grenness Skrevet 19. november 2017 Del Skrevet 19. november 2017 Min ISP har avdekket mistenkelig trafikk ut fra portene 29695 og 33659 på min public IP-adresse, og at det antakelig dreier seg om iotmirai som i praksis dreier seg om at en eller flere av mine enheter (det kan dreie seg om webcams, NAS, nett-musikkspillere, etc.) nå er en del av et botnet. Jeg kjører primært Linux (Ubuntu) på mine maskiner, uten at jeg er noen IT-ekspert, men jeg har nå forsøkt å kjøre sudo nmap -p 29695,33659 192.168.1.0/24 (er ikke sikkert jeg behøvde å kjøre som root men gjorde det likevel) Tanken var å få nmap til å scanne nettet etter enheter med disse portene åpne, men den fant ingen. Er jeg på villspor? Er det andre nmap-kommandoer jeg burde brukt for å finne synderen(e)? Er det andre verktøy enten for Linux eller Windows (jeg kan boot'e om i Windows ved behov) som kan gjøre en litt grundig scan av mitt LAN for å se hvilke av mine enheter som kan være infiserte? C. Lenke til kommentar
Sampson Skrevet 19. november 2017 Del Skrevet 19. november 2017 Mirai er velkjent, de fleste AV burde reagere. Om du bare vil sjekke nettverk kan du bruke Sysinternals process monitor (windows). Kan vel ikke være så mange enheter at det er uoverkommelig å ta en clean sweep? Lenke til kommentar
TxT Skrevet 13. desember 2017 Del Skrevet 13. desember 2017 (endret) Hei grennes, kanskje litt sen svar men jeg hadde prøvd å bruke netcat. Du kan bruke netcat om portene er faktisk åpen, i 'listen' modus. command: #nc [iP_Adresse] [port]. Om du finner den faktiske porten som brukes til backdoor, kan du stenge den ved bruk av iptables. En annen metode for å finne mistenksom aktivitet og evt. finne synderen, er å bruke en form for nettverk sniffer (e.g. wireshark). Dette er da mer teknisk, da du må kunne lese og forstå nettverkstrafikken - men dette vil da også applere til alle enhetene du har. Nå kjenner jeg ikke til Mirai og hvor 'smart' den er, om det faktisk bare hjelper å stenge av porten. Om det overnevnte stemte, så ville jeg stengt portene fra selve ruteren. Det du ser etter da er ACL. Man bør finne 'attack vector' og fikse det. Lykke til. TxT Endret 13. desember 2017 av TxT Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå