Ubuntu -UDP-трафик на порту 123
проверьте свою переменную $TERM, чтобы увидеть, какой терминал вы на самом деле используете. Если используется xterm (или xterm *), добавьте это в ~/.screenrc, чтобы разрешить прокрутку мышью:
termcapinfo xterm* ti@:te@
или, чтобы быть более полным:
termcapinfo xterm*|rxvt*|kterm*|Eterm* ti@:te@
не изменяя ваш ~/.screenrc, вы можете прокручивать с помощью Ctrl -ESC, а затем использовать стрелки вверх -вниз. q выйти.
Примечание. :Вы также можете использовать мышь для переключения между разделенными окнами, добавив это в свой ~/.screenrc
mousetrack on
Term Cap представляет собой независимую от устройства библиотеку/базу данных описания терминала.
Ссылки/копии из:
Терминал :команда termcapinfo не найдена
https://en.wikipedia.org/wiki/Termcap
https://superuser.com/questions/629004/gnu-screen-change-focus-in-split-windows-with-mouse
Usted afirma que
I have stopped ntpd
Entonces, lo que ha estado observando es casi seguramente una actividad ilegal. UDP/123 es un IANA -puerto asignado , no puede ser utilizado por ninguna otra aplicación legítima :la página oficial de asignación de puertos de IANA indica:
Assigned ports both System and User ports SHOULD NOT be used without or prior to IANA registration.
(Los puertos del sistema se definen más arriba en el mismo documento que los puertos en el rango 0 -1023 ).
El puerto TCP/123 es utilizado por un programa malicioso bien conocido -, lo que demuestra que en los sistemas comprometidos en los que se han obtenido las credenciales de raíz, los puertos del sistema se utilizan habitualmente para contrabandear tráfico ilícito. Hay muchas razones plausibles para usar UDP en lugar de TCP, posiblemente la más importante de las cuales es el uso de una VPN encriptada (en cuyo caso wireshark no lo ayudará en lo más mínimo ), y para usar un puerto del sistema (es más fácil evadir la detección si usa un puerto inocente ).
Más de wireshark , tu amigo es ss:
ss -lnup | grep 123
le dará la identificación del proceso que escucha en el puerto UDP/123. Cualquier cosa menos ntp o, peor aún, nada, significará que ha sido asaltado. Pero cruzaremos ese puente cuando lleguemos allí.
EDITAR:
Un seguimiento -a tu comentario. Estas pruebas sugieren que ha sido pirateado:
un servicio misterioso que se ejecuta en UDP/123, sin dejar rastro (que sugiere la presencia de un rootkit );
un puerto misterioso -que aparece en su enrutador;
conexiones de cuentas de consumidores(verifíquelas en whatismyipaddress.com o con whois comando ). Por cierto, ninguna de las tres direcciones IP que proporcionó está conectada de forma remota con un servidor ntp .
Lo más seguro es volver a -instalar el sistema operativo,luego cambie la configuración (incluyendo la contraseña!! )de su enrutador (posiblemente deshabilitando el inicio de sesión con contraseña a favor del uso de claves criptográficas )para permitir solohttps conexiones. Si no desea volver a -instalar el sistema operativo porque tiene datos confidenciales, tome cualquier distribución de Linux que se ejecute desde una memoria USB (Ubuntu está bien ), inicie su PC desde allí(no desde su disco duro ), instale clamav , rkhunter y chkroot en la llave USB y configúrelos para que funcionen en su disco duro. Esto evita la capacidad de algunos programas maliciosos de evadir la detección por parte de programas anti -porque el disco en el que reside el malware se usa de forma pasiva, es decir, los programas que contiene no se ejecutan.
Además, recuerde que la protección con contraseña(fail2ban a pesar de )no es suficiente protección hoy en día, y que siempre debe usar claves criptográficas en su lugar. Además, cambiar el puerto predeterminado para las conexiones ssh lo hace invisible al menos para los niños con secuencias de comandos (aunque cualquier oponente determinado nunca se dejará engañar por tal estratagema ). Además, es posible que desee leer esta publicación , incluidas las respuestas, para obtener más consejos.
Buena suerte.
Puede usar tcpdumppara capturar el tráfico, luego copiar el archivo pcap -a su computadora e inspeccionarlo en wireshark. No se deje engañar por el nombre, tcpdump también captura paquetes udp.
El puerto UDP 123 es el puerto NTP predeterminado. Así que revisa tu configuración NTP. Lo más probable es que sea sincronización estándar. Tendría que capturar paquetes con tcpdump e inspeccionar el contenido (wireshark ).
может быть systemd -timesyncd...
Чтобы узнать, используйте (в корне):
# ss -lnup | grep systemd-timesyn
Если возврат:
users:(("systemd-timesyn",pid=xxxx,fd=xx))
Вот и все.
Вы также можете использовать:
systemctl status systemd-timesyncd
Чтобы остановить отключение systemd -timesyncd (в корне):
# systemctl stop systemd-timesyncd
# systemctl disable systemd-timesyncd
I noticed a massive amount of UDP traffic on port 123 that I have no idea where is coming from.
В моем определении массивности это будет означать, что вы постоянно видите трафик на порту 123 каждую секунду, например. на протяжении целой минуты.
И вы говорите, что не просили этого. Например, вы не указали себя в качестве общедоступного NTP-сервера :). Или настроить 5+ других компьютеров на использование этого NTP-сервера и наблюдать за трафиком, когда все 5 включены одновременно.
Если это так, есть еще одна возможность, которая могла бы объяснить это. Кто-то может попытаться использовать ваш компьютер для атаки на кого-то другого. Посмотрите «Атака с усилением NTP». Лучшие результаты Google включают пояснения от таких компаний, как Cloudflare, которые продают услуги по защите веб-сайтов от лавинных атак.
https://www.cloudflare.com/learning/ddos/ntp-amplification-ddos-attack/
(Я сам видел такое, но с трафиком uPNP, порт UDP 1900, на потребительском маршрутизаторе с плохой конфигурацией.)
На данный момент я предполагаю, что злоумышленники все еще пытаются использовать вас и будут продолжать в течение некоторого времени. Если вы заблокируете их на половине -пути атаки, они не обязательно получат какой-либо сигнал о том, что это произошло. Они могут заметить это позже, когда повторно -просканируют серверы NTP, которые они могут использовать.
Похоже, изменение конфигурации маршрутизатора по какой-то причине не сработало...
I guess the port forward I made on my router took a while to kick in. Basically what I did was forward all UDP traffic on port 123 to 192.168.2.3. On my LAN, all IPs are 192.168.1.*. I don't know why the traffic was being delivered to my Linux box in the first place. The router is supposed to block everything except the port forwards I manually define.
О. Если вы добавите это условие, я не понимаю ситуацию, извините. Я не могу понять, почему вы когда-либо видели эти условия, если только я не начну придираться к тому, что вы сказали.
Обратите внимание, что иногда люди настраивают отдельный параметр, помеченный как «DMZ» или, может быть, «переадресация портов по умолчанию» на сервер, такой как ваш Odroid, который в основном перенаправляет все порты, для которых у вас нет определенного правила. Я изначально предполагал, что у вас есть такая установка. Я бы на вашем месте поискал такой вариант конфигурации. Вполне вероятно, что я бы поставил эту опцию раньше и забыл о ней.
Пока я не уверен на 100%. Я мог бы также дважды -проверить, что я вижу только входящий UDP и что я не вижу равного или большего количества исходящего UDP. Если также есть «огромное количество» неожиданных исходящих UDP на порту 123, это может означать, что Odroid был захвачен. Затем вам следует повторно -установить его с нуля, обращая особое внимание на безопасность (обновленного -до -программного обеспечения и осторожного доступа к SSH ).
Я думаю, что это наиболее вероятные интерпретации. Второй случай мне менее знаком. Я не видел популярных статей о компрометации универсальных серверных дистрибутивов Linux для лавинных атак (, т. е. компрометации через SSH или веб-сервер)-и, в частности, не с помощью вредоносного ПО, совместимого с ARM -. Все это возможно, но я не знаю, насколько это распространено.