Xác định các ứng dụng truy cập internet lừa đảo trên Internet

Hiện tại tôi có một ứng dụng / dịch vụ / widget / plugin / cronjob bất cứ điều gì, truy cập internet một cách thường xuyên. Tôi có thể đi vào chi tiết về vấn đề cụ thể của mình nhưng tôi muốn có một câu trả lời cho phép tôi tự tìm lỗi và trong quá trình tìm hiểu thêm về Ubuntu.

Hiện tại tôi đang sử dụng dnstopđể hiển thị tất cả các yêu cầu DNS đang được thực hiện trên mạng của mình. Hiện tại để tranh luận, có một yêu cầu sẽ diễn ra weather.noaa.govtrong chu kỳ 15 phút. Đây có thể là một góa phụ thời tiết mặc dù tôi đã kiểm tra các quy trình của mình và không tìm thấy gì, và yêu cầu đang đến từ máy tính của tôi.

Vì vậy, câu hỏi, làm thế nào để tôi xác định quá trình đang truy cập weather.noaa.gov?

Tôi không muốn trải qua quá trình elip hóa bằng cách tắt từng dịch vụ / plugin / ứng dụng để tìm ra điều này. Tôi muốn tìm một cách để xác định quá trình nào đang thực hiện yêu cầu DNS đó.

Nếu tôi có một "Tường lửa ứng dụng" đàng hoàng thì yêu cầu sẽ không bao giờ được thực hiện. Nhưng đây là một kịch bản "ngựa đã chốt" và muốn tìm thấy quá trình "lừa đảo" đó đang thực hiện yêu cầu DNS đó.

Nếu bạn không có vòng lặp vô hạn chạy trong một thời gian, bạn có thể chạy netstat liên tục và lọc đầu ra cho địa chỉ IP của máy tính mà chương trình của bạn đang kết nối. Tôi khuyên bạn nên sử dụng địa chỉ IP thay vì tên miền vì nó nhanh hơn nhiều, giảm thời gian mỗi cuộc gọi netstat thực hiện và do đó tăng cơ hội thực sự nắm bắt quy trình của bạn. Bạn nên chạy lệnh netstat với quyền root, nếu bạn nghĩ rằng quy trình không thuộc về người dùng hiện đang đăng nhập. Vì vậy, trước tiên hãy sử dụng nslookup để tìm IP của tên miền:

nslookup weather.noaa.gov

Đối với tôi điều này mang lại tại thời điểm này: 193.170.140,70 và 193.170.140.80. Bây giờ bạn có thể đưa ra một vòng lặp infinte của netstats. Đầu ra bạn có thể lọc bằng grep (và loại bỏ STDERR).

while [ true ] ;  do netstat -tunp 2>/dev/null | grep -e 193.170.140.70 -e 193.170.140.80  ; done

Tất nhiên chỉnh sửa các địa chỉ IP trong ví dụ trên. Ví dụ này đang thăm dò các kết nối TCP và UDP (-tu), không thực hiện phân giải DNS (-n) và liệt kê các quy trình (-p). Nếu bạn nghĩ rằng có đủ thời gian để thực hiện phân giải DNS, chỉ cần bỏ qua tùy chọn -n cho netstat và đặt tên miền cho grep thay vì IP. Bạn có thể dừng vòng lặp vô hạn bằng cách chỉ cần nhấn CTRL + c

Hy vọng điều này sẽ giúp, Andreas

PS: Tôi biết, đây không phải là cách lý tưởng, hiệu quả hoặc sạch sẽ để làm điều đó, nhưng đối với tìm kiếm một lần thì điều này là đủ.

Bạn cũng có thể "phá vỡ" ứng dụng thông qua / etc / hosts bổ sung FQDN đang được kết nối. Cung cấp cho nó một số IP không thể định tuyến như 10.1.2.3 (hoặc 127.0.0.1) và xem những gì phá vỡ.