Как посмотреть, кто подключился к компьютеру
Узнай, кто подключился к твоему компьютеру. Каждый компьютер в сети постоянно подвергается сканированию на открытые порты. Делается это не из-за озорства, а по вполне прагматичным причинам — заработать. Дело в том, что сканирование позволяет найти уязвимые компьютеры, а из уязвимых компьютеров злоумышленники легко собирают ботнеты и потом зарабатывают на них, предлагая услуги DDoS-атак. Как не стать частью ботнета?
Первое, что следует отметить, лучшая защита — полное перекрытие всех входящих соединений с помощью файервола. На сервере такое невозможно, а вот на домашнем компьютере запросто. Тем более, что на каждом компьютере с Linux уже установлен файервол, причем один из самых мощных — iptables. С его помощью можно всего в пару строк запретить все входящие и разрешить все исходящие соединения. Дополнительную информацию о фортификации своего компьютера с помощью iptables можно найти здесь.
Но допустим, что вы один из тех беспечных пользователей гламурных дистрибутивов типа Ubuntu, которые сразу же после установки бегут любоваться «красотами» Unity, забыв отключить «светящие» портами в интернет сервисы? Как посмотреть список этих портов? Очень просто. Даже ничего не придется устанавливать. Напишите в терминале:
netstat -a -l -t -n
Смотрите в колонке Local Addresses. Обратите внимание и на адрес: 127.0.0.1 означает, что к открытому порту могут подсоединиться только локальные пользователи, когда как 0.0.0.0 означает, что в гости приглашается весь интернет.
Другая интересная колонка — Foreign Addresses. В ней показаны IP-адреса уже подключившихся к вашему компьютеру пользователей (и адреса тех, к кому подключились вы). В терминале можно набрать whois [ip] и посмотреть информацию об адресе. Как правило, атакующие используют сервера за границей, публичные хостинги, VPN-сервисы и т.д. Все это легко можно увидеть через whois.
Теперь возникает вопрос, а что же делать?
Как защитить свой компьютер от взлома
- Отключите все неиспользуемые сервисы.
- Для тех сервисов, которые отключить нельзя, рассмотрите возможность перевода их на работу на внутреннем сетевом интерфейсе. Например, MySQL, запущенный на 127.0.0.1 вполне безопасен, а тот же MySQL на 0.0.0.0 уже представляет потенциальную угрозу.
- Составьте правила для iptables. Политика должны быть такая: сначала запретить всё, а потом разрешить лишь то, что минимально необходимо для работы в сети.
- sshd перенесите со стандартного порта № 22 на любой другой. Параноики могут дополнительно защитить sshd с помощью knockd.
- Поставьте софт, периодически проверяющий системные файлы на модификацию.
- Шифруйте и архивируйте всю важную информацию. Не удаляйте сразу же старый архив при создании нового.
Комментарии
melcomtec
06.05.2015 в 18:04
O_o У меня не было порнографии. Честно! :)
И этот страшный порт у меня закрыт (я параноик).
P.S. Только что всё со страху проверил и прошерстил своими сценариями (благо давно уже написал). Напугал ты меня :) Всё закрыто и зарыто.
melcomtec
06.05.2015 в 18:09
Да! У меня к тебе просьба, друг!
Дай свой бесценный рецепт (правда нужен, без иронии).
Друг! Как закольцевать SAMBA на локальные адреса? (Я ей уже давненько не пользуюсь, а тут стоит и ... жалко сносить. Думаю: закольцевать её на "локалку" и пусть висит на всякий случай. Руки дойдут — настрою как положено). А то она у меня
pomodor
06.05.2015 в 21:47
Значение переменной interfaces в секции global
Чингачгук
06.05.2015 в 19:35
В 1-ой колонке IP-адрес роутера, а во 2-ой колонке IP-адреса поисковых ботов mail.ru , yandex.ru , rambler.ru. google.com — это нормально?
pomodor
06.05.2015 в 19:44
Не очень. В Local addresses должно быть либо 127.0.0.1, либо 0.0.0.0, либо адрес компьютера в локальной сети (например, 192.168.1.100). Адрес роутера не может быть локальным.
Или у вас роутер в виде отдельного компа, на котором вы всё это и проверяете?
Чингачгук
07.05.2015 в 17:16
Адрес локальной сети роутера(оптоволоконного провайдера) 192.168.102:порт
Texnoline
27.03.2020 в 10:59
Зацепило, вот это определение: "...оптоволоконного провайдера", блин улыбнуло:)
Значит есть, коаксиальные и радиоволновые провайдеры?;)
Чингачгук
07.05.2015 в 09:57
Спасибо за статью! Очень полезно и доступно написано.
Чингачгук
08.05.2015 в 18:28
У меня firefox открывает какие-то странные порты :(
sudo netstat -a -l -t -n -p
tcp 0 0 192.168.1.11:40294 52.24.42.141:443 ESTABLISHED 1947/firefox
tcp 0 0 192.168.1.11:43272 54.68.254.181:80 ESTABLISHED 1947/firefox
tcp 32 0 192.168.1.11:58220 77.238.163.222:443 CLOSE_WAIT 9541/liferea
tcp 0 0 192.168.1.11:53129 54.68.254.181:443 ESTABLISHED 1947/firefox
pomodor
08.05.2015 в 18:54
И что в них странного? Обычные исходящие сессии HTTP и HTTPS.
pomodor
08.05.2015 в 18:56
Кстати, это Амазон. Убука что ли установлена?
Кк
25.03.2020 в 07:58
Название статьи - как посмотреть кто подключился к кому. Ну и как посмотреть? В статье не говорится.
comrade
25.03.2020 в 08:54
«...Другая интересная колонка — Foreign Addresses. В ней показаны IP-адреса уже подключившихся к вашему компьютеру пользователей (и адреса тех, к кому подключились вы). В терминале можно набрать whois [ip] и посмотреть информацию об адресе. Как правило, атакующие используют сервера за границей, публичные хостинги, VPN-сервисы и т.д. Все это легко можно увидеть через whois.»
Texnoline
27.03.2020 в 10:50
Ну узнает он и что - это ему даст-то!?, если к его машинке "законнектились" успешно, то инцидент прошел успешно и надо было еще "вчера думать":)
Комментировать