Доброго времени суток!
Обнаружил, что у меня в системе есть некий вирус. Который сидит у меня в компе, отправляет на хостинг инфу с компа. Нужно его выявить.
Я вкл комп, заранее выключил из автозагрузки, все, что может полесть в интернет. И в правилах IPTABLES поставил логи на всех направлениях INPUT, OUTPUT, FORWARD.
В логах заметил закономерность, кодга вкл комп, высвечивается, что кто-то подключается по мне по 80 порту и потом на этот IP отправляется по протоколу TCP информация, потом соединение закрывается.
Whois показало, что это один хостинг за бугром. Тут уже и не спутать, явно на глаза, в системе сидит злоумышленик.
Задача.
Выяснить, что за программа отрабатывает у меня. Чтобы изучить потом этот вирус(троян)
Попробовал в крон добавить после вкл компа скрипт
netstat -tpl | grep :80 >> ip.txt
ни чего не показывает.
Хотя. Когда вкл комп и запускаю
tail -f /var/log/syslog то явно вижу, что происходит подключение, но netstat наглухо его не видит. Как тут быть?
Пользователь решил продолжить мысль 13 Марта 2016, 23:03:01:
Почему я вообще решил, что у меня, кто-то сидит?
Да, потому, что, кто-то стучится по моим серверам, причем да же по тем, что не подключены к главным, к тем на которых домен привязан. И, когда стуки начались от моего IP, меня это вообще удивило. Вот и начал искать причину.