Porte in ascolto e file non miei

[urss94]

Buonasera!


Oggi 30 Marzo 2023 19:36:22 ho trovato sul mio desktop dei file non miei . nel frattempo analizzando le porte in ascolto su Ubuntu 22.04 con Kernel 6.2 sul mio Dell Vostro 3510 riscontro questo output da terminale

michele@michele-Vostro-3501:~$ netstat -lntu
Connessioni Internet attive (solo server)
Proto CodaRic CodaInv Indirizzo locale Indirizzo remoto Stato
tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:5939 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:9050 0.0.0.0:* LISTEN
tcp6 0 0 :::445 :::* LISTEN
tcp6 0 0 :::139 :::* LISTEN
tcp6 0 0 ::1:9481 :::* LISTEN
tcp6 0 0 ::1:631 :::* LISTEN
tcp6 0 0 ::1:8888 :::* LISTEN
tcp6 0 0 127.0.0.1:9481 :::* LISTEN
tcp6 0 0 127.0.0.1:8888 :::* LISTEN
udp 0 0 0.0.0.0:44137 0.0.0.0:*
udp 0 0 127.0.0.53:53 0.0.0.0:*
udp 0 0 192.168.0.255:137 0.0.0.0:*
udp 0 0 192.168.0.241:137 0.0.0.0:*
udp 0 0 0.0.0.0:137 0.0.0.0:*
udp 0 0 192.168.0.255:138 0.0.0.0:*
udp 0 0 192.168.0.241:138 0.0.0.0:*
udp 0 0 0.0.0.0:138 0.0.0.0:*
udp 0 0 0.0.0.0:631 0.0.0.0:*
udp 0 0 0.0.0.0:5353 0.0.0.0:*
udp6 0 0 :::59055 :::*
udp6 0 0 :::33075 :::*
udp6 0 0 :::37212 :::*
udp6 0 0 fe80:8761:c3b:546 :::*
udp6 0 0 :::49802 :::*
udp6 0 0 :::50175 :::*
udp6 0 0 :::46166 :::*
udp6 0 0 :::5353 :::*
michele@michele-Vostro-3501:~$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Come posso chiudere le porte in Ascolto?

Cordiali saluti

[GjMan78]

Cerchiamo di capire bene quello che succede.

Secondo te, correggimi se sbaglio, "qualcuno" si è collegato dall'esterno al tuo pc per depositare dei file sul desktop del tuo utente.

Ragionamoci un attimo. Un possibile attaccante riesce a fare breccia nel sistema e come prima mossa lascia dei file sconosciuti nell'unica cartella di tutto il pc in cui il proprietario del PC può vederli immediatamente. Ti sembra una cosa logica? Secondo me se il tuo pc venisse hackerato non te ne accorgeresti nemmeno.
Non è forse possibile (e direi anche altamente più probabile) che questi file siano il risultato di un tuo comando sbagliato e che quindi siano stati creati senza che tu te ne accorgessi?
Che tipo di file sono? Puoi mostrarceli?

Dall'output di netstat a me sembra che sia tutto ok.

Prova anche a postare qui il risultato di

Codice: Seleziona tutto

ss -tuln 

P.S.
Quando senti rumore di zoccoli scommetti sul cavallo, non sulla zebra.
https://it.wikipedia.org/wiki/Rasoio_di_Occam

[Filoteo]

Io direi di aggiungere -p e sudo per vedere i nomi dei processi sudo ss -tulnp

[GjMan78]

Io direi di aggiungere -p e sudo per vedere i nomi dei processi sudo ss -tulnp

Ottima osservazione, grazie!

[DoctorStrange]

Non sei lo stesso utente del gruppo Ubuntu di telegram? Alla fine non avevi scoperto di avere Samba attivo?

[thece]

intanto ...

Frase di rito: come avrai sicuramente già visto in giro per il Forum, per rendere più comprensibile la discussione, dovresti formattare correttamente sia i comandi impartiti sia i relativi output racchiudendoli tra i tag [ code ] ... [ /code ] (scritti senza spazi) in modo da ottenere un qualcosa del genere

Codice: Seleziona tutto

COMANDO
...
OUTPUT
...

Puoi applicare i tag automaticamente selezionando il testo che vuoi racchiudere tra di essi e poi premendo il bottone </> (Codice) nella pulsantiera posta sopra il riquadro di scrittura.
Sei invitato a modificare il tuo precedente post.




Sul tuo router hai aperto delle porte?


Che file hai trovato? Cosa c'è dentro? A quale utente appartengono? Quando sono stati creati? Ti ricordi se stavi usando il PC in quel momento?


Nell'output di netstat qualcosa di sospetto c'è. Vedo il servizio di DNS proxy locale, CUPS, Samba, TOR e qualcosa che di primo acchito non riesco ad identificare.
Sospetto non significa che sicuramente sei stato hackerato, potresti anche aver preso un abbaglio ...

Come già stato suggerito ripeti il comando come

Codice: Seleziona tutto

sudo netstat -tulnp

oppure

Codice: Seleziona tutto

sudo ss -tulnp

Dal PID o dalla porta in ascolto puoi risalire ad altre utili informazioni con i comandi

Codice: Seleziona tutto

ps -ef | grep PID
sudo lsof -p PID
sudo lsof -i -n -P [[TCP|UDP]@:[PORT]]

(i comandi vanno opportunamente modificati)


Per rispondere strettamente alla tua domanda

Come posso chiudere le porte in Ascolto?

la porta in ascolto si chiude nel momento in cui si arresta il relativo processo che l'ha aperta.


Non ci sono solo i bravi hacker, ci sono anche quelli maldestri