכנה שפתחה אותן וגם הSTATE שלהן הוא TIME_WAIT להלן שורה לדוגמא:






גם ב nethogs וגם ב netstat אין PID או PROGRAM NAME ומחיפוש בגוגל נראה [לפחות לגבי NETHOGS] שהתקשורת לא מזוהה אז זה מוגדר ככה וגם לא מופיעה התעבורה האמיתית של החיבור הזה [מה שיכול להיות שעובר שם הרבה דאטא ואני לא רואה את זה]



מה שעוד מחשיד אא"כ יש לך הסבר זה שגם יש פורט 3306, סביר להניח שאף תוכנה אליי במחשב לא פונה לשרת SQL מרוחק כי לא פונים לשרת SQL בצד לקוח [ברובא דרובא של המקרים]

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

מה גרם לך לחשוב שהם נכנסים? יש לך שרתים שמאזינים לפורטים כמו 42166? הרצת סניפר וראית שהפאקט הראשון הגיע מהצד של האינטרנט ולא מהצד שלך, והיה מופעל בו דגל SYN?

TIME_WAIT הוא חיבור שכבר נסגר ורק עוד לא נוקה (קרא על ה TCP State Machine כדי להבין מה זה). כיוון שהוא חיבור שכבר נסגר, הוא לא שייך לאף תוכנה ולכן אף תוכנה לא תוצג. רק חיבורים פעילים (ESTABLISHED) יציגו "בעלים"...

לגבי 3306, לא מופיע בצילום המסך שלך. במקרה היה כתוב 127.0.0.1 בכתובת? (שזה חיבור מעצמך לעצמך) - בכלל, MySQL/MariaDB, בקונפיגורציית ברירת המחדל, כלל לא פתוח לחיבורים מחוץ.

נמאס לכם לזכור סיסמאות? לחצו כאן!

תאמת שחיפשתי בגוגל כדי להבין מה זה הפלט הזה שאני רואה ופשוט ראיתי דוגמאות משרתים שנראות ככה לכן חשבתי [ כמו שציינתי לעיל], בכל מקרה לא הרצתי סניפר, האם רלוונטי להריץ או שבטוח ב 100% שאלו חיבורים יוצאים?


אוקיי, אז לפי netstat אין לי חיבורים יוצאים פעילים מה שכןיש מצב שלא הצלחתי לתפוס אותם בנקודה שהם עושים את מה עושים ולכן לא ראיתי אותם פעילים.


לא זוכר מה הייתה הכתובה הפנימית אבדוק אם זה יופיע שוב.


אציין[שכחתי מקודם] שהיה לי דוקר רץ על המחשב ואחרי שסגרתי את כל ה containers אני רואה רגיעה ב nethogs אבל לא ב netstat[ששם בכל הפעמים שהרצתי ראיתי את החיבור ה"חשוד".


אין לי הסבר למה המחשב שלי מתקשר עם דומיינים כאלו מוזרים, אני מניח שיש לי תוכנה מסויימת על המחשב שגורמת לזה וזה לא טוב, האם יש לי ברירה חוץ מלפרמט?

בכל מקרה, התקשורת הזו

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

אחרי חיפוש בגוגל אחר אחד הדומיינים מצאתי את התשובה הזו: https://superuser.com/questions/758...orts-open-to-it
נראה שזה דומיין ששייך לכלי מעקב של גוגל, מניח שהשאר (לפחות של פייסבוק כי אף אחד אחר לא יפתח שם SUB DOMAIN)


בכל מקרה, אני חווה איטיות נוראה הרבה פעמים בפיירפוקס ובתמיכה שלהם כתוב שאחת הסיבות היא שייתכן שאולי יש maleware על המחשב (סרקתי עם שתי אנטיוירוסים sophop ועוד אחד מאתר של המלצות) ולא מצאו כלום, יש לי ממה לחשוש ?

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

הדומיין 1e100.net של גוגל הוא מוכר, וגוגל אפילו מפרסמת את דבר קיומו באופן רשמי: https://support.google.com/faqs/answer/174717

שום דבר לא בטוח אף פעם, אבל בד"כ המחשב שלך יהיה מאחורי ראוטר ביתי, ואלא אם כן עשית הפניית פורטים מבחוץ (או הגדרת את ה IP של המחשב שלך בתור ה DMZ בראוטר), כלל לא אמורים להצליח להתחבר אליו מהאינטרנט, אלא רק מתוך הרשת הביתית.

ככלל, במערכת לינוקס מודרנית לא אמור להיות שום דבר בהאזנה כשמערכת היא כפי ש"יצאה מהיצרן". אני אומר במאמר מוסגר שהצבעים בצילומי המסך שלך מזכירים לי את הצבעים המזעזעים של אובונטו, ובהם אני תמיד חושד כי הם חושבים שהם חכמים יותר מכל העולם משום מה... בכל מקרה עדיין הראוטר הביתי הפשוט אמור להגן עלייך.

ככלל, שהפורטים 80/443 נמצאים בצד שאינו הצד שלך, סביר שזו גלישה רגילה באינטרנט או כל דבר שמשתמש ב API-ים סטנדרטיים

יש אנשים שמתבלבלים וחושבים ש docker זה דבר בטוח כמו מכונה וירטואלית (שגם היא לרוב לא בטוחה יותר מדי). הם טועים. בתלות במקום שממנו אתה משיג את הקונטיינרים שאתה מריץ, ייתכן שחלקם לא תמימים, היו דברים מעולם.

לפרמט? לא יודע, זה מושג שאני שומע בעיקר בעולם של "חלונות", לא של לינוקס. הרצה של אנטי וירוסים על לינוקס היא דבר מגוחך בעיני, אני מכיר רק בנאדם אחד שטוען שיש וירוסים בלינוקס, והוא עדיין לא הצליח להוכיח לי שיש באמת אחד כזה שלא דורש ממך להוריד אותו מהאינטרנט ולעשות לו chmod +x כדי להריץ אותו (ואז, בעיני, הוירוס הוא המשתמש, ולא הוירוס). בלינוקס תמצא אולי rootkit-ים וכיוצ"ב, אבל מטרתם איננה ממש להיות כמו וירוסים בחלונות, אלא סתם להסתיר את העובדה שהמחשב נפרץ. איך הוא נפרץ? או בשיטת הוירוס האנושי שהזכרתי לעיל, או כי נמצאו בעיות אבטחה במוצרים מסויימים, ולא טרחת לעדכן את מערכת ההפעלה (שבלינוקס מעדכנת את כל התוכנות שלך, ולא רק את אלה של היצרן כמו ב"חלונות" - כמובן בכפוף לזה שאתה עובד כמו שצריך ומשתמש במנהל החבילות...). בד"כ זה גם משלב את זה שאתה מריץ דברים בתור root למרות שביום יום אין שום סיבה לעבוד עם המשתמש הזה.

תשובה כללית לשאלה כללית...

אשר לאיטיות, אין לי מושג. אולי סתם יש לך המון תוספים בדפדפן והם חונקים לך אותו...

נמאס לכם לזכור סיסמאות? לחצו כאן!

אכן UBUNTU [אני דווקא אוהב את הצבע :O].


לגבי ה DOCKER ציינתי אותו כיוון שקראתי באינטרנט שהוא פותח פורטים ב IPTABLES ועוקף את UFW, אבל אדע להיזהר מאיפה אני מוריד קונטיינרים להבא.


תראה, בד"כ אני תמיד מעדכן גם קופצת הודעה של המערכת וזה ממש קליל, אני לא זוכר שאני עושה משהו בתור ROOT לפחות לא באופן קבע, מה שכן אני חושד זה שאולי תוכנה שהורדתי לא מה PACKAGE MANGAER עושה את הצרות.


בכל מקרה, תודה על המענה :}

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו