Xubuntu riceve pacchetti NetBios su UDP dal mio router

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, ecc.

Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggioda Gianluca912 » domenica 2 dicembre 2018, 20:50

Ciao a tutti,

ho scoperto tramite Wireshark che il mio router (che sospetto essere infetto*) invia pacchetti NetBios al mio computer con Xubuntu, il quale risponde con ICMP riportando un errore. Così per curiosità ho avviato Windows scoprendo che risponde ai pacchetti NetBIOS, con altri pacchetti NetBIOS. Quindi cosa posso fare per risolvere e sopratutto si tratta davvero di un problema di sicurezza?

P.S. Ho provato a connettere un altro router al PC con Xubuntu è non c'è invio di questi pacchetti.

*Molto prima di fare queste prove ho notato che alcune volte aprivo una pagina Web ma venivo indirizzato a una di pubblicità oppure mi è capitato di ricevere pagina web non disponibile e premendo aggiorna, la pagina veniva normalmente caricata. (Questo solo con Windows 10 e Windows Phone). Così ho sospettato del router.
Hello :)
Gianluca912
Prode Principiante
 
Messaggi: 105
Iscrizione: dicembre 2012
Desktop: XFCE
Distribuzione: Xubuntu 18.04 (x64)
Sesso: Maschile

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggioda thece » domenica 2 dicembre 2018, 22:50

:ciao:

lo scambio di pacchetti NetBIOS è assolutamente normale in una rete che fa uso del servizio di condivisione file (aka SMB / Samba su Linux). Detto ciò, il fatto che il tuo modem / router xDSL e/o qualche dispositivo sulla tua LAN sia compromesso non si può escludere.
Avatar utente
thece
Rampante Reduce
Rampante Reduce
 
Messaggi: 9680
Iscrizione: aprile 2007
Distribuzione: Debian 9 (Stretch) - KDE

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggioda Gianluca912 » lunedì 3 dicembre 2018, 19:35

Grazie thece, però non ho nessun programma di condivisione file attivo sulla LAN e in realtà quando ho fatto le prove ad essere connessi erano solo il modem/router e il pc. Ho provato a resettare e aggiornare il firmware del router ma non ho notato differenze. Cosa faccio?
Hello :)
Gianluca912
Prode Principiante
 
Messaggi: 105
Iscrizione: dicembre 2012
Desktop: XFCE
Distribuzione: Xubuntu 18.04 (x64)
Sesso: Maschile

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggioda Stealth » lunedì 3 dicembre 2018, 19:57

Ormai tutti i router casalinghi hanno una presa usb, per condividere unità esterne e stampanti. Che io sappia quello è un server samba, hai verificato nell'interfaccia del router che il server non sia abilitato?
ciao
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
 
Messaggi: 15469
Iscrizione: gennaio 2006
Desktop: Unity
Distribuzione: Ubuntu 18.04 LTS

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggioda thece » lunedì 3 dicembre 2018, 20:08

Come ti ha scritto @Stealth, praticamente tutti i modem / router xDSL casalinghi integrano un servizio di condivisione file, che normalmente è attivo. Visto che praticamente tutti i modem / router xSDL hanno un firmware basato su Linux ne consegue che il server è Samba.
Su Xubuntu, se il tuo file manager integra i plugin per la condivisione dei file, questi scambiano continuamente pacchetti NetBIOS sulla LAN alla ricerca di altri PC che offrano quel tipo di risorse.
Su Windows il protocollo NetBIOS è attivo di default e usato pesantemente, fra tutti sempre per la condivisione di file e stampanti.
Avatar utente
thece
Rampante Reduce
Rampante Reduce
 
Messaggi: 9680
Iscrizione: aprile 2007
Distribuzione: Debian 9 (Stretch) - KDE

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggioda Gianluca912 » martedì 4 dicembre 2018, 12:29

Ok ho controllato, ma l'interfaccia html dice che il media server è disabilitato.
Hello :)
Gianluca912
Prode Principiante
 
Messaggi: 105
Iscrizione: dicembre 2012
Desktop: XFCE
Distribuzione: Xubuntu 18.04 (x64)
Sesso: Maschile

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggioda thece » martedì 4 dicembre 2018, 22:50

Io posso solo fare delle ipotesi. Tu hai la LAN e Wireshark sotto mano,. Solo tu puoi capire quale traffico di rete viene generato e da chi.
Avatar utente
thece
Rampante Reduce
Rampante Reduce
 
Messaggi: 9680
Iscrizione: aprile 2007
Distribuzione: Debian 9 (Stretch) - KDE

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggioda Gianluca912 » giovedì 6 dicembre 2018, 14:39

Io non ho le competenze per riuscire a comprendere cosa passa nella mia rete locale, però ho trovato un rootkit in Xubuntu 18.04 installato da nemmeno una settimana con il firewall configurato via ufw per impedire le connessioni in ingresso e in uscita eccetto per la porta 80, la 433 e la 53. Avrò connesso il pc a internet al massimo 4 o 6 volte e i siti che ho visitato erano tutti in https come questo forum. (Non ho installato nessun programma aggiuntivo) Wireshark era in live su un computer che faceva da hotspost. Come si spiega il rootkit? E sopratutto visto la complessità che ci vorrebbe per fare un attacco del genere (sempre che di attacco si tratti) è possibile usare il pc per accedere alla banca?
Hello :)
Gianluca912
Prode Principiante
 
Messaggi: 105
Iscrizione: dicembre 2012
Desktop: XFCE
Distribuzione: Xubuntu 18.04 (x64)
Sesso: Maschile

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggioda thece » giovedì 6 dicembre 2018, 14:55

Gianluca912 Immagine ha scritto:... però ho trovato un rootkit in Xubuntu 18.04 installato da nemmeno una settimana con il firewall configurato via ufw per impedire le connessioni in ingresso e in uscita eccetto per la porta 80, la 433 e la 53 ... Come si spiega il rootkit?

Mi spiace. Nessuno può darti una spiegazione senza prendere in mano il PC in questione.

Gianluca912 Immagine ha scritto:E sopratutto visto la complessità che ci vorrebbe per fare un attacco del genere (sempre che di attacco si tratti) è possibile usare il pc per accedere alla banca?

Dipende da che cosa il "rootkit" è in grado di fare e dal modo in cui tu accedi alla banca.
Esempio: io per accedere ai servizi di Home Banking ho bisogno di un codice generato da un dispositivo esterno al PC (token). Va da sè che il "rootkit" non potrebbe mai avere questo codice, quindi avviare una sessione di Home banking.

Al di là di tutti i discorsi, se non lo hai già fatto, reinstalla tutto.
Avatar utente
thece
Rampante Reduce
Rampante Reduce
 
Messaggi: 9680
Iscrizione: aprile 2007
Distribuzione: Debian 9 (Stretch) - KDE

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggioda Gianluca912 » giovedì 6 dicembre 2018, 15:10

Ok grazie, vi farò sapere.
Hello :)
Gianluca912
Prode Principiante
 
Messaggi: 105
Iscrizione: dicembre 2012
Desktop: XFCE
Distribuzione: Xubuntu 18.04 (x64)
Sesso: Maschile

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggioda DoctorStrange » giovedì 6 dicembre 2018, 15:52

Per curiosità, Gianluca912 quale sarebbe il rootkit che hai trovato? E come avresti fatto, a trovarlo?
Avatar utente
DoctorStrange
Entusiasta Emergente
Entusiasta Emergente
 
Messaggi: 1359
Iscrizione: ottobre 2015
Località: Roma, Italia
Desktop: Unity
Distribuzione: Ubuntu 16.04.03 Xenial Xerus
Sesso: Maschile

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggioda Stealth » giovedì 6 dicembre 2018, 16:35

E per ulteriore curiosità, il rootkit lo hai trovato prima o dopo aver aperto questa discussione? Lo dico perchè, in caso fosse prima, sapendo di un rootkit avremmo fatto altre ipotesi. Sempre campate in aria sia chiaro, ma altre
ciao
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
 
Messaggi: 15469
Iscrizione: gennaio 2006
Desktop: Unity
Distribuzione: Ubuntu 18.04 LTS

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggioda Gianluca912 » giovedì 6 dicembre 2018, 19:33

Il rootkit l'ho trovato con chkrootkit, mi segnala infetto tcpd, e l'ho scoperto dopo aver aperto questa discussione. L'ho scaricato perchè l'avvio era diventato più lento e un fastidioso click intermittente proveniente dall'HDD mi aveva insospettito. Devo dire di non aver installato programmi però per salvare le configurazioni del sistema operativo insieme al sistema ho avviato Linux Live Kit scaricato da qui: https://www.linux-live.org/ magari ha fatto qualche modifica questo programma.
Hello :)
Gianluca912
Prode Principiante
 
Messaggi: 105
Iscrizione: dicembre 2012
Desktop: XFCE
Distribuzione: Xubuntu 18.04 (x64)
Sesso: Maschile

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggioda DoctorStrange » giovedì 6 dicembre 2018, 19:36

Si, ma come si chiama questo rootkit? Puoi postare qualche log, o lo stack trace di chkrootkit?

Appare, quanto meno, poco probabile un rootkit su tcpd. Sarebbe una vulnerabilità di tale portata, che avrebbe fatto sicuramente notizia.

Grazie
Avatar utente
DoctorStrange
Entusiasta Emergente
Entusiasta Emergente
 
Messaggi: 1359
Iscrizione: ottobre 2015
Località: Roma, Italia
Desktop: Unity
Distribuzione: Ubuntu 16.04.03 Xenial Xerus
Sesso: Maschile

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggioda Gianluca912 » giovedì 6 dicembre 2018, 19:45

Questo è il risultato che ho ottenuto con chkrootkit:
Codice: Seleziona tutto
ROOTDIR is `/'
Checking `amd'...                                           not found
Checking `basename'...                                      not infected
Checking `biff'...                                          not found
Checking `chfn'...                                          not infected
Checking `chsh'...                                          not infected
Checking `cron'...                                          not infected
Checking `crontab'...                                       not infected
Checking `date'...                                          not infected
Checking `du'...                                            not infected
Checking `dirname'...                                       not infected
Checking `echo'...                                          not infected
Checking `egrep'...                                         not infected
Checking `env'...                                           not infected
Checking `find'...                                          not infected
Checking `fingerd'...                                       not found
Checking `gpm'...                                           not found
Checking `grep'...                                          not infected
Checking `hdparm'...                                        not infected
Checking `su'...                                            not infected
Checking `ifconfig'...                                      not infected
Checking `inetd'...                                         not infected
Checking `inetdconf'...                                     not found
Checking `identd'...                                        not found
Checking `init'...                                          not infected
Checking `killall'...                                       not infected
Checking `ldsopreload'...                                   not infected
Checking `login'...                                         not infected
Checking `ls'...                                            not infected
Checking `lsof'...                                          not infected
Checking `mail'...                                          not found
Checking `mingetty'...                                      not found
Checking `netstat'...                                       not infected
Checking `named'...                                         not found
Checking `passwd'...                                        not infected
Checking `pidof'...                                         not infected
Checking `pop2'...                                          not found
Checking `pop3'...                                          not found
Checking `ps'...                                            not infected
Checking `pstree'...                                        not infected
Checking `rpcinfo'...                                       not found
Checking `rlogind'...                                       not found
Checking `rshd'...                                          not found
Checking `slogin'...                                        not infected
Checking `sendmail'...                                      not found
Checking `sshd'...                                          not found
Checking `syslogd'...                                       not tested
Checking `tar'...                                           not infected
Checking `tcpd'...                                          INFECTED
Checking `tcpdump'...                                       not infected
Checking `top'...                                           not infected
Checking `telnetd'...                                       not found
Checking `timed'...                                         not found
Checking `traceroute'...                                    not found
Checking `vdir'...                                          not infected
Checking `w'...                                             not infected
Checking `write'...                                         not infected
Checking `aliens'...                                        no suspect files
Searching for sniffer's logs, it may take a while...        nothing found
Searching for rootkit HiDrootkit's default files...         nothing found
Searching for rootkit t0rn's default files...               nothing found
Searching for t0rn's v8 defaults...                         nothing found
Searching for rootkit Lion's default files...               nothing found
Searching for rootkit RSHA's default files...               nothing found
Searching for rootkit RH-Sharpe's default files...          nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found: 
/usr/lib/debug/.build-id /lib/modules/4.15.0-29-generic/vdso/.build-id
/usr/lib/debug/.build-id /lib/modules/4.15.0-29-generic/vdso/.build-id
Searching for LPD Worm files and dirs...                    nothing found
Searching for Ramen Worm files and dirs...                  nothing found
Searching for Maniac files and dirs...                      nothing found
Searching for RK17 files and dirs...                        nothing found
Searching for Ducoci rootkit...                             nothing found
Searching for Adore Worm...                                 nothing found
Searching for ShitC Worm...                                 nothing found
Searching for Omega Worm...                                 nothing found
Searching for Sadmind/IIS Worm...                           nothing found
Searching for MonKit...                                     nothing found
Searching for Showtee...                                    nothing found
Searching for OpticKit...                                   nothing found
Searching for T.R.K...                                      nothing found
Searching for Mithra...                                     nothing found
Searching for LOC rootkit...                                nothing found
Searching for Romanian rootkit...                           nothing found
Searching for Suckit rootkit...                             nothing found
Searching for Volc rootkit...                               nothing found
Searching for Gold2 rootkit...                              nothing found
Searching for TC2 Worm default files and dirs...            nothing found
Searching for Anonoying rootkit default files and dirs...   nothing found
Searching for ZK rootkit default files and dirs...          nothing found
Searching for ShKit rootkit default files and dirs...       nothing found
Searching for AjaKit rootkit default files and dirs...      nothing found
Searching for zaRwT rootkit default files and dirs...       nothing found
Searching for Madalin rootkit default files...              nothing found
Searching for Fu rootkit default files...                   nothing found
Searching for ESRK rootkit default files...                 nothing found
Searching for rootedoor...                                  nothing found
Searching for ENYELKM rootkit default files...              nothing found
Searching for common ssh-scanners default files...          nothing found
Searching for Linux/Ebury - Operation Windigo ssh...        not tested
Searching for 64-bit Linux Rootkit ...                      nothing found
Searching for 64-bit Linux Rootkit modules...               nothing found
Searching for Mumblehard Linux ...                          nothing found
Searching for Backdoor.Linux.Mokes.a ...                    nothing found
Searching for Malicious TinyDNS ...                         nothing found
Searching for Linux.Xor.DDoS ...                            nothing found
Searching for Linux.Proxy.1.0 ...                           nothing found
Searching for suspect PHP files...                          nothing found
Searching for anomalies in shell history files...           nothing found
Checking `asp'...                                           not infected
Checking `bindshell'...                                     not infected
Checking `lkm'...                                           chkproc: nothing detected
chkdirs: nothing detected
Checking `rexedcs'...                                       not found
Checking `sniffer'...                                       lo: not promisc and no packet sniffer sockets
Checking `w55808'...                                        not infected
Checking `wted'...                                          chkwtmp: nothing deleted
Checking `scalper'...                                       not infected
Checking `slapper'...                                       not infected
Checking `z2'...                                            user alex deleted or never logged from lastlog!
Checking `chkutmp'...                                        The tty of the following user process(es) were not found
 in /var/run/utmp !
! RUID          PID TTY    CMD
! alex         1527 pts/0  bash
! root         1551 pts/0  bash
! root         2682 pts/0  /bin/sh /usr/sbin/chkrootkit
! root         3337 pts/0  ./chkutmp
! root         3339 pts/0  ps axk tty,ruser,args -o tty,pid,ruser,args
! root         3338 pts/0  sh -c ps axk "tty,ruser,args" -o "tty,pid,ruser,args"
! root         1550 pts/0  su
! root         1536 pts/0  sudo su
chkutmp: nothing deleted
Checking `OSX_RSPLUG'...                                    not tested

Cosa devo inserire per mostrare quello che chiedi?
Hello :)
Gianluca912
Prode Principiante
 
Messaggi: 105
Iscrizione: dicembre 2012
Desktop: XFCE
Distribuzione: Xubuntu 18.04 (x64)
Sesso: Maschile

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggioda Filoteo » giovedì 6 dicembre 2018, 19:47

Potrebbe essere un falso positivo: https://askubuntu.com/questions/883495/ ... e-positive.

Facciamo come suggeriscono lì, per ora posta il checksum di tcpd con shasum /usr/sbin/tcpd. Gli altri partecipanti della discussione che hanno ubuntu 18.04 sono invitati a fare lo stesso così facciamo il confronto :D

Io purtroppo non ne ho uno sotto mano.
Ultima modifica di Filoteo il giovedì 6 dicembre 2018, 19:49, modificato 1 volta in totale.
Filoteo
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 367
Iscrizione: agosto 2015
Desktop: Gnome
Distribuzione: Manjaro Linux

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggioda Gianluca912 » giovedì 6 dicembre 2018, 19:49

Ok si tratta però di Xubuntu 18.04 non fa differenza vero?
Codice: Seleziona tutto
SHA512(tcpdump)= ff9ff3e78169590061a9882cc874e8c70f34eab08971fd79a2c5795c7c4c39dfbefddd999bd13b746c96d735797ca7d352dbd512b3841c3f5c9a2d175fade83b

Versione:
Codice: Seleziona tutto
Package: tcpdump
Status: install ok installed
Priority: optional
Section: net
Installed-Size: 1170
Maintainer: Ubuntu Developers <ubuntu-devel-discuss@lists.ubuntu.com>
Architecture: amd64
Multi-Arch: foreign
Version: 4.9.2-3
Replaces: apparmor-profiles-extra (<< 1.12~)
Depends: libc6 (>= 2.14), libpcap0.8 (>= 1.5.1), libssl1.1 (>= 1.1.0)
Suggests: apparmor (>= 2.3)
Breaks: apparmor-profiles-extra (<< 1.12~)
Conffiles:
 /etc/apparmor.d/usr.sbin.tcpdump 5a035d8c496c7891c76882d2be28ff7f
Description: command-line network traffic analyzer
 This program allows you to dump the traffic on a network. tcpdump
 is able to examine IPv4, ICMPv4, IPv6, ICMPv6, UDP, TCP, SNMP, AFS
 BGP, RIP, PIM, DVMRP, IGMP, SMB, OSPF, NFS and many other packet
 types.
 .
 It can be used to print out the headers of packets on a network
 interface, filter packets that match a certain expression. You can
 use this tool to track down network problems, to detect attacks
 or to monitor network activities.
Original-Maintainer: Romain Francoise <rfrancoise@debian.org>
Homepage: http://www.tcpdump.org/
Ultima modifica di Gianluca912 il giovedì 6 dicembre 2018, 19:57, modificato 3 volte in totale.
Hello :)
Gianluca912
Prode Principiante
 
Messaggi: 105
Iscrizione: dicembre 2012
Desktop: XFCE
Distribuzione: Xubuntu 18.04 (x64)
Sesso: Maschile

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggioda Filoteo » giovedì 6 dicembre 2018, 19:50

Credo sia lo stesso tra i vari *ubuntu anche se bisognerebbe assicurarsi di avere la stessa versione del pacchetto che lo ha installato ora che ci penso.
Filoteo
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 367
Iscrizione: agosto 2015
Desktop: Gnome
Distribuzione: Manjaro Linux

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggioda thece » giovedì 6 dicembre 2018, 21:33

Gianluca912 Immagine ha scritto:Questo è il risultato che ho ottenuto con chkrootkit:
Codice: Seleziona tutto
...
Checking `tcpd'...     INFECTED
...


perchè hai riportato il checksum di tcpdump? (che comunque è corretto)

Su Ubuntu 18.04 - 64bit il checksum di /usr/sbin/tcpd è:

Codice: Seleziona tutto
4776d342bc818602ed8ff7709eb732b8de5049c3c80361c58f9278e3e94d64ac080bfe87b2fe901805b43cc23dbce87f3b5101fac036b4c8855c2864cf339647



Per una auto verifica:

il file che vuoi controllare lo puoi cercare in tutti i pacchetti presenti nei repository configurati con il comando

Codice: Seleziona tutto
apt-file search <FILE>

Una volta trovato il pacchetto, lo puoi scaricare da https://packages.ubuntu.com/ e lo puoi decomprimere con il comando

Codice: Seleziona tutto
dpkg -x <PACCHETTO> /<PATH>

poi (anche se tu lo sai già) ne calcoli il checksum con

Codice: Seleziona tutto
sha512sum /<PATH>/<FILE>
Avatar utente
thece
Rampante Reduce
Rampante Reduce
 
Messaggi: 9680
Iscrizione: aprile 2007
Distribuzione: Debian 9 (Stretch) - KDE

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggioda Gianluca912 » venerdì 7 dicembre 2018, 12:34

thece Immagine ha scritto:perchè hai riportato il checksum di tcpdump? (che comunque è corretto)

Perchè io tcpd in /usr/sbin/ non lo vedo :cieco: e pensavo dunque che il file fosse tcpdump, perchè non lo vedo da root con ls -a?
Hello :)
Gianluca912
Prode Principiante
 
Messaggi: 105
Iscrizione: dicembre 2012
Desktop: XFCE
Distribuzione: Xubuntu 18.04 (x64)
Sesso: Maschile

Successiva

Torna a Sicurezza

Chi c’è in linea

Visualizzano questa sezione: 0 utenti registrati e 1 ospite