Conexiones DNS inexplicables en el arranque

Question

Conexiones DNS inexplicables en el arranque

#1 de TorstenS (3 votos)

0

Estaba en un VPS de Ubuntu hoy, con un servidor DNS bind9 (sin DNSSEC configurado) instalado y en funcionamiento.

Inmediatamente después de arrancar la máquina, ejecuté:

netstat -tanp

Y recibió esta salida:

Proto Recv-Q Send-Q Local Address                   Foreign Address         State       PID/Program name    
tcp        0      0 127.0.0.1:3306                  0.0.0.0:*               LISTEN      -                   
tcp        0      0 0.0.0.0:80                      0.0.0.0:*               LISTEN      -                   
tcp        0      0 <redacted>:53               0.0.0.0:*               LISTEN      -                   
tcp        0      0 <redacted>:53               0.0.0.0:*               LISTEN      -                   
tcp        0      0 127.0.0.1:53                    0.0.0.0:*               LISTEN      -                   
tcp        0      0 127.0.0.53:53                   0.0.0.0:*               LISTEN      -                   
tcp        0      0 0.0.0.0:22                      0.0.0.0:*               LISTEN      -                   
tcp        0      0 0.0.0.0:25                      0.0.0.0:*               LISTEN      -                   
tcp        0      0 127.0.0.1:953                   0.0.0.0:*               LISTEN      -                   
tcp        0      0 0.0.0.0:443                     0.0.0.0:*               LISTEN      -                   
tcp        0      0 <redacted>:41430            91.189.91.26:80         TIME_WAIT   -                   
tcp        0      0 <redacted>:42885            192.112.36.4:53         TIME_WAIT   -                   
tcp        0     36 <redacted>:22               <redacted>:50294        ESTABLISHED -                   
tcp        0      0 <redacted>:45229            192.112.36.4:53         TIME_WAIT   -                   
tcp        0      0 <redacted>:35011            192.112.36.4:53         TIME_WAIT   -                   
tcp        0      0 <redacted>:56401            192.112.36.4:53         TIME_WAIT   -                   
tcp        0      0 <redacted>:41434            91.189.91.26:80         TIME_WAIT   -                   
tcp6       0      0 :::53                           :::*                    LISTEN      -                   
tcp6       0      0 :::22                           :::*                    LISTEN      -                   
tcp6       0      0 :::25                           :::*                    LISTEN      -                   
tcp6       0      0 ::1:953                         :::*                    LISTEN      -

Lo que indicaba que el servidor estaba conectado a dos direcciones IP distintas a la mía:

91.189.91.26:80

Que parece ser propiedad de "Canonical Group" que, según mi investigación, produce Ubuntu, y posiblemente tenga sentido considerando que es una máquina Ubuntu ... (cualquier aclaración sería apreciada con respecto a la legitimidad de tal solicitud ).

pero ligeramente más en relación con:

192.112.36.4:53 ( ¿Centro de información de la red del Departamento de Defensa? )

Las dos conexiones anteriores desaparecieron a los pocos segundos de iniciar la máquina.

La segunda vez que arranqué esta máquina y ejecuté el mismo proceso que obtuve este resultado:

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 <redacted>:53           0.0.0.0:*               LISTEN      -                   
tcp        0      0 <redacted>:53           0.0.0.0:*               LISTEN      -                   
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      -                   
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      -                   
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      -                   
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      -                   
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      -                   
tcp        0      0 <redacted>:42763    192.203.230.10:53           TIME_WAIT   -                   
tcp        0      0 <redacted>:43359    192.203.230.10:53           TIME_WAIT   -                   
tcp        0      0 <redacted>:34985    192.203.230.10:53           TIME_WAIT   -                   
tcp        0     36 <redacted>:22       <redacted>:50504            ESTABLISHED -                   
tcp        0      0 <redacted>:52257    192.203.230.10:53           TIME_WAIT   -                                      
tcp6       0      0 :::53                   :::*                    LISTEN      -                   
tcp6       0      0 :::22                   :::*                    LISTEN      -                   
tcp6       0      0 :::25                   :::*                    LISTEN      -                   
tcp6       0      0 ::1:953                 :::*                    LISTEN      -

192.203.230.10:53 ( ¿NASA? )

Otra vez las conexiones desaparecieron unos segundos después del inicio.

Lo que es aún más extraño es que ambas IPs aparecen here se diagnostican como conexiones IP relacionadas con el malware cuyo nombre es Troj / Sinowal-BI .

¿Cuál es la probabilidad de que existan solicitudes de DNS legítimas a estas redes relativamente serias inmediatamente después de arrancar una máquina que oficialmente no tiene nada que ver con ellas y ninguna configuración intencional para hacerlo?

Si hubiera un rootkit instalado en la caja, no se debería confiar en la salida de netstat , pero ¿por qué un rootkit simplemente no esconde esas conexiones en lugar de falsificarlas para que parezcan DoD y NASA?

¿Debería tratarse esta máquina como comprometida en base a esta información?

¿Podría alguien proporcionar alguna información sobre esto, o alguien más ha experimentado esto o algo similar?

malware dns ubuntu rootkits dnssec

pregunta uofc 07.09.2018 - 10:04

fuente

1 respuesta

Lea otras preguntas en las etiquetas malware dns ubuntu rootkits dnssec

Reutilizar una dirección de correo electrónico con una contraseña filtrada Ataque XSS vsibible en html pero sin ejecución

score 3 · Accepted Answer

En resumen: no hay necesidad de preocuparse.

Con respecto a 91.189.91.26:80:

Esta es una solicitud a un servidor web en el puerto HTTP estándar. La mayoría de las máquinas de Ubuntu se instalan de manera que después del arranque, querrán buscar actualizaciones mediante la descarga de algunos paquetes de servidores Canonical o espejos de los mismos. Y generalmente lo repetirán de vez en cuando.

Pruebe y olfatee el tráfico de la red y estoy 99.9% seguro de que será exactamente eso.

Si no desea que esto suceda, busque en el funcionamiento interno de Ubuntu para identificar el script que hace eso y deshabilítelo; aunque eso sería una pregunta para Ubuntu StackExchange.

En cuanto a:

192.112.36.4:53 y 192.203.230.10:53

Estas son consultas de DNS a los servidores DNS raíz. Es perfectamente normal que estén a cargo de la NASA y DARPA, entre otros. Consulte el artículo de Wikipedia sobre servidores DNS raíz en enlace . Lo explica bastante bien.

El troyano al que te refieres (por cierto, un ejecutable de Windows, que es muy poco probable que infecte un VPS de Ubuntu) parece hacer uso de consultas de DNS. El troyano puede programarse de manera que siempre realice consultas de DNS autoritativas recursivas completas en lugar de confiar en la resolución de DNS del sistema operativo subyacente para que no sea bloqueado por algún software anti-amenaza basado en DNS. Pero sacar la conclusión al revés (es decir, si un troyano está llamando a esa dirección, debe ser malo) es simplemente incorrecto.