Παρακολούθηση διαδικτυακής κίνησης από router ή από άλλο λίνουξ

[rearshooter]

Καλησπέρα, μπορει να μου προτείνει κάποιος πως μπορώ να δώ όλη την κίνηση των Η/Υ που τρέχουν σπίτι μου από το ρούτερ?Ή έστω πχ από μία εγκατάσταση λίνουξ σε μια άλλη.

Να πάρω δηλαδή την "λίστα" με τις ip διευθύνσεις που τρέχει η μία συσκευή μου. Προφανώς και μπορώ να το κάνω από τον ίδιο υπολογιστή για το ίδιο υπολογιστή ξεχωριστά αλλά εμένα για λόγους ασφαλείας με ενδιαφέρει το "τρίτο" μάτι το αντικειμενικό καθώς για παράδειγμα αν τρέχει κάποιο κακόηθες λογισμικό σε ένα υπολογιστή που στέλνει δεδομένα σε μια συγκεκριμένη διεύθυνση προφανώς και οι δημιουργοί θα έχουν φροντίσει να μην ανιχνεύεται από τον ίδιο υπολογιστή..οπότε μόνο το ρούτερ ή ένας άλλος θα δει την αλήθεια.

[ConstantineP]

Καλησπέρα για αρχή ρίξε μια ματιά σε αυτό.

https://cerebrux.net/2019/06/08/βρες-ποιος-κλέβει-internet-και-διώξε-κόσμο/

[rearshooter]

ευχαριστώ για την απάντηση αλλά έτσι δεν βλέπεις όλες τις εισερχόμενες και εξερχόμενες διευθύνσεις από κάθε πελάτη...

λέτε να δοκιμάσω με τεχνική man in the middle? ή πάλι μπορεί να με ξεγελάσει το υποτιθέμενο κακόβουλο "λογισμικό" ?

Επεξ/σία 7 Μαΐου 2021 από rearshooter

[snowflake99]

3 ώρες πριν, rearshooter είπε

ευχαριστώ για την απάντηση αλλά έτσι δεν βλέπεις όλες τις εισερχόμενες και εξερχόμενες διευθύνσεις από κάθε πελάτη...

λέτε να δοκιμάσω με τεχνική man in the middle? ή πάλι μπορεί να με ξεγελάσει το υποτιθέμενο κακόβουλο "λογισμικό" ?

Μπορείς να ρίξεις μια ματιά σε αυτά τα software:

https://www.pfsense.org/
https://www.snort.org/
https://suricata-ids.org/

Δεν ξέρω ποιο είναι πιο ταιριαστό στις ανάγκες σου επειδή δεν έχω καταλάβει ακριβώς τι προσπαθείς να κάνεις, και επίσης δεν ξέρω αν τα ζητάς για προληπτικούς λόγους ή αν ανησυχείς ότι έχεις δεχτεί ήδη επίθεση. Αν δώσεις παραπάνω λεπτομέρειες ίσως να μπορέσω να σού δώσω μια πιο στοχευμένη πρόταση.

 

[johnzoro750]

Εαν θέλεις Man in the middle δοκιμασε bettercap

[rearshooter]

λοιπόν υποθετικά μιλώντας έχει μπει ενα κακόβουλο λογισμικό στο λαπτοπ, με δικαιώματα root. Στέλνει πληροφορίες σε συγκεκριμένες διευθύνσεις(ip). Αν ψάξω όλη την επικοινωνία από το λαπτοπ προφανώς και δεν θα βρω τις συγκεκριμένες ip που γνωρίζω από πριν οτι είναι ύποπτες..καθώς οι προγραμματιστές θα έχουν φροντίσει να μην φαίνεται η επικοινωνία με τις συγκεκριμένες ip...οπότε πρέπει με τον σταθερό μου να δω την πραγματική κίνηση στο λαπτοπ και να φιλτράρω τις συγκεκριμένες διευθύνσεις ώστε να είμαι σίγουρος αν υπάρχει επικοινωνία με τις συγκεκριμένες...ουσιαστικά το ερώτημα προέκυψε μετά από την εύρεση του τζακίρο στο systemd κτλ..

όπου τα status.sublineover.net , cdn.mirror-codes.net , blog.eduelects.com , news.thaprior.net , 176.107.176.16 είναι από το κακόβουλο λογισμικό (στην προκειμένη περίπτωση αν έχεις φάει το μπακντορ προφανώς και με άμεση ανάλυση δεν θα δεις παρε δώσε με την 176.107.176.16 .. θα την αλλοιώνει ο κώδικας)

ελπίζω να έγινα πιο κατανοητός! Θα δοκιμάσω με MINTM ettercap wireshark μάλλον ..βάζοντας τον σταθερό ανάμεσα στο λαπτοπ και το ρουτερ...έχετε άλλη ιδέα?

υγ...με κάτι τέτοια νοσταλγώ το gentoo μου...με το openrc του...αλλά πλέον ο χρόνος που έχουμε...αχχχχ ..θα βάλω openrc στο αρκ...ελπίζω να μην με ταλαιπωρήσει ..!

Επεξ/σία 8 Μαΐου 2021 από rearshooter

[snowflake99]

46 λεπτά πριν, rearshooter είπε

ουσιαστικά το ερώτημα προέκυψε μετά από την εύρεση του τζακίρο στο systemd

Θα μπορούσες να το είχες πει από την αρχή. Ούτε ο πρώτος είσαι ούτε ο τελευταίος.

48 λεπτά πριν, rearshooter είπε

καθώς οι προγραμματιστές θα έχουν φροντίσει να μην φαίνεται η επικοινωνία με τις συγκεκριμένες ip...

Αυτό το διάβασες κάπου ή απλά φαντάζεσαι τα χειρότερα; Επειδή αυτά που ξέρουμε για το συγκεκριμένο malware είναι σχετικά λίγα, σαν έσχατη λύση θα μπορούσες απλά να κάνεις ένα clean install.

53 λεπτά πριν, rearshooter είπε

ελπίζω να έγινα πιο κατανοητός! Θα δοκιμάσω με MINTM ettercap wireshark μάλλον ..βάζοντας τον σταθερό ανάμεσα στο λαπτοπ και το ρουτερ...έχετε άλλη ιδέα?

Ναι. Μην ακολουθείς συμβουλές από ανθρώπους που σού πετάνε ονόματα από εργαλεία και που εμφανώς δεν έδωσαν καμία σημασία στο πρόβλημά σου και στο τι προσπαθείς να κάνεις. Αν θέλεις απλά να παρακολουθήσεις την κίνηση του δικτύου (χωρίς ανίχνευση malware και τα σχετικά), μπορείς να το κάνεις με το Wireshark.

56 λεπτά πριν, rearshooter είπε

υγ...με κάτι τέτοια νοσταλγώ το gentoo μου...με το openrc του...αλλά πλέον ο χρόνος που έχουμε...αχχχχ ..θα βάλω openrc στο αρκ...ελπίζω να μην με ταλαιπωρήσει ..!

Και κάτι ακόμα. Μην ταΐζεις τα troll. Από όσα ξέρουμε μέχρι στιγμής, το systemd ούτε ευθύνεται για το malware ούτε στοχεύεται από αυτό. Απλώς έχουν χρησιμοποιήσει ονόματα που περιέχουν τη λέξη systemd για να κρυφτούν σε κοινή θέα στο σύστημά σου.

Ακόμα και αν στόχευε ή είχε εκμεταλλευτεί το systemd, και πάλι θα ήταν λογικό επειδή αν κάποιος γράφει malware και θέλει να στοχεύσει πολύ κόσμο, θα στοχεύσει software που χρησιμοποιεί πολύς κόσμος. Αυτό δε λέει απαραίτητα κάτι για την ασφάλεια του software. Η απάντηση που θα έχει η dev team στο οποιοδήποτε πρόβλημα ασφαλείας είναι μακράν σημαντικότερη.

[rearshooter]

καλά επειδή δεν μας παίρνει για clean install..(αυτά τα κάναμε το 2007 τελευταία φορά με τα παραθύρια)θα δω την κίνηση όπως ανέφερα...εξάλλου ψάχνουμε συγκεκριμένους τομείς και διευθύνσεις.. σύμφωνα με αυτό -> community.blueliv.com/#!/s/608ab9ff82df413eb53560a5  ...

η αφορμή γεννάει ερωτήματα... όσο για το αν κρύβουν την διεύθυνση και το διάβασα αλλά και το υποψιάζομαι...προφανώς και θα το ήθελαν οι κακοήθεις...

ΥΓ Δεν ταΐζω τα τρολ! Σοβαρά μου λείπει η εξατομίκευση και η λιτότητα που είχε το gentoo..10 χρόνια το χειριζόμουν. Το systemd φορτώνει 200 υπηρεσίες...άντε ψάξε... και βεβαίως δεν είναι κάτι που θα χτυπηθεί λόγω προτίμησης-κοινού...και έτσι αυτό που θα φτιάξουν δεν θα "πιάνει" σε gentoo (θυμάμαι με το openssl /heartbleed / bash κτλ κατά καιρούς. Απλά σε μένα δεν έπιαναν...)

[snowflake99]

Αυτή είναι η πλήρης αναφορά που έγραψε το Netlab που εντόπισε το malware (υπάρχει σαν πηγή και στο link που πόσταρες). Με λίγη υπομονή και με λίγες γνώσεις Linux (τις οποίες έχεις απ' ό,τι καταλαβαίνω) μπορείς να καθαρίσεις το σύστημά σου.

27 λεπτά πριν, rearshooter είπε

η αφορμή γεννάει ερωτήματα... όσο για το αν κρύβουν την διεύθυνση και το διάβασα αλλά και το υποψιάζομαι...προφανώς και θα το ήθελαν οι κακοήθεις...

Μόνο που αυτό δε γίνεται. Το malware χρησιμοποιεί κρυπτογράφηση αλλά όταν δίνει εντολή στο σύστημά σου να επικοινωνήσει με μια διεύθυνση, δε μπορεί να σού κρύψει με ποια διεύθυνση επικοινωνεί (αν παρακολουθείς με κάποιο software όπως το wireshark).

32 λεπτά πριν, rearshooter είπε

Σοβαρά μου λείπει η εξατομίκευση και η λιτότητα που είχε το gentoo..10 χρόνια το χειριζόμουν. Το systemd φορτώνει 200 υπηρεσίες...άντε ψάξε... και βεβαίως δεν είναι κάτι που θα χτυπηθεί λόγω προτίμησης-κοινού...και έτσι αυτό που θα φτιάξουν δεν θα "πιάνει" σε gentoo

Το συγκεκριμένο malware όμως "πιάνει" και σε Gentoo, και γενικότερα σε όποια διανομή ή service manager έχεις (τσέκαρε την παράγραφο 0x02: Persistence). Η μόνη "σχέση" που έχει με το systemd είναι ότι το γράφει στο όνομα ενός αρχείου που δημιουργεί για να μη φαίνεται ύποπτο. Όσο για τη διαδικασία να καθαρίσεις το σύστημά σου, δε χρειάζεται ψάξιμο, απλά σβήνεις τα αρχεία που λέει η αναφορά (αν υπάρχουν). Αυτά τουλάχιστον με βάση όσα ξέρουμε μέχρι στιγμής από την αναφορά.

Γενικότερα, η νοοτροπία "χρησιμοποιώ σύστημα που δεν το χρησιμοποιεί πολύς κόσμος, άρα είμαι ασφαλής" είναι λάθος. Τα malware εκτός από ευπάθειες του συστήματος μπορούν να στοχεύσουν ευπάθειες σε οποιοδήποτε πρόγραμμα εφόσον ανακαλυφθούν. Η ασφάλεια δεν είναι μια λίστα με βήματα που ακολουθείς και την καταφέρνεις, είναι διαδικασία και είναι συνεχόμενη.

[Επισκέπτης]

1 ώρα πριν, rearshooter είπε

η αφορμή γεννάει ερωτήματα...

Ερωτήματα γεννάει και το πώς κατάφερε (υποθετικά πάντα) να τρυπώσει στο σύστημά σου ένα malware που χρειάζεται δικαιώματα root για να δημιουργήσει τα αρχεία που υποτίθεται ότι συσχετίζονται με το systemd.

1 ώρα πριν, rearshooter είπε

Το systemd φορτώνει 200 υπηρεσίες...

Λάθος. Όπως κάθε σοβαρό init, έτσι και το systemd φορτώνει όσες υπηρεσίες του ορίσεις να φορτώνει. Πόσο μάλλον σε Arch που δεν ενεργοποιεί κανένα service από μόνο του.

1 ώρα πριν, rearshooter είπε

και έτσι αυτό που θα φτιάξουν δεν θα "πιάνει" σε gentoo (θυμάμαι με το openssl /heartbleed / bash κτλ κατά καιρούς. Απλά σε μένα δεν έπιαναν...)

Το  Heartbleed δεν «έπιανε» σε Gentoo; Πόσα θες να μας τρελάνεις; Να σου παραθέσω απάντηση σε σχετική ερώτηση τότε; Έπιανε σε οποιαδήποτε διανομή υποστήριζε έκδοση του OpenSSL μικρότερη της 0.9.8. Αν τώρα εννοείς ότι δεν έπιανε στο δικό σου συγκεκριμένο configuration (γιατί είχες LibreSSL ίσως), τότε πάσο. Αλλά αυτό δε λέει απολύτως τίποτα, όπως δε λέει και ότι τρέχω Arch και δεν έχω το (υποθετικό) malware που έχεις.

[rearshooter]

πω πω πω!επιθετικό ύφος!!είχα Libressl βέβαια δεν θυμάμαι το timing...

προφανώς βάζοντας πράγματα μόνο από τα στάνταρ αποθετήρια + aur δεν παίζει να μπει...εκτός και αν...τι να πω....

οπότε υποθετικά μιλώντας αποκλείεται να την έχω φάει είτε σε ντέμπιαν είτε σε αρκ είτε σε ντιπιν..

όσο για το systemd...επειδή έτρεχα πλάσμα μέχρι το 2020 σε gentoo και από τότε πλάσμα σε αρκ...καμία σχέση.. 53 υπηρεσίες χ3 κάποιες...?

1.058s systemd-random-seed.service
 238ms lvm2-monitor.service
 202ms dhcpcd.service
 135ms systemd-journal-flush.service
 110ms dev-nvme0n1p2.device
 103ms udisks2.service
  78ms polkit.service
  71ms upower.service
1.058s systemd-random-seed.service
 238ms lvm2-monitor.service
 202ms dhcpcd.service
 135ms systemd-journal-flush.service
 110ms dev-nvme0n1p2.device
 103ms udisks2.service
  78ms polkit.service
  71ms upower.service
1.058s systemd-random-seed.service
 238ms lvm2-monitor.service
 202ms dhcpcd.service
 135ms systemd-journal-flush.service
 110ms dev-nvme0n1p2.device
 103ms udisks2.service
  78ms polkit.service
  71ms upower.service
  63ms [email protected]
  44ms systemd-modules-load.service
  44ms systemd-udev-trigger.service
  35ms NetworkManager.service
  33ms systemd-udevd.service
  26ms systemd-journald.service
  26ms [email protected]
  24ms systemd-logind.service
  21ms systemd-tmpfiles-clean.service
  21ms systemd-tmpfiles-setup.service
  10ms systemd-tmpfiles-setup-dev.service
   9ms [email protected]
   7ms systemd-binfmt.service
   7ms dev-hugepages.mount
   7ms dev-mqueue.mount
   7ms sys-kernel-debug.mount
   6ms sys-kernel-tracing.mount
   6ms tmp.mount
   5ms kmod-static-nodes.service
   5ms [email protected]
   4ms [email protected]
   3ms systemd-sysctl.service
   3ms systemd-update-utmp.service
   3ms systemd-remount-fs.service
   2ms systemd-user-sessions.service
   2ms rtkit-daemon.service
   1ms proc-sys-fs-binfmt_misc.mount
   1ms sys-fs-fuse-connections.mount
 988us sys-kernel-config.mount

ενώ με gentoo είχα κάπου στις 10..αν θυμάμαι καλά... και με την διαφορά ότι τώρα μπαίνω από τερματικό ενώ τότε από sddm! +1 για gentoo δηλαδη!

επίσης @snowflake99 νομίζω οτι το gentoo είναι από τα πλέον ασφαλή λειτουργικά για το τι περνάν και πως...δεν είναι θέμα των λιγοστών χρηστών του προφανώς,..

για να είμαστε δίκαιοι τρέχουν 26

  dbus.service                       loaded active running D-Bus System Message Bus
  dhcpcd.service                     loaded active running dhcpcd on all interfaces
  [email protected]                 loaded active running Getty on tty1
  kmod-static-nodes.service          loaded active exited  Create list of static device nodes for the current kernel
  lvm2-monitor.service               loaded active exited  Monitoring of LVM2 mirrors, snapshots etc. using dmeventd or progress po>
  NetworkManager.service             loaded active running Network Manager
  polkit.service                     loaded active running Authorization Manager
  rtkit-daemon.service               loaded active running RealtimeKit Scheduling Policy Service
  systemd-binfmt.service             loaded active exited  Set Up Additional Binary Formats
  systemd-journal-flush.service      loaded active exited  Flush Journal to Persistent Storage
  systemd-journald.service           loaded active running Journal Service
  systemd-logind.service             loaded active running User Login Management
  systemd-modules-load.service       loaded active exited  Load Kernel Modules
  systemd-random-seed.service        loaded active exited  Load/Save Random Seed
  systemd-remount-fs.service         loaded active exited  Remount Root and Kernel File Systems
● systemd-sysctl.service             loaded failed failed  Apply Kernel Variables
  systemd-tmpfiles-setup-dev.service loaded active exited  Create Static Device Nodes in /dev
  systemd-tmpfiles-setup.service     loaded active exited  Create Volatile Files and Directories
  systemd-udev-trigger.service       loaded active exited  Coldplug All udev Devices
  systemd-udevd.service              loaded active running Rule-based Manager for Device Events and Files
  systemd-update-utmp.service        loaded active exited  Update UTMP about System Boot/Shutdown
  systemd-user-sessions.service      loaded active exited  Permit User Sessions
  udisks2.service                    loaded active running Disk Manager
  upower.service                     loaded active running Daemon for power management
  [email protected]      loaded active exited  User Runtime Directory /run/user/1000
  [email protected]                  loaded active running User Manager for UID 1000

 

ούπς κάτι δεν ρύθμισα σωστά στο /etc/sysctl.d/
!χαχα! να τι βρίσκει κανείς!

[snowflake99]

11 λεπτά πριν, rearshooter είπε

επίσης @snowflake99 νομίζω οτι το gentoo είναι από τα πλέον ασφαλή λειτουργικά για το τι περνάν και πως...δεν είναι θέμα των λιγοστών χρηστών του προφανώς,..

Όσο ασφαλές και αν είναι το σύστημά σου, η ασφάλεια ακυρώνεται αν κατεβάσεις το malware μόνος σου επειδή νομίζεις ότι είναι κάτι άλλο, πχ. πρόγραμμα που χρειάζεσαι. Είναι μία από τις πλευρές του "η ασφάλεια είναι διαδικασία" που είπα πριν. Και ακόμα και αν είσαι 100% προσεκτικός και δεν κάνεις εσύ τη μπινιά, υπάρχουν και οι επιθέσεις supply chain.

Το ηθικό δίδαγμα δεν είναι ότι ποτέ δεν είσαι πραγματικά ασφαλής. Είναι ότι αν είσαι ασφαλής, δε σημαίνει ότι θα είσαι για πάντα μόνο με το να συνεχίσεις να κάνεις ό,τι κάνεις.

[Επισκέπτης]

10 λεπτά πριν, rearshooter είπε

πω πω πω!επιθετικό ύφος

Σε διαβεβαιώ ότι δεν έχω επιθετικό ύφος. Απλά με ενοχλούν οι ανακρίβειες (δεν υπονοώ πρόθεση, κάθε άλλο).

11 λεπτά πριν, rearshooter είπε

προφανώς βάζοντας πράγματα μόνο από τα στάνταρ αποθετήρια + aur δεν παίζει να μπει

Κι εδώ κάνεις λάθος. Οτιδήποτε στο AUR μπορεί ανά πάσα στιγμή να περιέχει οποιοδήποτε malware ή άλλον «περίεργο» κώδικα. Το AUR δεν υποστηρίζεται επίσημα από το Arch και τα PKGBUILDS ή τα παραγόμενα πακέτα δεν ελέγχονται από κανέναν. Αυτό είναι αποκλειστική ευθύνη του χρήστη. Λέμε και ξαναλέμε κάποιοι «ελέγξτε τα PKGBUILDS» και «μη χρησιμοποιήσετε AUR helper πριν μάθετε τη σωστή διαδικασία με το makepkg».

15 λεπτά πριν, rearshooter είπε

όσο για το systemd...επειδή έτρεχα πλάσμα μέχρι το 2020 σε gentoo και από τότε πλάσμα σε αρκ...καμία σχέση.. 53 υπηρεσίες χ3 κάποιες...?

Τρέχω Arch με KDE Plasma (συν τον SDDM δηλαδή) και έχω... 25 ολόκληρα services που τρέχουν αυτήν τη στιγμή. Σε αυτά συμπεριλαμβάνονται κάποια όπως το ananicy ή το prelockd που τα πρόσθεσα εγώ. Βλέπεις λοιπόν ότι ο αριθμός που ανέφερες αφορά το δικό σου σύστημα και αυτά που έχεις κάνει εσύ, όχι το systemd γενικά. Και σε κάθε περίπτωση δεν είναι «200 services».

[rearshooter]

ναι συμφωνώ το aur με έλεγχο...αυτά είναι ευκόλως εννοούμενα...αλλά καλά κάνεις και υπογραμμίζεις γιατί βλέπουν και παιδιά!για τις υπηρεσίες το διόρθωσα 26 τρέχουν!αλλά είναι υπερδιπλάσιες από το gentoo! To 200 προφανώς υπερβολή!

Επεξ/σία 8 Μαΐου 2021 από rearshooter

[Επισκέπτης]

1 λεπτό πριν, rearshooter είπε

αλλά είναι υπερδιπλάσιες από το gentoo!

Ο αριθμός των services από μόνος του δε λέει τίποτα, ούτε τα περισσότερα services σημαίνουν κάτι αρνητικό. Αν, για παράδειγμα, συγκρίνω το δικό μου σύστημα με κάποιον που τρέχει μόνο σε tty, προφανώς εγώ θα έχω περισσότερα services. Την ίδια στιγμή, σε σύγκριση με κάτι Ubuntu-based θα έχω κατά πολύ λιγότερες. Δεν είναι αρνητικό για ένα (οποιοδήποτε) init το ότι κάποιο άλλο είναι λιγότερο ολοκληρωμένο (πρόσεξε, όχι «χειρότερο») και κάνει λιγότερα πράγματα, όπως δεν είναι αρνητικό το ότι η X διανομή έχει επιλέξει να ενεργοποιεί αυτόματα κάθε service και προεγκαθιστά 1456 πράγματα που έχουν services.