Fedora Linux stellt weiterhin DNS-Anfragen an zufällige Sites

1643
Keshav Prasad

Ich habe Fedora 12 Linux auf meinem Laptop, auf dem die neuesten Sicherheitsupdates installiert sind. Aber wenn ich Wireshark öffne und nur DNS-Anforderungen sehe (durch Hinzufügen eines DNS-Filters), stelle ich fest, dass mein Laptop ständig DNS-Anforderungen an zufällige Sites ausführt. Ich habe dies auch nach dem Schließen aller Anwendungen (Browser, Torrent-Clients usw.) beobachtet.

Ist das eine Art Wurm oder Virus? :( Wie finde ich heraus, welcher Prozess diese DNS-Anfragen sendet? Seltsamerweise sind nur einige der Websites, die nach DNS abgefragt werden, die ich besucht habe. Die anderen Sites - ich habe noch nicht einmal davon gehört. .

Versucht, lsof -nl | grep udp in einer Schleife innerhalb eines Skripts. Dies führt immer zu keiner Ausgabe.

Danke,
Keshav

0
Was sind einige der Websites? Stephen Jennings vor 14 Jahren 1
Einige der Websites sind wie www.google.com, howtogeek.com, safebrowsing-cache.google.com usw. Ich habe diese gerade frisch von der Wireshark-Ausgabe erhalten. Keshav Prasad vor 14 Jahren 0

4 Antworten auf die Frage

1
nik

Einige Notizen.

  1. Alle Namen, auf die Sie in Ihren Kommentaren verweisen, scheinen
    Dinge zu sein, die entweder mit Ihrem Browser oder mit dem Aktualisierungsprozess von Fedora zusammenhängen.
    • Wenn Sie Wireshark von einer unbeaufsichtigten Fedora-Installation aus ausführen,
      würde es hilfreich sein, einen offenen Capture-Filter beizubehalten, um alle Pakete abzurufen .
      Dadurch erfahren Sie, was mit einer Site nach der DNS-Suche passiert.
      Dieser letzte Teil wird wirklich nützliche Informationen enthalten.
      Bei Malware handelt es sich bei der DNS-Suche um die am wenigsten verdächtigen Pakete.
    • Im Allgemeinen (und ich strecke wahrscheinlich meinen Hals heraus), ist
      es nicht wahrscheinlich, dass Sie eine Art Wurzel-Kit haben, das Ihre Fedora schlägt.
      Und Sie sollten vernünftige Antworten finden, die auf den beiden oben genannten Punkten basieren.
      Dann wäre es angebracht,
    • Entfernen Sie die Tags wormund virusaus Ihrer Frage. Sobald Sie sich sicher sind, ist dies nicht der Fall. Überlegen Sie sich wenigstens, in Ihrer Frage Ihre Nachuntersuchungen zu klären.
    • Fügen Sie Ihrer Frage Notizen hinzu, die beschreiben, was genau auf Ihrer Fedora passiert ist

Ein Update mit Ihren Ergebnissen würde den Menschen helfen, diese Frage in Zukunft zu beantworten.

Hallo Nik, Guter Vorschlag zu prüfen, was nach der DNS-Abfrage passiert. Ich werde das überprüfen und aktualisieren .. Danke! Keshav Prasad vor 14 Jahren 0
Nun stellt sich heraus, dass es nur DNS-Anfragen stellt und die Antwort zurückbekommt. Danach gibt es keine verdächtigen Pakete! Keshav Prasad vor 14 Jahren 0
Ich bin nicht sicher, was Sie glauben, ein Paket verdächtig zu machen, aber wenn Sie diese DNS-Anfragen sehen, wenn Sie sicher sind, dass kein Browserfenster geöffnet ist, versuchen Sie, Verbindungen zu Port 80 (und SYN-Pakete zu Port 443 - das sind die Verbindungen) zu erfassen HTTPS, es ist also kein Sinn, die Nutzdaten zu erhalten, es ist sowieso verschlüsselt, aber Sie müssen herausfinden, wer spricht. Gabe vor 10 Jahren 0
0
John T

Die Site, von der Sie nicht glauben, dass Sie sie besucht haben, kann möglicherweise nur Nameserver der Sites sein, die Sie bereits gemacht haben. Zum Beispiel sind Superuser tatsächlich in der Lage http://www.peak.org Rechenzentrum auf einem VLAN. Diese Mystery-Anfragen können auch Dienste im Hintergrund sein, wie z. B. das Abfragen des Internet-Zeitservers durch Ihr System, und keine offensichtlichen Programme wie Ihr Torrent-Client.

Hallo John, ajax.googleapis.com, www.gravatar.com, ftp.hostrino.com würde selten von Hintergrund-Daemons angefordert werden, was ich fühle. Die obigen Sites wurden nach DNS abgefragt, als mein Browser geschlossen wurde! Keshav Prasad vor 14 Jahren 0
Nun, die ersten 2 stammen wahrscheinlich von einem Superuser. Möglicherweise werden nur Keepalive-Pakete gesendet, bis der Timeout erreicht ist. John T vor 14 Jahren 0
Hmm, ich habe den gesamten Browser-Cache geleert, den Browser geschlossen und es erneut mit Wireshark versucht. Es wurde erneut nach www.neogaf.com, ajax.googleapis.com usw. gefragt (wenn der Browser geschlossen wurde) Keshav Prasad vor 14 Jahren 0
0
tony-p-lee

Sie können versuchen, ltrace zu verwenden, um die DNS-API, z. B. gethostbyname (), getaddrinfo (), aller laufenden Programme zu erfassen. 

[root@fc8 tmp]# ltrace -e getaddrinfo -f -tt wget http://www.google.com --07:30:31-- http://www.google.com/ => `index.html' Resolving www.google.com... 07:30:31.415398 getaddrinfo("www.google.com", NULL, 0xbfd5e120, 0xbfd5e154) = 0 72.14.213.106, 72.14.213.105, 72.14.213.103, ... Connecting to www.google.com|72.14.213.106|:80... connected. HTTP request sent, awaiting response... 200 OK Length: unspecified [text/html]  [ <=> ] 5,640 --.--K/s  07:30:31 (216.90 KB/s) - `index.html' saved [5640]

Sie können das ltrace mit der Option -p pid an das laufende Programm anhängen.

Wenn Sie wirklich in der Stimmung von CSI / Perry Mason / Sherlock Homes sind, können Sie versuchen, eine Shim-Bibliothek zu schreiben, um die DNS-APIs global zu ersetzen und zu protokollieren, wer und was alle tun. Verwenden Sie das Ändern einer dynamischen Bibliothek, ohne den Quellcode als Beispiel zu ändern .

Bitte lassen Sie uns wissen, was Sie finden.

0

Wechseln Sie alle Ihre Nameserver zu OpenDNS (208.67.222.222 und 208.67.220.220) ODER Google (8.8.8.8 und 8.8.4.4), da Sie dann benachrichtigt werden können, wenn Ihre Anfrage DNS-Einträge für bekannte Malware-Sites und Phishing-Sites enthält. Ich empfehle OpenDNS über Google, da es eine sehr genaue Kontrolle der Kategorien von Websites hat. Sie können alle DNS-Abfragen an .ru und .cn blockieren, dann aber legitime Whitelists.

netstat informiert Sie über die aktuellen Verbindungen und die Prozesse, die diese Verbindungen geöffnet haben. Merken Sie sich diesen Befehl, t = tcp, u = udp, n = numerisch, a = alle, p = verarbeitet: netstat -tunap

Firewall-Aktivität: iptstate

host peak.org whois peak.org robtex.com eignet sich hervorragend für die Analyse von Netzwerken.

Verwandte Probleme