سلام مجدد
VAHIDN جان ممنون از راهنماییت.اینطور که از اون لینکی که دادی فهمیدم اون وارنینگ فقط بخاطر باگ نرم افزاره.میشه درمورد بقیه مواردی که توی دو پست اول صحبت کردم توضیحاتی بدی و بگی به چه دلیلی اونا رو مشکوک نمیدونی؟مثلا من با یه دستور netstat که بالا کاملش رو گفتم سه تا آی پی مشکوک پیدا کردم.اینا عادین یعنی؟ اگه میشه اون چیزایی رو که من بررسی کردم و توی دو پست اول توضیح دادم رو درخصوصشون یه توضیحی بدید که دلیل مشکوک نبودنتون به اون موارد چیه.تشکر
در مورد عرایض شما :
یک : در مورد آسیب پذیری CVE-2016-1019 پخش کننده فلش باید عرض کنم که هنوز هیچ Exploit پابلیکی برای اون نیومده البته در Black Market بفروش می رسه ولی با توجه به اینکه شما سیستم خانگی دارید و اکسپلویت کردن از این باگ نیاز به زمان داره هیچ هکری نمیاد این زمان رو برای یک سیستم شخصی صرف کنه حتی اگر بخواد به صورت Zombie از سیستم شما استفاده کنه.
میشه منظورتون رو واضح تر بگید درمورد اینکه اکسپلویت کردن از این باگ نیاز به زمان داره و هیچ هکری نمیاد این زمان رو برای یک سیستم شخصی صرف کنه حتی به عنوان Zombie ؟ پس هکر این حفره به چه دردش میخوره؟
دو : خروجی که قرار دارید همه چیز عادی بود و مشکلی نداره.
سه : در مورد خروجی netstat با توجه به برنامه های نصبی شما می شه تصمیم گرفت ولی به نظرمن چیز مشکوکی نیست.
ممنون از بررسی تون.برنامه که زیاد دارم امکانش هست بشه مستقیم فهمید به کدوم برنامه ربط داره؟
گاهی اوقات توی حمله های پیچیده (sophisticated) حتی با وایرشارک هم نمی شه ترافیک غیر مجاز رو تشخیص داد چرا که توی حمله به به یکی از شرکت های بزرگ آمریکایی شاهد این بودیم که ترافیک از طریق فایل های JPG منتقل می شد که امکان تشخیص نبوده در وهله اول !
توصیه من به شما :
با استفاده از نرم افزار زیر سیستم تون رو چک کنید و به توصیه های امنیتی اون عمل کنید.
https://cisofy.com/lynis/
بالاخره تونستم نصبش کنم ولی من خروجی ها رو سر درنمیارم اصلا.خروجی رو توی فایل ضمیمه پست کردم اگه میشه بی زحمت یه نگاهی بهشون بندازید
اینکه بفهمید آیا سیستم تون compromise شده یا نه کار آسونی نیست ولی این راهنما برای شروع مناسبه :
https://sites.google.com/site/zenarstudio/home/kb/linux---howto---investigate-a-linux-compromise
موفق باشید
لینک مفیدی بود واقعا ولی من انگلیسیم قوی نیست.جاهایی که دستور زده بود رو فهمیدم ولی.من خروجی اونا رو هم میذارم اگه میشه یه نگاهی بهشون بندازید
خروجی w:
15:20:39 up 4:06, 3 users, load average: 0.10, 0.16, 0.24
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
secsec :0 :0 11:15 ?xdm? 13:03 0.52s upstart --user
secsec pts/1 :0 15:19 7.00s 0.17s 0.73s gnome-terminal
secsec pts/10 :0 13:56 1:09m 0.19s 0.04s /bin/bash
دستور netstat -nalp |grep ":22" خروجی نداشت اصلا
خروجی دستور last رو چون زیاد بود ضمیمه کردم
دو دستور cat /var/log/secure* |grep ssh |grep Accept و cat /var/log/secure* |grep ftp |grep Accept هردو ارور cat: /var/log/secure*: No such file or directory رو دادن
خروجی دستور netstat -nalp رو هم ضمیمه کردم
خروجی دستور nmap localhost هم این شد.البته اولش فهمیدم نصب نکردمش.نصب کردم بعد دستور رو زدم که این خروجی رو داد
Starting Nmap 6.40 ( http://nmap.org ) at 2016-04-22 16:09 IRDT
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000012s latency).
Not shown: 996 closed ports
PORT STATE SERVICE
25/tcp open smtp
80/tcp open http
631/tcp open ipp
9050/tcp open tor-socks
Nmap done: 1 IP address (1 host up) scanned in 2.49 seconds
خروجی ls /tmp -lab
total 32
drwxrwxrwt 6 root root 4096 آوریل 22 16:17 .
drwxr-xr-x 24 root root 4096 آوریل 22 13:58 ..
-rw------- 1 secsec secsec 0 آوریل 22 11:15 config-err-mByz3h
drwxrwxrwt 2 root root 4096 آوریل 22 11:15 .ICE-unix
drwx------ 2 secsec secsec 4096 آوریل 22 13:57 kde-secsec
drwx------ 2 secsec secsec 4096 آوریل 22 13:57 ksocket-secsec
-rw-rw-r-- 1 secsec secsec 3047 آوریل 22 11:15 starcal2-indicator-1000.png
-rw-rw-r-- 1 secsec secsec 0 آوریل 22 11:15 unity_support_test.0
-r--r--r-- 1 root root 11 آوریل 22 11:15 .X0-lock
drwxrwxrwt 2 root root 4096 آوریل 22 15:11 .X11-unix
خروجی ls /var/tmp -lab
total 12
drwxrwxrwt 3 root root 4096 آوریل 22 14:18 .
drwxr-xr-x 14 root root 4096 نوامب 22 22:05 ..
drwx------ 3 secsec secsec 4096 آوریل 18 18:06 kdecache-secsec
خروجی ls /dev/shm -lab
lrwxrwxrwx 1 root root 8 آوریل 22 11:14 /dev/shm -> /run/shm
ادامه توضیحات توی پست بعدی