Xubuntu riceve pacchetti NetBios su UDP dal mio router

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, eccetera.
Gianluca912
Prode Principiante
Messaggi: 135
Iscrizione: giovedì 20 dicembre 2012, 18:35
Desktop: XFCE
Distribuzione: Xubuntu 18.04 (x64)
Sesso: Maschile

Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggio da Gianluca912 »

Ciao a tutti,

ho scoperto tramite Wireshark che il mio router (che sospetto essere infetto*) invia pacchetti NetBios al mio computer con Xubuntu, il quale risponde con ICMP riportando un errore. Così per curiosità ho avviato Windows scoprendo che risponde ai pacchetti NetBIOS, con altri pacchetti NetBIOS. Quindi cosa posso fare per risolvere e sopratutto si tratta davvero di un problema di sicurezza?

P.S. Ho provato a connettere un altro router al PC con Xubuntu è non c'è invio di questi pacchetti.

*Molto prima di fare queste prove ho notato che alcune volte aprivo una pagina Web ma venivo indirizzato a una di pubblicità oppure mi è capitato di ricevere pagina web non disponibile e premendo aggiorna, la pagina veniva normalmente caricata. (Questo solo con Windows 10 e Windows Phone). Così ho sospettato del router.
Hello :)
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12943
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 12 (Bookworm) - KDE

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggio da thece »

:ciao:

lo scambio di pacchetti NetBIOS è assolutamente normale in una rete che fa uso del servizio di condivisione file (aka SMB / Samba su Linux). Detto ciò, il fatto che il tuo modem / router xDSL e/o qualche dispositivo sulla tua LAN sia compromesso non si può escludere.
Gianluca912
Prode Principiante
Messaggi: 135
Iscrizione: giovedì 20 dicembre 2012, 18:35
Desktop: XFCE
Distribuzione: Xubuntu 18.04 (x64)
Sesso: Maschile

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggio da Gianluca912 »

Grazie thece, però non ho nessun programma di condivisione file attivo sulla LAN e in realtà quando ho fatto le prove ad essere connessi erano solo il modem/router e il pc. Ho provato a resettare e aggiornare il firmware del router ma non ho notato differenze. Cosa faccio?
Hello :)
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 17343
Iscrizione: martedì 31 gennaio 2006, 22:55
Desktop: Gnome
Distribuzione: Ubuntu 22.04 LTS

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggio da Stealth »

Ormai tutti i router casalinghi hanno una presa usb, per condividere unità esterne e stampanti. Che io sappia quello è un server samba, hai verificato nell'interfaccia del router che il server non sia abilitato?
ciao
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12943
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 12 (Bookworm) - KDE

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggio da thece »

Come ti ha scritto @Stealth, praticamente tutti i modem / router xDSL casalinghi integrano un servizio di condivisione file, che normalmente è attivo. Visto che praticamente tutti i modem / router xSDL hanno un firmware basato su Linux ne consegue che il server è Samba.
Su Xubuntu, se il tuo file manager integra i plugin per la condivisione dei file, questi scambiano continuamente pacchetti NetBIOS sulla LAN alla ricerca di altri PC che offrano quel tipo di risorse.
Su Windows il protocollo NetBIOS è attivo di default e usato pesantemente, fra tutti sempre per la condivisione di file e stampanti.
Gianluca912
Prode Principiante
Messaggi: 135
Iscrizione: giovedì 20 dicembre 2012, 18:35
Desktop: XFCE
Distribuzione: Xubuntu 18.04 (x64)
Sesso: Maschile

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggio da Gianluca912 »

Ok ho controllato, ma l'interfaccia html dice che il media server è disabilitato.
Hello :)
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12943
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 12 (Bookworm) - KDE

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggio da thece »

Io posso solo fare delle ipotesi. Tu hai la LAN e Wireshark sotto mano,. Solo tu puoi capire quale traffico di rete viene generato e da chi.
Gianluca912
Prode Principiante
Messaggi: 135
Iscrizione: giovedì 20 dicembre 2012, 18:35
Desktop: XFCE
Distribuzione: Xubuntu 18.04 (x64)
Sesso: Maschile

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggio da Gianluca912 »

Io non ho le competenze per riuscire a comprendere cosa passa nella mia rete locale, però ho trovato un rootkit in Xubuntu 18.04 installato da nemmeno una settimana con il firewall configurato via ufw per impedire le connessioni in ingresso e in uscita eccetto per la porta 80, la 433 e la 53. Avrò connesso il pc a internet al massimo 4 o 6 volte e i siti che ho visitato erano tutti in https come questo forum. (Non ho installato nessun programma aggiuntivo) Wireshark era in live su un computer che faceva da hotspost. Come si spiega il rootkit? E sopratutto visto la complessità che ci vorrebbe per fare un attacco del genere (sempre che di attacco si tratti) è possibile usare il pc per accedere alla banca?
Hello :)
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12943
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 12 (Bookworm) - KDE

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggio da thece »

Gianluca912 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5099388#p5099388][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto: ... però ho trovato un rootkit in Xubuntu 18.04 installato da nemmeno una settimana con il firewall configurato via ufw per impedire le connessioni in ingresso e in uscita eccetto per la porta 80, la 433 e la 53 ... Come si spiega il rootkit?
Mi spiace. Nessuno può darti una spiegazione senza prendere in mano il PC in questione.
Gianluca912 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5099388#p5099388][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto: E sopratutto visto la complessità che ci vorrebbe per fare un attacco del genere (sempre che di attacco si tratti) è possibile usare il pc per accedere alla banca?
Dipende da che cosa il "rootkit" è in grado di fare e dal modo in cui tu accedi alla banca.
Esempio: io per accedere ai servizi di Home Banking ho bisogno di un codice generato da un dispositivo esterno al PC (token). Va da sè che il "rootkit" non potrebbe mai avere questo codice, quindi avviare una sessione di Home banking.

Al di là di tutti i discorsi, se non lo hai già fatto, reinstalla tutto.
Gianluca912
Prode Principiante
Messaggi: 135
Iscrizione: giovedì 20 dicembre 2012, 18:35
Desktop: XFCE
Distribuzione: Xubuntu 18.04 (x64)
Sesso: Maschile

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggio da Gianluca912 »

Ok grazie, vi farò sapere.
Hello :)
Avatar utente
DoctorStrange
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 2855
Iscrizione: mercoledì 14 ottobre 2015, 9:33
Desktop: Gnome3
Distribuzione: Ubuntu 22.04 LTS Jammy Jellyfish
Sesso: Maschile
Località: Roma, Italia

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggio da DoctorStrange »

Per curiosità, Gianluca912 quale sarebbe il rootkit che hai trovato? E come avresti fatto, a trovarlo?
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 17343
Iscrizione: martedì 31 gennaio 2006, 22:55
Desktop: Gnome
Distribuzione: Ubuntu 22.04 LTS

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggio da Stealth »

E per ulteriore curiosità, il rootkit lo hai trovato prima o dopo aver aperto questa discussione? Lo dico perchè, in caso fosse prima, sapendo di un rootkit avremmo fatto altre ipotesi. Sempre campate in aria sia chiaro, ma altre
ciao
Gianluca912
Prode Principiante
Messaggi: 135
Iscrizione: giovedì 20 dicembre 2012, 18:35
Desktop: XFCE
Distribuzione: Xubuntu 18.04 (x64)
Sesso: Maschile

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggio da Gianluca912 »

Il rootkit l'ho trovato con chkrootkit, mi segnala infetto tcpd, e l'ho scoperto dopo aver aperto questa discussione. L'ho scaricato perchè l'avvio era diventato più lento e un fastidioso click intermittente proveniente dall'HDD mi aveva insospettito. Devo dire di non aver installato programmi però per salvare le configurazioni del sistema operativo insieme al sistema ho avviato Linux Live Kit scaricato da qui: https://www.linux-live.org/ magari ha fatto qualche modifica questo programma.
Hello :)
Avatar utente
DoctorStrange
Imperturbabile Insigne
Imperturbabile Insigne
Messaggi: 2855
Iscrizione: mercoledì 14 ottobre 2015, 9:33
Desktop: Gnome3
Distribuzione: Ubuntu 22.04 LTS Jammy Jellyfish
Sesso: Maschile
Località: Roma, Italia

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggio da DoctorStrange »

Si, ma come si chiama questo rootkit? Puoi postare qualche log, o lo stack trace di chkrootkit?

Appare, quanto meno, poco probabile un rootkit su tcpd. Sarebbe una vulnerabilità di tale portata, che avrebbe fatto sicuramente notizia.

Grazie
Gianluca912
Prode Principiante
Messaggi: 135
Iscrizione: giovedì 20 dicembre 2012, 18:35
Desktop: XFCE
Distribuzione: Xubuntu 18.04 (x64)
Sesso: Maschile

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggio da Gianluca912 »

Questo è il risultato che ho ottenuto con chkrootkit:

Codice: Seleziona tutto

ROOTDIR is `/'
Checking `amd'...                                           not found
Checking `basename'...                                      not infected
Checking `biff'...                                          not found
Checking `chfn'...                                          not infected
Checking `chsh'...                                          not infected
Checking `cron'...                                          not infected
Checking `crontab'...                                       not infected
Checking `date'...                                          not infected
Checking `du'...                                            not infected
Checking `dirname'...                                       not infected
Checking `echo'...                                          not infected
Checking `egrep'...                                         not infected
Checking `env'...                                           not infected
Checking `find'...                                          not infected
Checking `fingerd'...                                       not found
Checking `gpm'...                                           not found
Checking `grep'...                                          not infected
Checking `hdparm'...                                        not infected
Checking `su'...                                            not infected
Checking `ifconfig'...                                      not infected
Checking `inetd'...                                         not infected
Checking `inetdconf'...                                     not found
Checking `identd'...                                        not found
Checking `init'...                                          not infected
Checking `killall'...                                       not infected
Checking `ldsopreload'...                                   not infected
Checking `login'...                                         not infected
Checking `ls'...                                            not infected
Checking `lsof'...                                          not infected
Checking `mail'...                                          not found
Checking `mingetty'...                                      not found
Checking `netstat'...                                       not infected
Checking `named'...                                         not found
Checking `passwd'...                                        not infected
Checking `pidof'...                                         not infected
Checking `pop2'...                                          not found
Checking `pop3'...                                          not found
Checking `ps'...                                            not infected
Checking `pstree'...                                        not infected
Checking `rpcinfo'...                                       not found
Checking `rlogind'...                                       not found
Checking `rshd'...                                          not found
Checking `slogin'...                                        not infected
Checking `sendmail'...                                      not found
Checking `sshd'...                                          not found
Checking `syslogd'...                                       not tested
Checking `tar'...                                           not infected
Checking `tcpd'...                                          INFECTED
Checking `tcpdump'...                                       not infected
Checking `top'...                                           not infected
Checking `telnetd'...                                       not found
Checking `timed'...                                         not found
Checking `traceroute'...                                    not found
Checking `vdir'...                                          not infected
Checking `w'...                                             not infected
Checking `write'...                                         not infected
Checking `aliens'...                                        no suspect files
Searching for sniffer's logs, it may take a while...        nothing found
Searching for rootkit HiDrootkit's default files...         nothing found
Searching for rootkit t0rn's default files...               nothing found
Searching for t0rn's v8 defaults...                         nothing found
Searching for rootkit Lion's default files...               nothing found
Searching for rootkit RSHA's default files...               nothing found
Searching for rootkit RH-Sharpe's default files...          nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:  
/usr/lib/debug/.build-id /lib/modules/4.15.0-29-generic/vdso/.build-id
/usr/lib/debug/.build-id /lib/modules/4.15.0-29-generic/vdso/.build-id
Searching for LPD Worm files and dirs...                    nothing found
Searching for Ramen Worm files and dirs...                  nothing found
Searching for Maniac files and dirs...                      nothing found
Searching for RK17 files and dirs...                        nothing found
Searching for Ducoci rootkit...                             nothing found
Searching for Adore Worm...                                 nothing found
Searching for ShitC Worm...                                 nothing found
Searching for Omega Worm...                                 nothing found
Searching for Sadmind/IIS Worm...                           nothing found
Searching for MonKit...                                     nothing found
Searching for Showtee...                                    nothing found
Searching for OpticKit...                                   nothing found
Searching for T.R.K...                                      nothing found
Searching for Mithra...                                     nothing found
Searching for LOC rootkit...                                nothing found
Searching for Romanian rootkit...                           nothing found
Searching for Suckit rootkit...                             nothing found
Searching for Volc rootkit...                               nothing found
Searching for Gold2 rootkit...                              nothing found
Searching for TC2 Worm default files and dirs...            nothing found
Searching for Anonoying rootkit default files and dirs...   nothing found
Searching for ZK rootkit default files and dirs...          nothing found
Searching for ShKit rootkit default files and dirs...       nothing found
Searching for AjaKit rootkit default files and dirs...      nothing found
Searching for zaRwT rootkit default files and dirs...       nothing found
Searching for Madalin rootkit default files...              nothing found
Searching for Fu rootkit default files...                   nothing found
Searching for ESRK rootkit default files...                 nothing found
Searching for rootedoor...                                  nothing found
Searching for ENYELKM rootkit default files...              nothing found
Searching for common ssh-scanners default files...          nothing found
Searching for Linux/Ebury - Operation Windigo ssh...        not tested
Searching for 64-bit Linux Rootkit ...                      nothing found
Searching for 64-bit Linux Rootkit modules...               nothing found
Searching for Mumblehard Linux ...                          nothing found
Searching for Backdoor.Linux.Mokes.a ...                    nothing found
Searching for Malicious TinyDNS ...                         nothing found
Searching for Linux.Xor.DDoS ...                            nothing found
Searching for Linux.Proxy.1.0 ...                           nothing found
Searching for suspect PHP files...                          nothing found
Searching for anomalies in shell history files...           nothing found
Checking `asp'...                                           not infected
Checking `bindshell'...                                     not infected
Checking `lkm'...                                           chkproc: nothing detected
chkdirs: nothing detected
Checking `rexedcs'...                                       not found
Checking `sniffer'...                                       lo: not promisc and no packet sniffer sockets
Checking `w55808'...                                        not infected
Checking `wted'...                                          chkwtmp: nothing deleted
Checking `scalper'...                                       not infected
Checking `slapper'...                                       not infected
Checking `z2'...                                            user alex deleted or never logged from lastlog!
Checking `chkutmp'...                                        The tty of the following user process(es) were not found
 in /var/run/utmp !
! RUID          PID TTY    CMD
! alex         1527 pts/0  bash
! root         1551 pts/0  bash
! root         2682 pts/0  /bin/sh /usr/sbin/chkrootkit
! root         3337 pts/0  ./chkutmp
! root         3339 pts/0  ps axk tty,ruser,args -o tty,pid,ruser,args
! root         3338 pts/0  sh -c ps axk "tty,ruser,args" -o "tty,pid,ruser,args"
! root         1550 pts/0  su
! root         1536 pts/0  sudo su
chkutmp: nothing deleted
Checking `OSX_RSPLUG'...                                    not tested
Cosa devo inserire per mostrare quello che chiedi?
Hello :)
Avatar utente
Filoteo
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1318
Iscrizione: venerdì 28 agosto 2015, 9:38
Desktop: Gnome
Distribuzione: Arch Linux

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggio da Filoteo »

Potrebbe essere un falso positivo: https://askubuntu.com/questions/883495/ ... e-positive.

Facciamo come suggeriscono lì, per ora posta il checksum di tcpd con shasum /usr/sbin/tcpd. Gli altri partecipanti della discussione che hanno ubuntu 18.04 sono invitati a fare lo stesso così facciamo il confronto :D

Io purtroppo non ne ho uno sotto mano.
Ultima modifica di Filoteo il giovedì 6 dicembre 2018, 18:49, modificato 1 volta in totale.
Gianluca912
Prode Principiante
Messaggi: 135
Iscrizione: giovedì 20 dicembre 2012, 18:35
Desktop: XFCE
Distribuzione: Xubuntu 18.04 (x64)
Sesso: Maschile

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggio da Gianluca912 »

Ok si tratta però di Xubuntu 18.04 non fa differenza vero?

Codice: Seleziona tutto

SHA512(tcpdump)= ff9ff3e78169590061a9882cc874e8c70f34eab08971fd79a2c5795c7c4c39dfbefddd999bd13b746c96d735797ca7d352dbd512b3841c3f5c9a2d175fade83b
Versione:

Codice: Seleziona tutto

Package: tcpdump
Status: install ok installed
Priority: optional
Section: net
Installed-Size: 1170
Maintainer: Ubuntu Developers <ubuntu-devel-discuss@lists.ubuntu.com>
Architecture: amd64
Multi-Arch: foreign
Version: 4.9.2-3
Replaces: apparmor-profiles-extra (<< 1.12~)
Depends: libc6 (>= 2.14), libpcap0.8 (>= 1.5.1), libssl1.1 (>= 1.1.0)
Suggests: apparmor (>= 2.3)
Breaks: apparmor-profiles-extra (<< 1.12~)
Conffiles:
 /etc/apparmor.d/usr.sbin.tcpdump 5a035d8c496c7891c76882d2be28ff7f
Description: command-line network traffic analyzer
 This program allows you to dump the traffic on a network. tcpdump
 is able to examine IPv4, ICMPv4, IPv6, ICMPv6, UDP, TCP, SNMP, AFS
 BGP, RIP, PIM, DVMRP, IGMP, SMB, OSPF, NFS and many other packet
 types.
 .
 It can be used to print out the headers of packets on a network
 interface, filter packets that match a certain expression. You can
 use this tool to track down network problems, to detect attacks
 or to monitor network activities.
Original-Maintainer: Romain Francoise <rfrancoise@debian.org>
Homepage: http://www.tcpdump.org/
Ultima modifica di Gianluca912 il giovedì 6 dicembre 2018, 18:57, modificato 3 volte in totale.
Hello :)
Avatar utente
Filoteo
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1318
Iscrizione: venerdì 28 agosto 2015, 9:38
Desktop: Gnome
Distribuzione: Arch Linux

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggio da Filoteo »

Credo sia lo stesso tra i vari *ubuntu anche se bisognerebbe assicurarsi di avere la stessa versione del pacchetto che lo ha installato ora che ci penso.
Avatar utente
thece
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 12943
Iscrizione: lunedì 23 aprile 2007, 14:16
Distribuzione: Debian 12 (Bookworm) - KDE

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggio da thece »

Gianluca912 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5099453#p5099453][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto: Questo è il risultato che ho ottenuto con chkrootkit:

Codice: Seleziona tutto

...
Checking `tcpd'...     INFECTED
...
perchè hai riportato il checksum di tcpdump? (che comunque è corretto)

Su Ubuntu 18.04 - 64bit il checksum di /usr/sbin/tcpd è:

Codice: Seleziona tutto

4776d342bc818602ed8ff7709eb732b8de5049c3c80361c58f9278e3e94d64ac080bfe87b2fe901805b43cc23dbce87f3b5101fac036b4c8855c2864cf339647

Per una auto verifica:

il file che vuoi controllare lo puoi cercare in tutti i pacchetti presenti nei repository configurati con il comando

Codice: Seleziona tutto

apt-file search <FILE>
Una volta trovato il pacchetto, lo puoi scaricare da https://packages.ubuntu.com/ e lo puoi decomprimere con il comando

Codice: Seleziona tutto

dpkg -x <PACCHETTO> /<PATH>
poi (anche se tu lo sai già) ne calcoli il checksum con

Codice: Seleziona tutto

sha512sum /<PATH>/<FILE>
Gianluca912
Prode Principiante
Messaggi: 135
Iscrizione: giovedì 20 dicembre 2012, 18:35
Desktop: XFCE
Distribuzione: Xubuntu 18.04 (x64)
Sesso: Maschile

Re: Xubuntu riceve pacchetti NetBios su UDP dal mio router

Messaggio da Gianluca912 »

Perchè io tcpd in /usr/sbin/ non lo vedo :cieco: e pensavo dunque che il file fosse tcpdump, perchè non lo vedo da root con ls -a?
Hello :)
Scrivi risposta

Ritorna a “Sicurezza”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 13 ospiti