Fedora Linux continua a fare richieste DNS a siti casuali


0

Ho Fedora 12 Linux sul mio portatile con tutti gli ultimi aggiornamenti di sicurezza installati. Ma quando apro wireshark e visualizzo solo richieste DNS (aggiungendo un filtro DNS), noto che il mio portatile continua a eseguire richieste DNS su siti casuali. L'ho osservato anche dopo aver chiuso tutte le applicazioni (browser, client torrent ecc.)

È una specie di worm o virus? :( Come faccio a sapere quale processo sta inviando queste richieste DNS? Stranamente, solo alcuni dei siti interrogati per DNS sono quelli che ho visitato. Gli altri siti, non ne ho mai sentito parlare prima. .

Ho provato a eseguire lsof -nl | grep udp in un ciclo all'interno di uno script. Ciò risulta sempre in nessun output.

Grazie,
-Keshav


1
quali sono alcuni dei siti?
Stephen Jennings

Alcuni dei siti sono come www.google.com, howtogeek.com, safebrowsing-cache.google.com, ecc., Ho appena ricevuto questi file dall'output di wireshark.
Keshav Prasad

Risposte:


0

Il sito non è così pensare hai visitato potresti essere solo nameserver dei siti che hai fatto. Ad esempio, Superuser si trova in realtà nel http://www.peak.org datacenter su una VLAN. Queste richieste misteriose potrebbero anche essere servizi in background come il tuo sistema che richiede l'ora del server di Internet, piuttosto che programmi ovvi come il tuo client torrent.


Ciao John, ajax.googleapis.com, www.gravatar.com, ftp.hostrino.com raramente verrà richiesto dai daemon in background è ciò che sento. I siti di cui sopra sono stati interrogati per DNS quando il mio browser è stato chiuso!
Keshav Prasad

Bene, i primi 2 sono probabilmente visitando superuser. Forse solo i pacchetti keepalive vengono inviati fino al raggiungimento del timeout.
John T

Hmm, ho cancellato la cache completa del browser, chiuso il browser e riprovato con wireshark. Si è interrogato su www.neogaf.com, ajax.googleapis.com ecc. Di nuovo (quando il browser è stato chiuso)
Keshav Prasad

1

Alcune note

  1. Tutti i nomi che fai riferimento nei tuoi commenti sembrano essere
    cose che sarebbero collegate al tuo browser o ai processi di aggiornamento della fedora.
    • Quando si esegue wireshark da un'installazione silent di Fedora,
      sarebbe utile mantenere un filtro di acquisizione aperto per ottenere tutti i pacchetti.
      Questo ti dirà cosa succede con un sito dopo la ricerca DNS.
      Quest'ultima parte avrà informazioni davvero utili.
      Se è coinvolto il malware, la ricerca DNS sarà il pacchetto meno sospetto.
    • In generale (e, probabilmente sto attaccando il mio collo a questo),
      non è probabile che tu abbia una qualche forma di root-kit che colpisce la tua Fedora,
      E, dovresti trovare risposte ragionevoli basate sui due punti precedenti.
      Quindi, sarebbe opportuno,
    • Rimuovi il worm e virus tag dalla tua domanda - una volta che sei sicuro che questo non è il caso. Prendi in considerazione almeno la possibilità di chiarire il caso dopo le indagini nella tua domanda.
    • aggiungi note nella tua domanda descrivendo cosa stava accadendo esattamente sulla tua Fedora

L'aggiornamento con i risultati aiuterebbe le persone a raggiungere questa domanda in futuro.


Ciao Nik, buon suggerimento per ispezionare cosa succede dopo la query DNS. Lo controllerò e aggiornerò ... grazie!
Keshav Prasad

Si scopre che fa solo la richiesta DNS e ottiene la risposta indietro ... non ci sono quindi pacchetti sospetti!
Keshav Prasad

Non sono sicuro che ciò che pensi faccia sospettare un pacchetto, ma se vedi queste richieste DNS quando sei sicuro di non avere una finestra del browser aperta, prova a catturare le connessioni sulla porta 80 (e i pacchetti SYN sulla porta 443 - quelle sono HTTPS, quindi non ha senso ottenere il payload, è comunque criptato, ma capire chi sta parlando).
Gabe

0

Puoi provare a usare ltrace per acquisire l'API DNS come gethostbyname (), getaddrinfo () di qualsiasi programma in esecuzione.

[root@fc8 tmp]# ltrace -e getaddrinfo -f -tt wget http://www.google.com
--07:30:31--  http://www.google.com/
           => `index.html'
Resolving www.google.com... 07:30:31.415398 getaddrinfo("www.google.com", NULL, 0xbfd5e120, 0xbfd5e154) = 0
72.14.213.106, 72.14.213.105, 72.14.213.103, ...
Connecting to www.google.com|72.14.213.106|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]

    [ <=>                                                     ] 5,640         --.--K/s

07:30:31 (216.90 KB/s) - `index.html' saved [5640]

È possibile collegare il ltrace al programma in esecuzione con l'opzione -p pid.

Se sei veramente negli umori CSI / Perry Mason / Sherlock Holmes , puoi provare a scrivere una libreria shim per sostituire globalmente le API DNS e registrare chi e cosa stanno facendo tutti. Uso Modifica di una libreria dinamica senza modificare il codice sorgente come esempio.

Per favore facci sapere cosa trovi.


0

Passa a tutti i tuoi server dei nomi su OpenDNS (208.67.222.222 e 208.67.220.220) o su Google (8.8.8.8 e 8.8.4.4), perché in questo modo puoi essere avvisato se una qualsiasi delle tue richieste invia richieste per siti di malware noti e siti di phishing. Raccomando OpenDNS su google perché ha un controllo molto preciso delle categorie di siti web. Puoi bloccare tutte le query dns in .ru e .cn, ma poi autorizzare quelle legittime.

netstat può dirti quali sono le connessioni attuali e i processi che hanno queste connessioni aperte. memorizza questo comando, t = tcp, u = udp, n = numerico, a = tutto, p = processi:   netstat -tunap

Attività del firewall:   iptstate

host peak.org whois peak.org robtex.com è fantastico per analizzare le reti.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.