Co se skrývá za neznámou adresou?

Co se skrývá za neznámou adresou?
« kdy: 26. 01. 2015, 12:14:36 »
Ahoj,

systém mi komunikuje s adresou 104.129.176.14:443. Chtěl bych zjistit kdo, nebo co, jaká služba s touto adresou komunikuje z mého počítače.
Mám distribuci Ubuntu 10.04.4 LTS.
Při spuštění iptrafu se mi ukáže komunikace s touto adresou.
Lze zjistit co mi z počítače komunikuje, jaká služba, aplikace? A jak to mám zjistit.
Kdyz spustim nmap s dotazem na tuto adresu, tak zjistím otevřený port 22 - OpenSSH 6.0p1 Debian 4+deb7u2 (protocol 2.0), port 443 - https?, port 9999 - abyss
« Poslední změna: 26. 01. 2015, 12:44:31 od Petr Krčmář »


Re:Co se skrývá za adresou 104.129.176.14:443
« Odpověď #1 kdy: 26. 01. 2015, 12:26:49 »
Ahoj,

systém mi komunikuje s adresou 104.129.176.14:443. Chtěl bych zjistit kdo, nebo co, jaká služba s touto adresou komunikuje z mého počítače.
Mám distribuci Ubuntu 10.04.4 LTS.
Při spuštění iptrafu se mi ukáže komunikace s touto adresou.
Lze zjistit co mi z počítače komunikuje, jaká služba, aplikace? A jak to mám zjistit.
Kdyz spustim nmap s dotazem na tuto adresu, tak zjistím otevřený port 22 - OpenSSH 6.0p1 Debian 4+deb7u2 (protocol 2.0), port 443 - https?, port 9999 - abyss

Přes web:
http://whois.domaintools.com/104.129.176.14

http://linux.die.net/man/1/whois

Re:Co se skrývá za adresou 104.129.176.14:443
« Odpověď #2 kdy: 26. 01. 2015, 12:35:33 »
Děkuji za možnost editace příspěvku.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Co se skrývá za neznámou adresou?
« Odpověď #3 kdy: 26. 01. 2015, 12:46:57 »
Netstat by mel vypsat, ktery proces s tou adresou komunikuje. Nedivil bych se, kdyby to bylo nejake svinstvo v browseru.

Re:Co se skrývá za neznámou adresou?
« Odpověď #4 kdy: 26. 01. 2015, 13:05:35 »
Z netstat jsem zjistil, že mi to komunikuje s portem 51746.
Z lsof jsem zjistil:
Citace
exe     5364     1000    3u  IPv4 338516      0t0  UDP *:59594
exe     5364     1000    4u  IPv4 318310      0t0  TCP 192.168.1.4:51746->104.129.176.14:443 (ESTABLISHED)

služba, program
Citace
exe
není závislá na prohlížeči, alespoň si to myslím (exe se spouští dříve jak prohlížeč)

Jak zjistím, kde exe je?


M.

Re:Co se skrývá za neznámou adresou?
« Odpověď #5 kdy: 26. 01. 2015, 13:23:51 »
No, nemohl by to být Adobe Flash přehrávač?
jimnak i to lsof vypisuje, co je to zač, bude na začátku, sloupec FD=txt třeba.

Re:Co se skrývá za adresou 104.129.176.14:443
« Odpověď #6 kdy: 26. 01. 2015, 13:28:05 »
jdou po tobe!
http://www.geoiptool.com/en/?ip=104.129.176.14

 :o  >:(  ???
Ty voe, to je web, ghostery bloklo asi 6 šmejdů, dočasně jsem v NoScriptu povolil všech asi 5 skriplů kdoví odkud a ještě pořád mi to výsledek neukázalo ...

Sten

Re:Co se skrývá za neznámou adresou?
« Odpověď #7 kdy: 26. 01. 2015, 13:35:44 »
Z netstat jsem zjistil, že mi to komunikuje s portem 51746.
Z lsof jsem zjistil:
Citace
exe     5364     1000    3u  IPv4 338516      0t0  UDP *:59594
exe     5364     1000    4u  IPv4 318310      0t0  TCP 192.168.1.4:51746->104.129.176.14:443 (ESTABLISHED)

služba, program
Citace
exe
není závislá na prohlížeči, alespoň si to myslím (exe se spouští dříve jak prohlížeč)

Jak zjistím, kde exe je?

/proc/PID/exe. PID je v tomto případě 5364.

Je to nějaká podivná služba. Maskuje se jako HTTPS, ale není šifrovaná (na TLS hlavičku zavře spojení). Tipuju to na nějaký farm controller.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Co se skrývá za neznámou adresou?
« Odpověď #8 kdy: 26. 01. 2015, 13:39:46 »
Jak zjistím, kde exe je?

ps aux rika co?

Re:Co se skrývá za neznámou adresou?
« Odpověď #9 kdy: 26. 01. 2015, 14:01:27 »
používám KDE
Alt+F2 -> výpis uživatelských procesů
název procesu exe -> PID

Citace
ps aux
3171  0.0  0.0    288   156 ?        S    13:40   0:00 kdeinit4

v čase 13:40 byl spusten i CRON

Citace
crontab -l
*/10 * * * * sh -c "/home/tupohlav/.config/kdeinit4 &"

(teď se mi zdá, že to má souvislost s firefoxem, který používám )

Re:Co se skrývá za neznámou adresou?
« Odpověď #10 kdy: 26. 01. 2015, 14:05:47 »
když nebudu skrývat lokálního usera, tak
lsof mi říká toto

Citace
exe       3171   tupohlav  cwd       DIR        8,7      4096 3457044 /home/tupohlav/.config
exe       3171   tupohlav  rtd       DIR        8,5      4096       2 /
exe       3171   tupohlav  txt       REG        8,7     36864 3605905 /home/tupohlav/.config/kdeinit4
exe       3171   tupohlav  mem       REG        8,7      4096 3460852 /home/tupohlav/.config/tempfile-x11sessioncache
exe       3171   tupohlav    0u      REG        8,7      4096 3460852 /home/tupohlav/.config/tempfile-x11sessioncache
exe       3171   tupohlav    1w     FIFO        0,8       0t0   73285 pipe
exe       3171   tupohlav    2w     FIFO        0,8       0t0   73285 pipe
exe       3171   tupohlav    3u     IPv4      75119       0t0     UDP *:45337
exe       3171   tupohlav    4u     IPv4      74532       0t0     TCP 192.168.1.4:50925->104.129.176.14:https (ESTABLISHED)
exe       3171   tupohlav    5r      CHR        1,9       0t0    5347 /dev/urandom


JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Co se skrývá za neznámou adresou?
« Odpověď #11 kdy: 26. 01. 2015, 14:25:38 »
Tak znovu:

netstat -naptu   ..... v pravo mate PID/jmeno programu

ps aux|grep prislusny_PID

Co je vysledkem?

Re:Co se skrývá za adresou 104.129.176.14:443
« Odpověď #12 kdy: 26. 01. 2015, 14:26:06 »
jdou po tobe!
http://www.geoiptool.com/en/?ip=104.129.176.14

 :o  >:(  ???
Ty voe, to je web, ghostery bloklo asi 6 šmejdů, dočasně jsem v NoScriptu povolil všech asi 5 skriplů kdoví odkud a ještě pořád mi to výsledek neukázalo ...
hele tohle mi vyjelo jako prvni v google na dotaz "geoip" a zajimavy na tom je to, ze to vysledky neukazuje pro tuhle IP, ale jinak u vsech ostatnich ano.
Děkuji za možnost editace příspěvku.

Re:Co se skrývá za adresou 104.129.176.14:443
« Odpověď #13 kdy: 26. 01. 2015, 14:34:54 »
jdou po tobe!
http://www.geoiptool.com/en/?ip=104.129.176.14

 :o  >:(  ???
Ty voe, to je web, ghostery bloklo asi 6 šmejdů, dočasně jsem v NoScriptu povolil všech asi 5 skriplů kdoví odkud a ještě pořád mi to výsledek neukázalo ...
hele tohle mi vyjelo jako prvni v google na dotaz "geoip" a zajimavy na tom je to, ze to vysledky neukazuje pro tuhle IP, ale jinak u vsech ostatnich ano.



 ;D

nobody

Re:Co se skrývá za neznámou adresou?
« Odpověď #14 kdy: 26. 01. 2015, 14:43:13 »
to bude tim ze jde o ip nevada-area51 a jdou po nem bud proto ze je mimozemstan, mimozemstana ukrejva, nebo proto ze ma nebezpecne username ktere nabada k uprave strel, kazdopadne je nebezpecnej i kdyz mozna je to jen spici agent, ucet tu ma 5let a jen 6 prispevku z toho vetsina v tomto vlakne... taky muze jit jen o viral pro novej dil filmu Johny English tomu by odpovidalo zakodovane root username...