Как посмотреть, кто подключился к компьютеру

Узнай, кто подключился к твоему компьютеру. Каждый компьютер в сети постоянно подвергается сканированию на открытые порты. Делается это не из-за озорства, а по вполне прагматичным причинам — заработать. Дело в том, что сканирование позволяет найти уязвимые компьютеры, а из уязвимых компьютеров злоумышленники легко собирают ботнеты и потом зарабатывают на них, предлагая услуги DDoS-атак. Как не стать частью ботнета?

Вирусы в Linux

Первое, что следует отметить, лучшая защита — полное перекрытие всех входящих соединений с помощью файервола. На сервере такое невозможно, а вот на домашнем компьютере запросто. Тем более, что на каждом компьютере с Linux уже установлен файервол, причем один из самых мощных — iptables. С его помощью можно всего в пару строк запретить все входящие и разрешить все исходящие соединения. Дополнительную информацию о фортификации своего компьютера с помощью iptables можно найти здесь.

Но допустим, что вы один из тех беспечных пользователей гламурных дистрибутивов типа Ubuntu, которые сразу же после установки бегут любоваться «красотами» Unity, забыв отключить «светящие» портами в интернет сервисы? Как посмотреть список этих портов? Очень просто. Даже ничего не придется устанавливать. Напишите в терминале:

netstat -a -l -t -n

Смотрите в колонке Local Addresses. Обратите внимание и на адрес: 127.0.0.1 означает, что к открытому порту могут подсоединиться только локальные пользователи, когда как 0.0.0.0 означает, что в гости приглашается весь интернет.

Другая интересная колонка — Foreign Addresses. В ней показаны IP-адреса уже подключившихся к вашему компьютеру пользователей (и адреса тех, к кому подключились вы). В терминале можно набрать whois [ip] и посмотреть информацию об адресе. Как правило, атакующие используют сервера за границей, публичные хостинги, VPN-сервисы и т.д. Все это легко можно увидеть через whois.

Теперь возникает вопрос, а что же делать?

Как защитить свой компьютер от взлома

  • Отключите все неиспользуемые сервисы.
  • Для тех сервисов, которые отключить нельзя, рассмотрите возможность перевода их на работу на внутреннем сетевом интерфейсе. Например, MySQL, запущенный на 127.0.0.1 вполне безопасен, а тот же MySQL на 0.0.0.0 уже представляет потенциальную угрозу.
  • Составьте правила для iptables. Политика должны быть такая: сначала запретить всё, а потом разрешить лишь то, что минимально необходимо для работы в сети.
  • sshd перенесите со стандартного порта № 22 на любой другой. Параноики могут дополнительно защитить sshd с помощью knockd.
  • Поставьте софт, периодически проверяющий системные файлы на модификацию.
  • Шифруйте и архивируйте всю важную информацию. Не удаляйте сразу же старый архив при создании нового.

Комментарии

Новость с пометкой «молния»: Каккеры украли у пользователя melcomtec уникальную коллекцию порнографии. А все из-за открытого порта 51923!

O_o У меня не было порнографии. Честно! :)

И этот страшный порт у меня закрыт (я параноик).

P.S. Только что всё со страху проверил и прошерстил своими сценариями (благо давно уже написал). Напугал ты меня :) Всё закрыто и зарыто.

Да! У меня к тебе просьба, друг!

Дай свой бесценный рецепт (правда нужен, без иронии).

Друг! Как закольцевать SAMBA на локальные адреса? (Я ей уже давненько не пользуюсь, а тут стоит и ... жалко сносить. Думаю: закольцевать её на "локалку" и пусть висит на всякий случай. Руки дойдут — настрою как положено). А то она у меня

в гости приглашает весь интернет

Значение переменной interfaces в секции global

В 1-ой колонке IP-адрес роутера, а во 2-ой колонке IP-адреса поисковых ботов mail.ru , yandex.ru , rambler.ru. google.com — это нормально?

Не очень. В Local addresses должно быть либо 127.0.0.1, либо 0.0.0.0, либо адрес компьютера в локальной сети (например, 192.168.1.100). Адрес роутера не может быть локальным.

Или у вас роутер в виде отдельного компа, на котором вы всё это и проверяете?

Адрес локальной сети роутера(оптоволоконного провайдера) 192.168.102:порт

Зацепило, вот это определение: "...оптоволоконного провайдера", блин улыбнуло:)
Значит есть, коаксиальные и радиоволновые провайдеры?;)

Спасибо за статью! Очень полезно и доступно написано.

У меня firefox открывает какие-то странные порты :(

sudo netstat -a -l -t -n -p

tcp 0 0 192.168.1.11:40294 52.24.42.141:443 ESTABLISHED 1947/firefox
tcp 0 0 192.168.1.11:43272 54.68.254.181:80 ESTABLISHED 1947/firefox
tcp 32 0 192.168.1.11:58220 77.238.163.222:443 CLOSE_WAIT 9541/liferea
tcp 0 0 192.168.1.11:53129 54.68.254.181:443 ESTABLISHED 1947/firefox

И что в них странного? Обычные исходящие сессии HTTP и HTTPS.

Кстати, это Амазон. Убука что ли установлена?

Название статьи - как посмотреть кто подключился к кому. Ну и как посмотреть? В статье не говорится.

comrade аватар

«...Другая интересная колонка — Foreign Addresses. В ней показаны IP-адреса уже подключившихся к вашему компьютеру пользователей (и адреса тех, к кому подключились вы). В терминале можно набрать whois [ip] и посмотреть информацию об адресе. Как правило, атакующие используют сервера за границей, публичные хостинги, VPN-сервисы и т.д. Все это легко можно увидеть через whois.»

Ну узнает он и что - это ему даст-то!?, если к его машинке "законнектились" успешно, то инцидент прошел успешно и надо было еще "вчера думать":)

Комментировать

Filtered HTML

  • Доступны HTML теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <blockquote> <strike> <code> <h2> <h3> <h4> <h5> <del> <img>
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.