Как посмотреть, кто подключился к компьютеру

Узнай, кто подключился к твоему компьютеру. Каждый компьютер в сети постоянно подвергается сканированию на открытые порты. Делается это не из-за озорства, а по вполне прагматичным причинам — заработать. Дело в том, что сканирование позволяет найти уязвимые компьютеры, а из уязвимых компьютеров злоумышленники легко собирают ботнеты и потом зарабатывают на них, предлагая услуги DDoS-атак. Как не стать частью ботнета?

Вирусы в Linux

Первое, что следует отметить, лучшая защита — полное перекрытие всех входящих соединений с помощью файервола. На сервере такое невозможно, а вот на домашнем компьютере запросто. Тем более, что на каждом компьютере с Linux уже установлен файервол, причем один из самых мощных — iptables. С его помощью можно всего в пару строк запретить все входящие и разрешить все исходящие соединения. Дополнительную информацию о фортификации своего компьютера с помощью iptables можно найти здесь.

Но допустим, что вы один из тех беспечных пользователей гламурных дистрибутивов типа Ubuntu, которые сразу же после установки бегут любоваться «красотами» Unity, забыв отключить «светящие» портами в интернет сервисы? Как посмотреть список этих портов? Очень просто. Даже ничего не придется устанавливать. Напишите в терминале:

netstat -a -l -t -n

Смотрите в колонке Local Addresses. Обратите внимание и на адрес: 127.0.0.1 означает, что к открытому порту могут подсоединиться только локальные пользователи, когда как 0.0.0.0 означает, что в гости приглашается весь интернет.

Другая интересная колонка — Foreign Addresses. В ней показаны IP-адреса уже подключившихся к вашему компьютеру пользователей (и адреса тех, к кому подключились вы). В терминале можно набрать whois [ip] и посмотреть информацию об адресе. Как правило, атакующие используют сервера за границей, публичные хостинги, VPN-сервисы и т.д. Все это легко можно увидеть через whois.

Теперь возникает вопрос, а что же делать?

Как защитить свой компьютер от взлома

  • Отключите все неиспользуемые сервисы.
  • Для тех сервисов, которые отключить нельзя, рассмотрите возможность перевода их на работу на внутреннем сетевом интерфейсе. Например, MySQL, запущенный на 127.0.0.1 вполне безопасен, а тот же MySQL на 0.0.0.0 уже представляет потенциальную угрозу.
  • Составьте правила для iptables. Политика должны быть такая: сначала запретить всё, а потом разрешить лишь то, что минимально необходимо для работы в сети.
  • sshd перенесите со стандартного порта № 22 на любой другой. Параноики могут дополнительно защитить sshd с помощью knockd.
  • Поставьте софт, периодически проверяющий системные файлы на модификацию.
  • Шифруйте и архивируйте всю важную информацию. Не удаляйте сразу же старый архив при создании нового.
field_vote: 
Ваша оценка: Нет Средняя: 3.5 (15 оценки)

Комментарии

Новость с пометкой «молния»: Каккеры украли у пользователя melcomtec уникальную коллекцию порнографии. А все из-за открытого порта 51923!

O_o У меня не было порнографии. Честно! :)

И этот страшный порт у меня закрыт (я параноик).

P.S. Только что всё со страху проверил и прошерстил своими сценариями (благо давно уже написал). Напугал ты меня :) Всё закрыто и зарыто.

Оценка: 
Средняя: 5 (1 оценка)

Да! У меня к тебе просьба, друг!

Дай свой бесценный рецепт (правда нужен, без иронии).

Друг! Как закольцевать SAMBA на локальные адреса? (Я ей уже давненько не пользуюсь, а тут стоит и ... жалко сносить. Думаю: закольцевать её на "локалку" и пусть висит на всякий случай. Руки дойдут — настрою как положено). А то она у меня

в гости приглашает весь интернет

Оценка: 
Пока без оценки

Значение переменной interfaces в секции global

Оценка: 
Пока без оценки

В 1-ой колонке IP-адрес роутера, а во 2-ой колонке IP-адреса поисковых ботов mail.ru , yandex.ru , rambler.ru. google.com — это нормально?

Оценка: 
Пока без оценки

Не очень. В Local addresses должно быть либо 127.0.0.1, либо 0.0.0.0, либо адрес компьютера в локальной сети (например, 192.168.1.100). Адрес роутера не может быть локальным.

Или у вас роутер в виде отдельного компа, на котором вы всё это и проверяете?

Оценка: 
Пока без оценки

Адрес локальной сети роутера(оптоволоконного провайдера) 192.168.102:порт

Оценка: 
Пока без оценки

Зацепило, вот это определение: "...оптоволоконного провайдера", блин улыбнуло:)
Значит есть, коаксиальные и радиоволновые провайдеры?;)

Оценка: 
Пока без оценки

Спасибо за статью! Очень полезно и доступно написано.

Оценка: 
Пока без оценки

У меня firefox открывает какие-то странные порты :(

sudo netstat -a -l -t -n -p

tcp 0 0 192.168.1.11:40294 52.24.42.141:443 ESTABLISHED 1947/firefox
tcp 0 0 192.168.1.11:43272 54.68.254.181:80 ESTABLISHED 1947/firefox
tcp 32 0 192.168.1.11:58220 77.238.163.222:443 CLOSE_WAIT 9541/liferea
tcp 0 0 192.168.1.11:53129 54.68.254.181:443 ESTABLISHED 1947/firefox

Оценка: 
Средняя: 5 (1 оценка)

И что в них странного? Обычные исходящие сессии HTTP и HTTPS.

Оценка: 
Пока без оценки

Кстати, это Амазон. Убука что ли установлена?

Оценка: 
Пока без оценки

Название статьи - как посмотреть кто подключился к кому. Ну и как посмотреть? В статье не говорится.

Оценка: 
Пока без оценки
comrade аватар

«...Другая интересная колонка — Foreign Addresses. В ней показаны IP-адреса уже подключившихся к вашему компьютеру пользователей (и адреса тех, к кому подключились вы). В терминале можно набрать whois [ip] и посмотреть информацию об адресе. Как правило, атакующие используют сервера за границей, публичные хостинги, VPN-сервисы и т.д. Все это легко можно увидеть через whois.»

Оценка: 
Пока без оценки

Ну узнает он и что - это ему даст-то!?, если к его машинке "законнектились" успешно, то инцидент прошел успешно и надо было еще "вчера думать":)

Оценка: 
Пока без оценки

Комментировать

Filtered HTML

  • Use [fn]...[/fn] (or <fn>...</fn>) to insert automatically numbered footnotes.
  • Доступны HTML теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <blockquote> <strike> <code> <h2> <h3> <h4> <h5> <del> <img>
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.