Porte in ascolto e file non miei
- urss94
- Prode Principiante
- Messaggi: 20
- Iscrizione: sabato 5 settembre 2009, 10:26
- Desktop: Unity
- Distribuzione: Ubuntu 22.04
- Sesso: Maschile
- Località: ragusa
Porte in ascolto e file non miei
Buonasera!
Oggi 30 Marzo 2023 19:36:22 ho trovato sul mio desktop dei file non miei . nel frattempo analizzando le porte in ascolto su Ubuntu 22.04 con Kernel 6.2 sul mio Dell Vostro 3510 riscontro questo output da terminale
michele@michele-Vostro-3501:~$ netstat -lntu
Connessioni Internet attive (solo server)
Proto CodaRic CodaInv Indirizzo locale Indirizzo remoto Stato
tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:5939 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:9050 0.0.0.0:* LISTEN
tcp6 0 0 :::445 :::* LISTEN
tcp6 0 0 :::139 :::* LISTEN
tcp6 0 0 ::1:9481 :::* LISTEN
tcp6 0 0 ::1:631 :::* LISTEN
tcp6 0 0 ::1:8888 :::* LISTEN
tcp6 0 0 127.0.0.1:9481 :::* LISTEN
tcp6 0 0 127.0.0.1:8888 :::* LISTEN
udp 0 0 0.0.0.0:44137 0.0.0.0:*
udp 0 0 127.0.0.53:53 0.0.0.0:*
udp 0 0 192.168.0.255:137 0.0.0.0:*
udp 0 0 192.168.0.241:137 0.0.0.0:*
udp 0 0 0.0.0.0:137 0.0.0.0:*
udp 0 0 192.168.0.255:138 0.0.0.0:*
udp 0 0 192.168.0.241:138 0.0.0.0:*
udp 0 0 0.0.0.0:138 0.0.0.0:*
udp 0 0 0.0.0.0:631 0.0.0.0:*
udp 0 0 0.0.0.0:5353 0.0.0.0:*
udp6 0 0 :::59055 :::*
udp6 0 0 :::33075 :::*
udp6 0 0 :::37212 :::*
udp6 0 0 fe80:8761:c3b:546 :::*
udp6 0 0 :::49802 :::*
udp6 0 0 :::50175 :::*
udp6 0 0 :::46166 :::*
udp6 0 0 :::5353 :::*
michele@michele-Vostro-3501:~$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Come posso chiudere le porte in Ascolto?
Cordiali saluti
Oggi 30 Marzo 2023 19:36:22 ho trovato sul mio desktop dei file non miei . nel frattempo analizzando le porte in ascolto su Ubuntu 22.04 con Kernel 6.2 sul mio Dell Vostro 3510 riscontro questo output da terminale
michele@michele-Vostro-3501:~$ netstat -lntu
Connessioni Internet attive (solo server)
Proto CodaRic CodaInv Indirizzo locale Indirizzo remoto Stato
tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:5939 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:9050 0.0.0.0:* LISTEN
tcp6 0 0 :::445 :::* LISTEN
tcp6 0 0 :::139 :::* LISTEN
tcp6 0 0 ::1:9481 :::* LISTEN
tcp6 0 0 ::1:631 :::* LISTEN
tcp6 0 0 ::1:8888 :::* LISTEN
tcp6 0 0 127.0.0.1:9481 :::* LISTEN
tcp6 0 0 127.0.0.1:8888 :::* LISTEN
udp 0 0 0.0.0.0:44137 0.0.0.0:*
udp 0 0 127.0.0.53:53 0.0.0.0:*
udp 0 0 192.168.0.255:137 0.0.0.0:*
udp 0 0 192.168.0.241:137 0.0.0.0:*
udp 0 0 0.0.0.0:137 0.0.0.0:*
udp 0 0 192.168.0.255:138 0.0.0.0:*
udp 0 0 192.168.0.241:138 0.0.0.0:*
udp 0 0 0.0.0.0:138 0.0.0.0:*
udp 0 0 0.0.0.0:631 0.0.0.0:*
udp 0 0 0.0.0.0:5353 0.0.0.0:*
udp6 0 0 :::59055 :::*
udp6 0 0 :::33075 :::*
udp6 0 0 :::37212 :::*
udp6 0 0 fe80:8761:c3b:546 :::*
udp6 0 0 :::49802 :::*
udp6 0 0 :::50175 :::*
udp6 0 0 :::46166 :::*
udp6 0 0 :::5353 :::*
michele@michele-Vostro-3501:~$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Come posso chiudere le porte in Ascolto?
Cordiali saluti
- GjMan78
- Rampante Reduce
- Messaggi: 5503
- Iscrizione: mercoledì 22 novembre 2006, 19:15
- Desktop: KdePlasma
- Distribuzione: EndeavourOS
- Sesso: Maschile
- Località: ~/Italia/Lazio/Viterbo/
Re: Porte in ascolto e file non miei
Cerchiamo di capire bene quello che succede.
Secondo te, correggimi se sbaglio, "qualcuno" si è collegato dall'esterno al tuo pc per depositare dei file sul desktop del tuo utente.
Ragionamoci un attimo. Un possibile attaccante riesce a fare breccia nel sistema e come prima mossa lascia dei file sconosciuti nell'unica cartella di tutto il pc in cui il proprietario del PC può vederli immediatamente. Ti sembra una cosa logica? Secondo me se il tuo pc venisse hackerato non te ne accorgeresti nemmeno.
Non è forse possibile (e direi anche altamente più probabile) che questi file siano il risultato di un tuo comando sbagliato e che quindi siano stati creati senza che tu te ne accorgessi?
Che tipo di file sono? Puoi mostrarceli?
Dall'output di netstat a me sembra che sia tutto ok.
Prova anche a postare qui il risultato di
P.S.
Quando senti rumore di zoccoli scommetti sul cavallo, non sulla zebra.
https://it.wikipedia.org/wiki/Rasoio_di_Occam
Secondo te, correggimi se sbaglio, "qualcuno" si è collegato dall'esterno al tuo pc per depositare dei file sul desktop del tuo utente.
Ragionamoci un attimo. Un possibile attaccante riesce a fare breccia nel sistema e come prima mossa lascia dei file sconosciuti nell'unica cartella di tutto il pc in cui il proprietario del PC può vederli immediatamente. Ti sembra una cosa logica? Secondo me se il tuo pc venisse hackerato non te ne accorgeresti nemmeno.
Non è forse possibile (e direi anche altamente più probabile) che questi file siano il risultato di un tuo comando sbagliato e che quindi siano stati creati senza che tu te ne accorgessi?
Che tipo di file sono? Puoi mostrarceli?
Dall'output di netstat a me sembra che sia tutto ok.
Prova anche a postare qui il risultato di
Codice: Seleziona tutto
ss -tuln
Quando senti rumore di zoccoli scommetti sul cavallo, non sulla zebra.
https://it.wikipedia.org/wiki/Rasoio_di_Occam
MacBook Pro - Intel i5-3210 - 16 Gbyte Ram DDR3 - SSD 500 Gbyte x 2
»»» 𝗙𝗮𝗶 𝗶𝗹 𝗕𝗮𝗰𝗸𝘂𝗽! ¯\_(ツ)_/¯
»»» 𝗙𝗮𝗶 𝗶𝗹 𝗕𝗮𝗰𝗸𝘂𝗽! ¯\_(ツ)_/¯
- Filoteo
- Entusiasta Emergente
- Messaggi: 1322
- Iscrizione: venerdì 28 agosto 2015, 9:38
- Desktop: Gnome
- Distribuzione: Arch Linux
Re: Porte in ascolto e file non miei
Io direi di aggiungere -p e sudo per vedere i nomi dei processi sudo ss -tulnp
- GjMan78
- Rampante Reduce
- Messaggi: 5503
- Iscrizione: mercoledì 22 novembre 2006, 19:15
- Desktop: KdePlasma
- Distribuzione: EndeavourOS
- Sesso: Maschile
- Località: ~/Italia/Lazio/Viterbo/
Re: Porte in ascolto e file non miei
Ottima osservazione, grazie!
MacBook Pro - Intel i5-3210 - 16 Gbyte Ram DDR3 - SSD 500 Gbyte x 2
»»» 𝗙𝗮𝗶 𝗶𝗹 𝗕𝗮𝗰𝗸𝘂𝗽! ¯\_(ツ)_/¯
»»» 𝗙𝗮𝗶 𝗶𝗹 𝗕𝗮𝗰𝗸𝘂𝗽! ¯\_(ツ)_/¯
- DoctorStrange
- Imperturbabile Insigne
- Messaggi: 2872
- Iscrizione: mercoledì 14 ottobre 2015, 9:33
- Desktop: Gnome3
- Distribuzione: Ubuntu 22.04 LTS Jammy Jellyfish
- Sesso: Maschile
- Località: Roma, Italia
Re: Porte in ascolto e file non miei
Non sei lo stesso utente del gruppo Ubuntu di telegram? Alla fine non avevi scoperto di avere Samba attivo?
- thece
- Tenace Tecnocrate
- Messaggi: 12949
- Iscrizione: lunedì 23 aprile 2007, 14:16
- Distribuzione: Debian 12 (Bookworm) - KDE
Re: Porte in ascolto e file non miei
intanto ...
Frase di rito: come avrai sicuramente già visto in giro per il Forum, per rendere più comprensibile la discussione, dovresti formattare correttamente sia i comandi impartiti sia i relativi output racchiudendoli tra i tag [ code ] ... [ /code ] (scritti senza spazi) in modo da ottenere un qualcosa del genere
Codice: Seleziona tutto
COMANDO
...
OUTPUT
...
Sei invitato a modificare il tuo precedente post.
Sul tuo router hai aperto delle porte?
Che file hai trovato? Cosa c'è dentro? A quale utente appartengono? Quando sono stati creati? Ti ricordi se stavi usando il PC in quel momento?
Nell'output di netstat qualcosa di sospetto c'è. Vedo il servizio di DNS proxy locale, CUPS, Samba, TOR e qualcosa che di primo acchito non riesco ad identificare.
Sospetto non significa che sicuramente sei stato hackerato, potresti anche aver preso un abbaglio ...
Come già stato suggerito ripeti il comando come
Codice: Seleziona tutto
sudo netstat -tulnp
Codice: Seleziona tutto
sudo ss -tulnp
Codice: Seleziona tutto
ps -ef | grep PID
sudo lsof -p PID
sudo lsof -i -n -P [[TCP|UDP]@:[PORT]]
Per rispondere strettamente alla tua domanda
la porta in ascolto si chiude nel momento in cui si arresta il relativo processo che l'ha aperta.
Non ci sono solo i bravi hacker, ci sono anche quelli maldestri
Chi c’è in linea
Visualizzano questa sezione: 0 utenti iscritti e 15 ospiti