Как посмотреть, кто подключился к компьютеру

Узнай, кто подключился к твоему компьютеру. Каждый компьютер в сети постоянно подвергается сканированию на открытые порты. Делается это не из-за озорства, а по вполне прагматичным причинам — заработать. Дело в том, что сканирование позволяет найти уязвимые компьютеры, а из уязвимых компьютеров злоумышленники легко собирают ботнеты и потом зарабатывают на них, предлагая услуги DDoS-атак. Как не стать частью ботнета?

Вирусы в Linux

Первое, что следует отметить, лучшая защита — полное перекрытие всех входящих соединений с помощью файервола. На сервере такое невозможно, а вот на домашнем компьютере запросто. Тем более, что на каждом компьютере с Linux уже установлен файервол, причем один из самых мощных — iptables. С его помощью можно всего в пару строк запретить все входящие и разрешить все исходящие соединения. Дополнительную информацию о фортификации своего компьютера с помощью iptables можно найти здесь.

Но допустим, что вы один из тех беспечных пользователей гламурных дистрибутивов типа Ubuntu, которые сразу же после установки бегут любоваться «красотами» Unity, забыв отключить «светящие» портами в интернет сервисы? Как посмотреть список этих портов? Очень просто. Даже ничего не придется устанавливать. Напишите в терминале:

netstat -a -l -t -n

Смотрите в колонке Local Addresses. Обратите внимание и на адрес: 127.0.0.1 означает, что к открытому порту могут подсоединиться только локальные пользователи, когда как 0.0.0.0 означает, что в гости приглашается весь интернет.

Другая интересная колонка — Foreign Addresses. В ней показаны IP-адреса уже подключившихся к вашему компьютеру пользователей (и адреса тех, к кому подключились вы). В терминале можно набрать whois [ip] и посмотреть информацию об адресе. Как правило, атакующие используют сервера за границей, публичные хостинги, VPN-сервисы и т.д. Все это легко можно увидеть через whois.

Теперь возникает вопрос, а что же делать?

Как защитить свой компьютер от взлома

  • Отключите все неиспользуемые сервисы.
  • Для тех сервисов, которые отключить нельзя, рассмотрите возможность перевода их на работу на внутреннем сетевом интерфейсе. Например, MySQL, запущенный на 127.0.0.1 вполне безопасен, а тот же MySQL на 0.0.0.0 уже представляет потенциальную угрозу.
  • Составьте правила для iptables. Политика должны быть такая: сначала запретить всё, а потом разрешить лишь то, что минимально необходимо для работы в сети.
  • sshd перенесите со стандартного порта № 22 на любой другой. Параноики могут дополнительно защитить sshd с помощью knockd.
  • Поставьте софт, периодически проверяющий системные файлы на модификацию.
  • Шифруйте и архивируйте всю важную информацию. Не удаляйте сразу же старый архив при создании нового.
Ваша оценка: Нет Средняя оценка: 4.6 (7 votes)
melcomtec

Новость с пометкой «молния»: Каккеры украли у пользователя melcomtec уникальную коллекцию порнографии. А все из-за открытого порта 51923!

O_o У меня не было порнографии. Честно! :)

И этот страшный порт у меня закрыт (я параноик).

P.S. Только что всё со страху проверил и прошерстил своими сценариями (благо давно уже написал). Напугал ты меня :) Всё закрыто и зарыто.

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
melcomtec

Да! У меня к тебе просьба, друг!

Дай свой бесценный рецепт (правда нужен, без иронии).

Друг! Как закольцевать SAMBA на локальные адреса? (Я ей уже давненько не пользуюсь, а тут стоит и ... жалко сносить. Думаю: закольцевать её на "локалку" и пусть висит на всякий случай. Руки дойдут — настрою как положено). А то она у меня

в гости приглашает весь интернет

Ваша оценка: Нет
pomodor

Значение переменной interfaces в секции global

Ваша оценка: Нет

В 1-ой колонке IP-адрес роутера, а во 2-ой колонке IP-адреса поисковых ботов mail.ru , yandex.ru , rambler.ru. google.com — это нормально?

Ваша оценка: Нет
pomodor

Не очень. В Local addresses должно быть либо 127.0.0.1, либо 0.0.0.0, либо адрес компьютера в локальной сети (например, 192.168.1.100). Адрес роутера не может быть локальным.

Или у вас роутер в виде отдельного компа, на котором вы всё это и проверяете?

Ваша оценка: Нет

Адрес локальной сети роутера(оптоволоконного провайдера) 192.168.102:порт

Ваша оценка: Нет

Спасибо за статью! Очень полезно и доступно написано.

Ваша оценка: Нет

У меня firefox открывает какие-то странные порты :(

sudo netstat -a -l -t -n -p

tcp 0 0 192.168.1.11:40294 52.24.42.141:443 ESTABLISHED 1947/firefox
tcp 0 0 192.168.1.11:43272 54.68.254.181:80 ESTABLISHED 1947/firefox
tcp 32 0 192.168.1.11:58220 77.238.163.222:443 CLOSE_WAIT 9541/liferea
tcp 0 0 192.168.1.11:53129 54.68.254.181:443 ESTABLISHED 1947/firefox

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
pomodor

И что в них странного? Обычные исходящие сессии HTTP и HTTPS.

Ваша оценка: Нет
pomodor

Кстати, это Амазон. Убука что ли установлена?

Ваша оценка: Нет
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.
Linux I класса
Linux II класса
Linux III класса
Счетчики
  • Самый популярный сайт о Linux и Windows 10
  • Индекс цитирования