Pagina 1 di 1
Upload continuo anomalo!!!
Inviato: 20 set 2015, 11:18
da mbdip
Salve a tutti,
erroneamente ho sbloccato tutte le porte del NAS per qualche giorno, compresa la SSH. Negli ultimi giorni nostra notavo un calo di prestazioni della mia rete ADSL.
Notavo continui errori di LogIn SSH, dopo ho capito di essere sotto attacco. Ho chiuso le porte e gli errori di login non si presentano più.
La rete ora sembra andare abbastanza bene, però noto che il NAS a volte resta in continuo upload occupando parecchia banda e calano le prestazioni della connessione.
C'è un modo per controllare quali processi sfruttano l'upload? Ho fermato transmission ma l'upload non si ferma
EDIT
come non detto, disattivando l'applicazione transmission dall'app center c'è stato un calo improvviso dell'upload.
Però è strano, non avevo alcun torrent attivo. Inoltre l'upload ora è fisso sui 10/15 kb/s.
Se riattivo transmission l'upload sale a 50 kb/s, nonostante l'upload è di trasmissione sia appena 7 kb/s....
C'è qualcosa che non va
Re: Upload continuo anomalo!!!
Inviato: 20 set 2015, 13:04
da merluzzo
se, come sembra, ti hanno "sfondato":
a) spegni il nas o mettilo off line, non sai cosa riceve/trasmette a tua insaputa
b) controllo di tutti gli apparati di rete con il kit dell'esorcista: antivirus, anti rootkit, spyware, malware
c) collega solo il nas e un pc sicuro (meglio se bootstrappato da una distro live) e fai il backup dei dati del nas
d) come il punto b) sui dati backuppati
e) scarica il tuo firmware e reinstallalo sul nas, dovrebbe cancellare/sovrascrivere lo "spirito immondo" che infesta il tuo nas.
Se non sai fare le procedure di cui sopra (o non ti senti sicuro) rivolgiti ad un amico esperto.
PS download e' quando tu ricevi i dati, upload e' quando tu li invii, non si capisce bene nel tuo post.
Re: Upload continuo anomalo!!!
Inviato: 20 set 2015, 15:26
da mbdip
Guardando il log degli accessi non ho notato alcun accesso da ip sconosciuto.
Ma senza processi significativamente attivi, quanto dovrebbe essere l'upload? Zero?
Re: Upload continuo anomalo!!!
Inviato: 20 set 2015, 15:32
da merluzzo
mbdip ha scritto:Guardando il log degli accessi non ho notato alcun accesso da ip sconosciuto.
se ti fidi del log..
mbdip ha scritto:
Ma senza processi significativamente attivi, quanto dovrebbe essere l'upload? Zero?
Upload? Zero! A chi e cosa starebbe mandando il tuo nas a tua insaputa?
Cmq disattiva tutti i servizi e vedi cosa fa il nas, se accedi in ssh una botta di top, ps e netstat e vedi quali sono i processi interessati.
Re: Upload continuo anomalo!!!
Inviato: 20 set 2015, 18:25
da mbdip
merluzzo ha scritto:mbdip ha scritto:Guardando il log degli accessi non ho notato alcun accesso da ip sconosciuto.
Cmq disattiva tutti i servizi e vedi cosa fa il nas, se accedi in ssh una botta di top, ps e netstat e vedi quali sono i processi interessati.
È esattamente questo quello che vorrei fare, ma avrei bisogno di una mezza guida almeno ^-^
Il problema riguardo il backup e l'uso di antivirus è che comunque dovrei acquistare altri 2/3 TB di Storage, poi certamente non metto in dubbio che possano esistere dei virus per Linux, però mi suona strano.
Dal Linux come faccio per fare scansione con kit antischifezze?
Perdonami, ma essendo comunque collegati in rete con un cloud, non ci deve essere sempre un seppur minimo scambio di pacchetti?
Re: Upload continuo anomalo!!!
Inviato: 20 set 2015, 18:52
da merluzzo
mbdip ha scritto:
È esattamente questo quello che vorrei fare, ma avrei bisogno di una mezza guida almeno ^-^
Beh ti basta seguire la scaletta che ti ho fatto, non c'e' nulla di complicato, sono operazioni che gestendo un NAS ti troverai a fare con regolarita', backup, antivirus e aggiornamento.
Internet e' il paradiso degli howto, guide e documentazione varia e assortita, basta una botta di san gugol e trovi tutto.
Se cerchi qui nel forum troverai anche casi molto simili al tuo oppure, avendo linux sottomano apri un terminale e scrivi "man ps", "man netstat", "man top" e "man man" per avere il manuale del manuale.
Se ti puo' consolare direi che e' inevitabile: se vuoi capire devi studiare, non c'e' via di scampo e ci siamo passati tutti.
Re: Upload continuo anomalo!!!
Inviato: 20 set 2015, 20:34
da mbdip
Grazie 1000
Re: Upload continuo anomalo!!!
Inviato: 03 nov 2015, 12:54
da mbdip
come non speravo i cinesi sono entrati.. ed anche qualcuno da mountain view... :(
Codice: Seleziona tutto
[~] # netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 localhost:37755 localhost:58080 CLOSE_WAIT
tcp 0 0 localhost:37761 localhost:58080 CLOSE_WAIT
tcp 0 0 localhost:37716 localhost:58080 CLOSE_WAIT
tcp 0 0 localhost:58080 localhost:37760 TIME_WAIT
tcp 0 0 localhost:58080 localhost:37752 TIME_WAIT
tcp 0 0 localhost:58080 localhost:37753 TIME_WAIT
tcp 0 0 10.8.0.1:9000 10.8.0.1:55880 TIME_WAIT
tcp 0 0 localhost:58080 localhost:37763 FIN_WAIT2
tcp 0 0 localhost:37722 localhost:58080 CLOSE_WAIT
tcp 0 0 localhost:43294 localhost:3310 ESTABLISHED
tcp 0 240 NASE3BE94:ssh 192.168.0.9:44794 ESTABLISHED
tcp 0 0 localhost:44319 localhost:webcache TIME_WAIT
tcp 0 0 localhost:3310 localhost:43289 ESTABLISHED
tcp 0 0 10.8.0.1:9000 10.8.0.1:55911 TIME_WAIT
tcp 0 0 NASE3BE94:webcache 192.168.0.9:49770 TIME_WAIT
tcp 0 0 localhost:37529 localhost:58080 CLOSE_WAIT
tcp 0 0 NASE3BE94:42126 NASE3BE94:9000 TIME_WAIT
tcp 0 0 NASE3BE94:9000 NASE3BE94:42129 TIME_WAIT
tcp 0 0 localhost:43314 localhost:3310 ESTABLISHED
tcp 0 0 localhost:43290 localhost:3310 ESTABLISHED
tcp 0 0 localhost:3310 localhost:43294 ESTABLISHED
tcp 0 0 localhost:37683 localhost:58080 CLOSE_WAIT
[color=#BF0000]tcp 0 1 NASE3BE94:33245 74.125.31.99:www SYN_SENT [/color]
tcp 0 0 localhost:44304 localhost:webcache TIME_WAIT
[color=#BF0000]tcp 0 1 NASE3BE94:46055 220.181.111.147:www SYN_SENT [/color]
tcp 0 0 localhost:43289 localhost:3310 ESTABLISHED
tcp 0 0 localhost:37689 localhost:58080 CLOSE_WAIT
tcp 0 0 localhost:43293 localhost:3310 ESTABLISHED
tcp 0 0 10.8.0.1:9000 10.8.0.1:55908 TIME_WAIT
tcp 0 0 localhost:43289 localhost:3310 ESTABLISHED
tcp 0 0 localhost:37689 localhost:58080 CLOSE_WAIT
tcp 0 0 localhost:43293 localhost:3310 ESTABLISHED
tcp 0 0 localhost:37720 localhost:58080 CLOSE_WAIT
tcp 0 0 localhost:3310 localhost:43293 ESTABLISHED
tcp 0 0 NASE3BE94:42154 NASE3BE94:9000 TIME_WAIT
[color=#BF0000]tcp 0 1 NASE3BE94:48350 61.188.37.216:8000 SYN_SENT [/color]
tcp 0 0 localhost:8200 localhost:34445 TIME_WAIT
tcp 0 0 localhost:37696 localhost:58080 CLOSE_WAIT
tcp 0 0 localhost:37763 localhost:58080 CLOSE_WAIT
[color=#BF0000]tcp 0 1 NASE3BE94:59222 220.181.111.148:www SYN_SENT [/color]
tcp 0 0 10.8.0.1:9000 10.8.0.1:55939 TIME_WAIT
tcp 0 0 localhost:3310 localhost:43313 ESTABLISHED
tcp 0 0 localhost:3310 localhost:43314 ESTABLISHED
netstat: no support for `AF INET6 (tcp)' on this system.
udp 0 704 NASE3BE94:58123 8.8.8.8:domain ESTABLISHED
udp 0 0 NASE3BE94:38705 8.8.4.4:domain ESTABLISHED
udp 0 0 localhost:46982 localhost:syslog ESTABLISHED
netstat: no support for `AF INET6 (udp)' on this system.
netstat: no support for `AF INET6 (raw)' on this system.
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags Type State I-Node Path
unix 2 [ ] DGRAM 8538 @@/org/kernel/udev/udevd1
unix 2 [ ] DGRAM 29859 /tmp/.qdmc.ipc.xxx
unix 3 [ ] STREAM CONNECTED 5605628
unix 3 [ ] STREAM CONNECTED 5605627
unix 3 [ ] STREAM CONNECTED 5294183 /var/state/ups/blazer_usb-qnapups
unix 3 [ ] STREAM CONNECTED 5293300
[~] #
Dopo aver aggiornato il firmware gli intrusi sembrano spariti
Codice: Seleziona tutto
[~] # netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 localhost:34834 localhost:webcache TIME_WAIT
tcp 0 0 localhost:38357 localhost:58080 CLOSE_WAIT
tcp 0 0 localhost:3310 localhost:50508 ESTABLISHED
tcp 0 0 localhost:35983 localhost:58080 CLOSE_WAIT
tcp 0 0 localhost:3310 localhost:50509 ESTABLISHED
tcp 0 0 localhost:35582 localhost:58080 CLOSE_WAIT
tcp 0 0 localhost:50521 localhost:3310 ESTABLISHED
tcp 0 0 localhost:3310 localhost:50512 ESTABLISHED
tcp 0 0 localhost:3310 localhost:50513 ESTABLISHED
tcp 0 0 localhost:38634 localhost:58080 CLOSE_WAIT
tcp 0 0 localhost:38441 localhost:58080 CLOSE_WAIT
tcp 0 0 localhost:3310 localhost:50520 ESTABLISHED
tcp 0 0 localhost:35855 localhost:58080 CLOSE_WAIT
tcp 0 0 NASE3BE94:45037 li1421-136.member:https ESTABLISHED
tcp 0 0 localhost:50508 localhost:3310 ESTABLISHED
tcp 0 0 localhost:50512 localhost:3310 ESTABLISHED
tcp 0 0 localhost:38652 localhost:58080 CLOSE_WAIT
tcp 0 0 localhost:36164 localhost:58080 CLOSE_WAIT
tcp 0 0 localhost:50513 localhost:3310 ESTABLISHED
tcp 0 0 localhost:38651 localhost:58080 CLOSE_WAIT
tcp 0 0 localhost:50509 localhost:3310 ESTABLISHED
tcp 0 0 localhost:34837 localhost:webcache TIME_WAIT
tcp 0 0 localhost:3310 localhost:50521 ESTABLISHED
tcp 0 0 localhost:50520 localhost:3310 ESTABLISHED
tcp 0 0 localhost:38565 localhost:58080 CLOSE_WAIT
tcp 0 360 NASE3BE94:ssh 192.168.0.2:57473 ESTABLISHED
netstat: no support for `AF INET6 (tcp)' on this system.
udp 0 0 localhost:48584 localhost:syslog ESTABLISHED
netstat: no support for `AF INET6 (udp)' on this system.
netstat: no support for `AF INET6 (raw)' on this system.
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags Type State I-Node Path
unix 2 [ ] DGRAM 9503 @@/org/kernel/udev/udevd1
unix 3 [ ] STREAM CONNECTED 64767
unix 3 [ ] STREAM CONNECTED 64766
unix 3 [ ] STREAM CONNECTED 38558 /var/state/ups/blazer_usb-qnapups
unix 3 [ ] STREAM CONNECTED 39035
unix 2 [ ] STREAM CONNECTED 27593
unix 3 [ ] STREAM CONNECTED 25883
unix 3 [ ] STREAM CONNECTED 25882
unix 3 [ ] STREAM CONNECTED 23948
unix 3 [ ] STREAM CONNECTED 23947
[~] #
È sempre però attivo un minimo trasferimento in rete nonostante abbia bloccato le connessioni con l'esterno e disattivato tutti i servizi. Quindi forse potrebbe essere dovuto alla visualizzazione nel browser?
Re: Upload continuo anomalo!!!
Inviato: 03 nov 2015, 14:57
da merluzzo
se hai:
tcp 0 360 NASE3BE94:ssh 192.168.0.2:57473 ESTABLISHED
e' normale che ci sia traffico sulla rete
per questo invece
tcp 0 0 NASE3BE94:45037 li1421-136.member:https ESTABLISHED
dai un occhio qui
http://www.malwaredomainlist.com/mdl.ph ... search=All..
e non solo, usa google e trovi un bel po' di roba.
Re: Upload continuo anomalo!!!
Inviato: 03 nov 2015, 19:42
da mbdip
Dal tuo link capisco che .members sono dei blackhole exploit
cosa dovrei cercare su google?
come pulisco il NAS???????
installando il fw non l'ho esorcizzato :-(
Re: Upload continuo anomalo!!!
Inviato: 04 nov 2015, 07:10
da merluzzo
mbdip ha scritto:Dal tuo link capisco che .members sono dei blackhole exploit
cosa dovrei cercare su google?
qualcosa tipo come agiscono, come infettano una rete cosi magari ti rendi conto dei problemi che ha la tua rete e ti dai fare per risolverli..
mbdip ha scritto:
come pulisco il NAS???????
installando il fw non l'ho esorcizzato :-(
Ti ho risposto il 20 settembre...
Re: Upload continuo anomalo!!!
Messaggio da merluzzo » 20 set 2015, 12:04
se, come sembra, ti hanno "sfondato":
a) spegni il nas o mettilo off line, non sai cosa riceve/trasmette a tua insaputa
b) controllo di tutti gli apparati di rete con il kit dell'esorcista: antivirus, anti rootkit, spyware, malware
c) collega solo il nas e un pc sicuro (meglio se bootstrappato da una distro live) e fai il backup dei dati del nas
d) come il punto b) sui dati backuppati
e) scarica il tuo firmware e reinstallalo sul nas, dovrebbe cancellare/sovrascrivere lo "spirito immondo" che infesta il tuo nas.
Re: Upload continuo anomalo!!!
Inviato: 04 nov 2015, 11:28
da mbdip
ho fatto come hai detto (se aggiornare equivale a reinstallare), ma a quanto pare ho ancora qualche malware... :(
Re: Upload continuo anomalo!!!
Inviato: 04 nov 2015, 12:31
da merluzzo
mbdip ha scritto:ho fatto come hai detto (se aggiornare equivale a reinstallare), ma a quanto pare ho ancora qualche malware... :(
un viaggetto a Lourdes? Dai che scherzo
Per quello dicevo sopra di controllare come agisce il tuo malware.. sapendo il suo modus operandi sai dove colpire.
devi rifare tutto da capo, ma prima e' imperativo:
a) staccare
fisicamente la connessione internet dal tuo router
b) spegnere
tutti gli apparati/pc di rete, devono essere in funzione solo pc esorcista e nas
gli step fanno eseguiti nell'ordine senza saltare nessun passaggio.
C'e' anche la possibilita' che il malware sia installato in qualche personal web site che hai installato sul nas, quindi robe come wordpress, phpbb, drupal quindi questi siti vanno brasati a zero, database compresi.