Come tutti gli utilizzatori di Linux sanno, spesso è necessario intercettare quei processi di rete che possono compromettere la sicurezza del sistema.Consiglio due semplici verifiche, per effettuare uno scan del sistema in maniera chiara ed immediata.Se non lo avete fatto installate nmap, lsof e boot-up manager (bum).Per farlo potete accedere direttamente ad ubuntu Software Center (se avete Ubuntu) oppure in alternativa, andate sulla vostra shell e digitate:“sudo synaptic” premete invio, inserite la vostra password di amministratore, e cercate ed installaete I e 3 pacchetti (cercateli uno per uno)Sono gli strumenti che utilizzeremo per effettuare una scansione delle porte della nostra linux box, intercettare i processi che occupano delle porte in maniera più o meno invasiva ed eventualmente decidere se è il caso di disabilitarli.Innanzitutto aprite la shell, ed invocate il comando nmap nel seguente modo:_______________________________________________________________alex@alex-desktop:~$ sudo nmap -sT -O localhostStarting Nmap 5.00 ( http://nmap.org ) at 2010-05-03 15:20 CESTWarning: Hostname localhost resolves to 2 IPs. Using 127.0.0.1.Interesting ports on localhost (127.0.0.1):Not shown: 997 closed portsPORT STATE SERVICE25/tcp open smtp3306/tcp open mysql8082/tcp open blackice-alertsDevice type: general purposeRunning: Linux 2.6.XOS details: Linux 2.6.17 - 2.6.24Network Distance: 0 hopsOS detection performed. Please report any incorrect results at http://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 2.19 secondsalex@alex-desktop:~$________________________________________________________________Mettiamo di voler approfondire meglio quel servizio che occupa la portatcp/8082 dal nome alquanto sibillino “blackice-alerts”.Non ricordo di avere installato niente con quel nome…. sarà mica un processo sospetto che magari avvia in memoria una backdoor o qualche altra diavoleria ?Scopriamolo invocando lsof:________________________________________________________________alex@alex-desktop:~$ sudo lsof -i tcp:8082COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAMEmono 15165 www-data 3u IPv4 133917 0t0 TCP *:8082 (LISTEN)alex@alex-desktop:~$________________________________________________________________Me ne ero quasi dimenticato oggi ho dovuto installare mono per avviare un applicativo che fa uso delle librerie .net per avviarsi ed e’ proprio lui che si spaccia per blackice-alerts.Avviate Bootup-manager da Sistema –> Amministrazione –> Bootup-manager.Intercettate mono-xsp2 (simple server to run ASP.NET 2.0′ applications) e se ritenete che al momento non serva a nessuno scopo, tasto destro e cliccate su arresta o in maniera radicale disattiva e arresta.Ecco scoperto l’arcano, adesso sto più tranquillo !!! Spero possa essere utile a quanti di voi hanno avuto gli stessi interrogativi sulla compromissione del proprio sistema, evitando ansie ingiustificate. Come sempre, un abbraccioLinuxCOM
Sorvegliare la rete con Linux
Come tutti gli utilizzatori di Linux sanno, spesso è necessario intercettare quei processi di rete che possono compromettere la sicurezza del sistema.Consiglio due semplici verifiche, per effettuare uno scan del sistema in maniera chiara ed immediata.Se non lo avete fatto installate nmap, lsof e boot-up manager (bum).Per farlo potete accedere direttamente ad ubuntu Software Center (se avete Ubuntu) oppure in alternativa, andate sulla vostra shell e digitate:“sudo synaptic” premete invio, inserite la vostra password di amministratore, e cercate ed installaete I e 3 pacchetti (cercateli uno per uno)Sono gli strumenti che utilizzeremo per effettuare una scansione delle porte della nostra linux box, intercettare i processi che occupano delle porte in maniera più o meno invasiva ed eventualmente decidere se è il caso di disabilitarli.Innanzitutto aprite la shell, ed invocate il comando nmap nel seguente modo:_______________________________________________________________alex@alex-desktop:~$ sudo nmap -sT -O localhostStarting Nmap 5.00 ( http://nmap.org ) at 2010-05-03 15:20 CESTWarning: Hostname localhost resolves to 2 IPs. Using 127.0.0.1.Interesting ports on localhost (127.0.0.1):Not shown: 997 closed portsPORT STATE SERVICE25/tcp open smtp3306/tcp open mysql8082/tcp open blackice-alertsDevice type: general purposeRunning: Linux 2.6.XOS details: Linux 2.6.17 - 2.6.24Network Distance: 0 hopsOS detection performed. Please report any incorrect results at http://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 2.19 secondsalex@alex-desktop:~$________________________________________________________________Mettiamo di voler approfondire meglio quel servizio che occupa la portatcp/8082 dal nome alquanto sibillino “blackice-alerts”.Non ricordo di avere installato niente con quel nome…. sarà mica un processo sospetto che magari avvia in memoria una backdoor o qualche altra diavoleria ?Scopriamolo invocando lsof:________________________________________________________________alex@alex-desktop:~$ sudo lsof -i tcp:8082COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAMEmono 15165 www-data 3u IPv4 133917 0t0 TCP *:8082 (LISTEN)alex@alex-desktop:~$________________________________________________________________Me ne ero quasi dimenticato oggi ho dovuto installare mono per avviare un applicativo che fa uso delle librerie .net per avviarsi ed e’ proprio lui che si spaccia per blackice-alerts.Avviate Bootup-manager da Sistema –> Amministrazione –> Bootup-manager.Intercettate mono-xsp2 (simple server to run ASP.NET 2.0′ applications) e se ritenete che al momento non serva a nessuno scopo, tasto destro e cliccate su arresta o in maniera radicale disattiva e arresta.Ecco scoperto l’arcano, adesso sto più tranquillo !!! Spero possa essere utile a quanti di voi hanno avuto gli stessi interrogativi sulla compromissione del proprio sistema, evitando ansie ingiustificate. Come sempre, un abbraccioLinuxCOM