Pular para o conteúdo
Helps e dicas para usuários iniciantes em Introdução ao Linux

Meu computador foi invadido? [RESOLVIDO]

Responder tópico
  • Denunciar
  • Indicar
01 02

1. Meu computador foi invadido? [RESOLVIDO]

Enviado em 24/07/2016 - 22:04h

Eu estava vendo um tópico aqui do VOL sobre segurança digital e um membro sugeriu que fosse dado o comando netstat para se certificar de que não existia nenhum backdoor no seu computador. Ele disse que era para você fechar o seu navegador e todos os aplicativos que tinham acesso a internet e assim eu procedi. Contudo, ao dar o comando, várias redes foram listadas.

O meu sistema foi invadido? '-'

Responder tópico

2. Re: Meu computador foi invadido? [RESOLVIDO]

Melhor resposta

Enviado em 25/07/2016 - 01:06h

homemsemnome escreveu
(........)
rpcbind eu desinstalei, não uso
service portmap stop && apt-get remove --purge rpcbind
Como previsto o cups deve estar rodando pois se não me engano ele usa a porta 631:
service cups stop
Agora a porta 25 eu acho que deve ser algum servidor de e-mail ou coisa do gênero vamos esperar os colegas que manjam mais do que eu, digite os comandos acima e rode o nmap novamente.

----------------------------------------------------------
Debiano com uma pitada de slack
----------------------------------------------------------

3. Re: Meu computador foi invadido? [RESOLVIDO]

Enviado em 25/07/2016 - 00:12h

-vc tem algum firewall ativado ??

4. Re: Meu computador foi invadido? [RESOLVIDO]

Enviado em 25/07/2016 - 00:25h

É difícil dizer daqui, mas ao que parece você tem alguns endereços na escuta, você tem algum servidor na rede? Olha o status dos serviços ativos! Com o nmap visualize portas as portas e veja qual serviço está a usá-la.



----------------------------------------------------------
Debiano com uma pitada de slack
----------------------------------------------------------

5. Re: Meu computador foi invadido? [RESOLVIDO]

Enviado em 25/07/2016 - 00:30h

clodoaldops escreveu:

-vc tem algum firewall ativado ??
Sim, o UFW. E não estou conectado a nenhum servidor.

6. Re: Meu computador foi invadido? [RESOLVIDO]

Enviado em 25/07/2016 - 00:43h

As vezes não é questão de estar conectado e sim questão de ter um servidor na máquina escutando conexões, ex: servidores de impressão. Veja a saída do nmap:
root@localhost:~# nmap 127.0.0.1



Starting Nmap 7.12 ( https://nmap.org ) at 2016-07-24 23:40 AMT

Nmap scan report for localhost (127.0.0.1)

Host is up (0.0000080s latency).

All 1000 scanned ports on localhost (127.0.0.1) are closed



Nmap done: 1 IP address (1 host up) scanned in 0.17 seconds
E veja se na sua máquina tem alguma porta aberta de bobeira.

----------------------------------------------------------
Debiano com uma pitada de slack
----------------------------------------------------------

7. Re: Meu computador foi invadido? [RESOLVIDO]

Enviado em 25/07/2016 - 00:50h

ctw6av escreveu:

----------------------------------------------------------
Debiano com uma pitada de slack
---------------------------------------------------------- 
root@debian:/home/homem# nmap 127.0.0.1



Starting Nmap 6.47 ( http://nmap.org ) at 2016-07-25 00:48 BRT

Nmap scan report for localhost (127.0.0.1)

Host is up (0.000075s latency).

Not shown: 997 closed ports

PORT    STATE SERVICE

25/tcp  open  smtp

111/tcp open  rpcbind

631/tcp open  ipp



Nmap done: 1 IP address (1 host up) scanned in 16.64 seconds

root@debian:/home/homem#
Como eu posso checar as demais portas? Não entendo nada de redes. =\

8. Re: Meu computador foi invadido?

Enviado em 25/07/2016 - 01:08h

kkkkkkk.

Verifique qual é o IP ao qual seu computador está conectado, com um "whois".

Edit:

Não tem nenhum vírus, olhei a print agora, isso que aparece são serviços ativos.

9. Re: Meu computador foi invadido? [RESOLVIDO]

Enviado em 25/07/2016 - 01:17h

ctw6av escreveu:

----------------------------------------------------------
Debiano com uma pitada de slack
---------------------------------------------------------- 
root@debian:/home/homem# service portmap stop

Failed to stop portmap.service: Unit portmap.service not loaded.

root@debian:/home/homem# service cups stop

Warning: Stopping cups.service, but it can still be activated by:

  cups.path

root@debian:/home/homem#
Eu tentei dar o whois mas tudo o que ele fez foi abrir um manual. E não, isso não tem graça colega. Eu vivo sendo ameaçado de ser hackeado na internet e sou paranoico ainda por cima.

http://i3.mirror.co.uk/incoming/article7688045.ece/ALTERNATES/s1200/Man-having-a-heart-attack.jpg

10. Re: Meu computador foi invadido?

Enviado em 25/07/2016 - 01:19h

Relaxa jovem... a saída do nmap e do netstat mudou?

EDIT: Naõ mudou por que o rpcbind não foi desinstalado graças ao && mas desinstale-o e irá mudar.

----------------------------------------------------------
Debiano com uma pitada de slack
----------------------------------------------------------

11. Re: Meu computador foi invadido? [RESOLVIDO]

Enviado em 25/07/2016 - 01:33h

ctw6av escreveu:

----------------------------------------------------------
Debiano com uma pitada de slack
----------------------------------------------------------
Eu tornei a fechar o navegador e todos os aplicativos antes de dar os comandos e também censurei-os porque eu não sei se é seguro postar esses números aqui.

root@debian:/home/homem# nmap 127.0.0.1



Starting Nmap 6.47 ( http://nmap.org ) at 2016-07-25 01:27 BRT

Nmap scan report for localhost (127.0.0.1)

Host is up (0.00011s latency).

Not shown: 998 closed ports

PORT    STATE SERVICE

25/tcp  open  smtp

111/tcp open  rpcbind



Nmap done: 1 IP address (1 host up) scanned in 2.91 seconds

root@debian:/home/homem#  
root@debian:/home/homem# netstat -t -na

Conex�es Internet Ativas (servidores e estabelecidas)

Proto Recv-Q Send-Q Endere�o Local          Endere�o Remoto         Estado     

tcp        0      0 17.0.0.:            0.0.0.0:*               OU�A       

tcp        0      0 0.0.0.0:          0.0.0.0:*               OU�A       

tcp        0      0 0.0.0.0:1             0.0.0.0:*               OU�A       

tcp6       0      0 ::1:                  :::*                    OU�A       

tcp6       0      0 :::1                  :::*                    OU�A       

tcp6       0      0 :::51                :::*                    OU�A       

tcp6       1      0 ::1:19               ::1:631                 ESPERANDO_FECHAR

root@debian:/home/homem#
Ah, e eu posso desinstalar o lance aí de boa como você sugeriu? Não fiz isso com medo de dar BO depois. Eu não saberia corrigir esse erro.

12. Re: Meu computador foi invadido? [RESOLVIDO]

Enviado em 25/07/2016 - 01:41h

Eu desinstalei e não tive problema nenhum (não sei você), ele tem haver com servidor dns, nfs compartilhamento e etc...



----------------------------------------------------------
Debiano com uma pitada de slack
----------------------------------------------------------
01 02

Responder tópico

Responder tópico

Entre na sua conta para responder.

Fazer login para responder