[ubuntu-ar] Algo pasa en mi red!!
Eduardo Sandulli
eduardosandulli at hotmail.com
Sat Aug 21 17:45:09 BST 2010
From: mymundo en gmail.com
Date: Sat, 21 Aug 2010 12:37:44 -0300
To: ubuntu-ar en lists.ubuntu.com
Subject: Re: [ubuntu-ar] Algo pasa en mi red!!
El 21 de agosto de 2010 12:01, Guido Ignacio <guidoignacio en gmail.com> escribió:
2010/8/20 Eduardo Sandulli <eduardosandulli en hotmail.com>
Date: Fri, 20 Aug 2010 09:34:18 -0300
From: guidoignacio en gmail.com
To: ubuntu-ar en lists.ubuntu.com
Subject: Re: [ubuntu-ar] Algo pasa en mi red!!
2010/8/19 Eduardo Sandulli <eduardosandulli en hotmail.com>
Date: Thu, 19 Aug 2010 01:39:46 -0300
From: martosurf7600 en gmail.com
To: ubuntu-ar en lists.ubuntu.com
Subject: Re: [ubuntu-ar] Algo pasa en mi red!!
Raro no? xD¿No tenés nada iniciado como root que conecte a la net? Por otra parte, fijate que nada más los users eduardo y mail son los que acceden al dispositivo eth0 (osea tu placa de red).
¡Otro misterio para Mingo y Aníbal contra los fantasmas!Vamos a esperar qué dicen los que saben acá en la lista ;-D
--
Ubuntu-ar lista de correo
Ubuntu-ar en lists.ubuntu.com
Modifica tus opciones o desuscribite en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar
Siempre leer, comprender y aplicar nuestra etiqueta: https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML
no eso es lo raro me logueo como usuario sin privilegios e igual se inician procesos root
en segundo plano. en realidad no sé si es normal o no, tal vez alguien pueda desasnarme.
saludos!
--
Ubuntu-ar lista de correo
Ubuntu-ar en lists.ubuntu.com
Modifica tus opciones o desuscribite en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar
Siempre leer, comprender y aplicar nuestra etiqueta: https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML
hacé, apenas iniciado el sistema sin conectarte a nada un:$netstat -tul
a ver que te tira
---
Este mensaje no contiene virus, porque ha sido creado con GNU/Linux, utilizando Software Libre y auditable.
This message doesn't contain viruses, because it has been created with GNU/Linux, using auditable Free Software.
--
Ubuntu-ar lista de correo
Ubuntu-ar en lists.ubuntu.com
Modifica tus opciones o desuscribite en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar
Siempre leer, comprender y aplicar nuestra etiqueta: https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML
Te copio lo que tira ¿que datos saco de aquí?
eduardo en familia:~$ netstat -tul
Conexiones activas de Internet (solo servidores)
Protocolo Recv-Q Send-Q Dirección Local Dirección Externa Estado
tcp 0 0 *:microsoft-ds *:* ESCUCHAR
tcp 0 0 localhost:mysql *:* ESCUCHAR
tcp 0 0 *:netbios-ssn *:* ESCUCHAR
tcp 0 0 localhost:58414 *:* ESCUCHAR
tcp 0 0 *:www *:* ESCUCHAR
tcp 0 0 *:ssh *:* ESCUCHAR
tcp 0 0 *:ipp *:* ESCUCHAR
tcp6 0 0 [::]:5900 [::]:* ESCUCHAR
tcp6 0 0 [::]:55374 [::]:* ESCUCHAR
tcp6 0 0 [::]:ssh [::]:* ESCUCHAR
tcp6 0 0 [::]:ipp [::]:* ESCUCHAR
udp 0 0 *:53954 *:*
udp 0 0 *:mdns *:*
udp 2400 0 *:ipp *:*
udp 0 0 familia.loca:netbios-ns *:*
udp 0 0 *:netbios-ns *:*
udp 0 0 familia.loc:netbios-dgm *:*
udp 0 0 *:netbios-dgm *:*
Saludos!!
--
Ubuntu-ar lista de correo
Ubuntu-ar en lists.ubuntu.com
Modifica tus opciones o desuscribite en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar
Siempre leer, comprender y aplicar nuestra etiqueta: https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML
No veo nada anormal en cuanto a los puertos abiertos y que están escuchando.
Comparando el netstat tuyo con uno de mis equipos y viendo tambien el nethogs, me resulta raro porque te tira esos resultados el nethogs, porque mi netstat tiene un par de cosas más al tuyo.
Tenés mas de una conexión de red en ese equipo? que pasa si ejecutas indicando el dispositivo de red?
$nethogs ethX
---
Este mensaje no contiene virus, porque ha sido creado con GNU/Linux, utilizando Software Libre y auditable.
This message doesn't contain viruses, because it has been created with GNU/Linux, using auditable Free Software.
--
Ubuntu-ar lista de correo
Ubuntu-ar en lists.ubuntu.com
Modifica tus opciones o desuscribite en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar
Siempre leer, comprender y aplicar nuestra etiqueta: https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML
No, tengo una sola tarjeta de red y una sola conexión, salvo la del bucle local, pero eso no sé bien como es.
Por lo que estuve viendo cuando reinicié el sistema y ejecute $ sudo netstart, y luego $ nethogs, todo estaba bien
había un solo programa ejecutado por root "unknown TCP" que por lo que googlie es lo normal, pero cuando ejecuto
desde una sesión sin privilegios el qbittorrent , empiesan a correr esos procesos raros de root.
Por lo que deduzco que qBittorrent es el responsable. Lo que no me queda claro si esto es un problema de seguridad o no.
Saludos!!
--
Ubuntu-ar lista de correo
Ubuntu-ar en lists.ubuntu.com
Modifica tus opciones o desuscribite en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar
Siempre leer, comprender y aplicar nuestra etiqueta: https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML
Jamás use qbittorrent, igual me lo acabo de instalar y puesto a descargar algo y sí, es el qbittorrent.
Me apareció uno solo, pero suficiente para ver que esta usando un puerto en root que no debería ser así (aunque pareciese que es para subida nomás)
Yo que vos lo desinstalo y pregunto en el sitio de soft este, porque lo que hace no se hasta que punto es normal.
---
Este mensaje no contiene virus, porque ha sido creado con GNU/Linux, utilizando Software Libre y auditable.
This message doesn't contain viruses, because it has been created with GNU/Linux, using auditable Free Software.
--
Ubuntu-ar lista de correo
Ubuntu-ar en lists.ubuntu.com
Modifica tus opciones o desuscribite en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar
Siempre leer, comprender y aplicar nuestra etiqueta: https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML
A mi me pasó algo similar una vez. Explico mi caso.
La empresa de Internet que tengo me asignaba una IP temporal, cuando yo comenzaba a hacer descargas desde un emule o vuze, esta IP temporal ya estaba distribuida en la red p2p, por lo que los otro usuarios que estén descargando o contribuyendo a mis descargas ya utilizaban directamente este IP.
Lo mismo te podria estar pasando. Vos que no usas esos programas, si tu proveedor te asigna nuevamente una IP de una máquina (un usuario de tu mismo proveedor que antes tenía ese IP) que antes si usaba un programa p2p.
Es medio raro este tema, pero llegué a esa conclusión porque una vez que yo dejara de usar ese software las máquinas remotas seguían haciendo peticiones a mi IP temporal.
Saludos.
--
Martin Salcedo
mymundo en gmail.com
http://mymundo2009.blogspot.com
msn: mymundo en hotmail.com
skype: mymundo.ar
--
Ubuntu-ar lista de correo
Ubuntu-ar en lists.ubuntu.com
Modifica tus opciones o desuscribite en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar
Siempre leer, comprender y aplicar nuestra etiqueta: https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML
Que tal Martín, Como lo solucionaste?, no llego a determinar si es un problema de seguridad o no, igual no tendría que correr bajo root sin los permisos correspondientes,
Si cualquier programa que instalás, puede ejecutar acciones como superusuario estaríamos en problemas, ¿está mal lo que digo?,
Saludos
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://lists.ubuntu.com/archives/ubuntu-ar/attachments/20100821/de6f703c/attachment-0001.htm
More information about the Ubuntu-ar
mailing list