Как посмотреть, кто подключился к компьютеру
Узнай, кто подключился к твоему компьютеру. Каждый компьютер в сети постоянно подвергается сканированию на открытые порты. Делается это не из-за озорства, а по вполне прагматичным причинам — заработать. Дело в том, что сканирование позволяет найти уязвимые компьютеры, а из уязвимых компьютеров злоумышленники легко собирают ботнеты и потом зарабатывают на них, предлагая услуги DDoS-атак. Как не стать частью ботнета?
Первое, что следует отметить, лучшая защита — полное перекрытие всех входящих соединений с помощью файервола. На сервере такое невозможно, а вот на домашнем компьютере запросто. Тем более, что на каждом компьютере с Linux уже установлен файервол, причем один из самых мощных — iptables. С его помощью можно всего в пару строк запретить все входящие и разрешить все исходящие соединения. Дополнительную информацию о фортификации своего компьютера с помощью iptables можно найти здесь.
Но допустим, что вы один из тех беспечных пользователей гламурных дистрибутивов типа Ubuntu, которые сразу же после установки бегут любоваться «красотами» Unity, забыв отключить «светящие» портами в интернет сервисы? Как посмотреть список этих портов? Очень просто. Даже ничего не придется устанавливать. Напишите в терминале:
netstat -a -l -t -n
Смотрите в колонке Local Addresses. Обратите внимание и на адрес: 127.0.0.1 означает, что к открытому порту могут подсоединиться только локальные пользователи, когда как 0.0.0.0 означает, что в гости приглашается весь интернет.
Другая интересная колонка — Foreign Addresses. В ней показаны IP-адреса уже подключившихся к вашему компьютеру пользователей (и адреса тех, к кому подключились вы). В терминале можно набрать whois [ip] и посмотреть информацию об адресе. Как правило, атакующие используют сервера за границей, публичные хостинги, VPN-сервисы и т.д. Все это легко можно увидеть через whois.
Теперь возникает вопрос, а что же делать?
Как защитить свой компьютер от взлома
- Отключите все неиспользуемые сервисы.
- Для тех сервисов, которые отключить нельзя, рассмотрите возможность перевода их на работу на внутреннем сетевом интерфейсе. Например, MySQL, запущенный на 127.0.0.1 вполне безопасен, а тот же MySQL на 0.0.0.0 уже представляет потенциальную угрозу.
- Составьте правила для iptables. Политика должны быть такая: сначала запретить всё, а потом разрешить лишь то, что минимально необходимо для работы в сети.
- sshd перенесите со стандартного порта № 22 на любой другой. Параноики могут дополнительно защитить sshd с помощью knockd.
- Поставьте софт, периодически проверяющий системные файлы на модификацию.
- Шифруйте и архивируйте всю важную информацию. Не удаляйте сразу же старый архив при создании нового.
Комментарии
melcomtec
6 мая, 2015 - 18:04
O_o У меня не было порнографии. Честно! :)
И этот страшный порт у меня закрыт (я параноик).
P.S. Только что всё со страху проверил и прошерстил своими сценариями (благо давно уже написал). Напугал ты меня :) Всё закрыто и зарыто.
melcomtec
6 мая, 2015 - 18:09
Да! У меня к тебе просьба, друг!
Дай свой бесценный рецепт (правда нужен, без иронии).
Друг! Как закольцевать SAMBA на локальные адреса? (Я ей уже давненько не пользуюсь, а тут стоит и ... жалко сносить. Думаю: закольцевать её на "локалку" и пусть висит на всякий случай. Руки дойдут — настрою как положено). А то она у меня
pomodor
6 мая, 2015 - 21:47
Значение переменной interfaces в секции global
Чингачгук
6 мая, 2015 - 19:35
В 1-ой колонке IP-адрес роутера, а во 2-ой колонке IP-адреса поисковых ботов mail.ru , yandex.ru , rambler.ru. google.com — это нормально?
pomodor
6 мая, 2015 - 19:44
Не очень. В Local addresses должно быть либо 127.0.0.1, либо 0.0.0.0, либо адрес компьютера в локальной сети (например, 192.168.1.100). Адрес роутера не может быть локальным.
Или у вас роутер в виде отдельного компа, на котором вы всё это и проверяете?
Чингачгук
7 мая, 2015 - 17:16
Адрес локальной сети роутера(оптоволоконного провайдера) 192.168.102:порт
Texnoline
27 марта, 2020 - 10:59
Зацепило, вот это определение: "...оптоволоконного провайдера", блин улыбнуло:)
Значит есть, коаксиальные и радиоволновые провайдеры?;)
Чингачгук
7 мая, 2015 - 09:57
Спасибо за статью! Очень полезно и доступно написано.
Чингачгук
8 мая, 2015 - 18:28
У меня firefox открывает какие-то странные порты :(
sudo netstat -a -l -t -n -p
tcp 0 0 192.168.1.11:40294 52.24.42.141:443 ESTABLISHED 1947/firefox
tcp 0 0 192.168.1.11:43272 54.68.254.181:80 ESTABLISHED 1947/firefox
tcp 32 0 192.168.1.11:58220 77.238.163.222:443 CLOSE_WAIT 9541/liferea
tcp 0 0 192.168.1.11:53129 54.68.254.181:443 ESTABLISHED 1947/firefox
pomodor
8 мая, 2015 - 18:54
И что в них странного? Обычные исходящие сессии HTTP и HTTPS.
pomodor
8 мая, 2015 - 18:56
Кстати, это Амазон. Убука что ли установлена?
Кк
25 марта, 2020 - 07:58
Название статьи - как посмотреть кто подключился к кому. Ну и как посмотреть? В статье не говорится.
comrade
25 марта, 2020 - 08:54
«...Другая интересная колонка — Foreign Addresses. В ней показаны IP-адреса уже подключившихся к вашему компьютеру пользователей (и адреса тех, к кому подключились вы). В терминале можно набрать whois [ip] и посмотреть информацию об адресе. Как правило, атакующие используют сервера за границей, публичные хостинги, VPN-сервисы и т.д. Все это легко можно увидеть через whois.»
Texnoline
27 марта, 2020 - 10:50
Ну узнает он и что - это ему даст-то!?, если к его машинке "законнектились" успешно, то инцидент прошел успешно и надо было еще "вчера думать":)
Комментировать