Неизвестные файлы через локалку попали в Ubuntu

[demkov]

Сначала дырки закрывал, заодно разгрузил систему.

[rumit]

аа ясно!

[ArcFi]

Не вкурил я этот iptables и философию его настройки.
ЧЯДНТ?

Всё просто: создаёте конфиг и выполняете iptables-restore при старте системы.

И стоит ли туда лезть, ибо я так понимаю, могу вообще все соединения с интернетами поблокировать без умения вернуть обратно?

В крайнем случае, уберёте из автозагрузки, и всё вернётся, как было.

что ещё может дать дырку в сети?

Анализируйте выхлоп

Код: [Выделить]

sudo ss -lnptu

[demkov]

ArcFi,
я тут подумал и остановил и переместил конфиги по примеру victor00000 в корень следующих сервисов: avahi-daemon, nmbd. Теперь:

Код: [Выделить]

denis@denis-AOD257:~$ sudo ss -lnptu
Netid  State      Recv-Q Send-Q     Local Address:Port       Peer Address:Port
udp    UNCONN     0      0              127.0.1.1:53                    *:*      users:(("dnsmasq",2748,4))
udp    UNCONN     0      0                      *:68                    *:*      users:(("dhclient",6142,6))
udp    UNCONN     0      0                      *:15483                 *:*      users:(("dhclient",6142,20))
udp    UNCONN     0      0                     :::55704                :::*      users:(("dhclient",6142,21))
tcp    LISTEN     0      5              127.0.1.1:53                    *:*      users:(("dnsmasq",2748,5)) Пока вроде бы ничего не упало, проверим. Что с остальными портами делать? Например, я не пойму, для чего 15483, 55704. Онлайн-сервисы говорят, что они закрыты сейчас. Нужно ли на них обращать внимание?

[ArcFi]

Например, я не пойму, для чего 15483, 55704.

Там же написано: 127.0.1.1:53/tcp,udp — dnsmasq, остальное — dhclient.
Нормально.

Онлайн-сервисы говорят, что они закрыты сейчас.

Для UDP-скана нужен root, и вряд ли online-сервисы такое разрешат.

переместил конфиги ... в корень

Имхо, не стоит.

[demkov]

переместил конфиги ... в корень

Имхо, не стоит.

Не стоит именно что? В корень? Я просто их туда кинул, чтобы иметь возможность в случае коллапса закинуть обратно.

[ArcFi]

Не стоит именно что?

Перемещать конфиги.
Тем более, в корень, где им совсем не место.
Это может не понравиться пакетному менеджеру.

[demkov]

ArcFi,
хм, он пока не обратил внимания.
Сейчас вот обновился на 200МБ, тоже промолчал. И сервисы новые в sudo ss -lnptu не появились.
Судя по всему, вопрос с дырками решён — дырки вроде есть, но они теперь не работают. Спасибо всем!
Чем отличается сервис от демона? И то, и другое висит в процессах и запускается при старте компьютера?

[ArcFi]

Чем отличается сервис от демона?

http://en.wikipedia.org/wiki/Daemon_%28computing%29
http://en.wikipedia.org/wiki/Windows_service

[demkov]

ArcFi,
а я всё ту статью читал
ознакомился с этими двумя статьями, выходит, что сервисы и демоны — одно и то же. Или я таки не понял разницы, или под сервисами имелись ввиду демоны, тогда зачем по-разному называть?

[ArcFi]

forekko, "демоны" исторически пошли из юниксов, "сервисы" — с венды, а по сути одно и то же.

[Лерыч]

Тут не так давно прихожу к своей матери (у нее Kubuntu 12.10), смотрю, а на ее рабочем столе ярлычек "Подключение к интернет" появился. А надо заметить, что на ее рабочем столе (впрочем, как и на моем) выведены только иконки вайновских программ, все остальное (читай "кошерное") — в Меню.
"WTF?", — спрашиваю ее. "Да хз", — отвечает она, — "само как-то появилось". Видимо, на каком-то из сайтов куда-то тыкнула не туда, вот оно к ней и забралось, и само установилось и прописалось. При ближайшем рассмотрении этой гадостью оказалось... внимание, внимание... Guard@Mail.Ru!   Для тех, кто не в курсе, что это за дрянь — тыц! Прошерстил все, обнаружилась эта гадость только в директории ~/.wine (ну и плюс кнопка запуска в папке "Рабочий стол"). Ну тупо вычистил ручками эту ботву из ~/.wine, и всего делов (дома на всякий случай всегда держу забекапленный каталог ~/.wine, так что в подобном случае просто удалил бы зараженный каталог целиком, а на его место воткнул бы копию бэкапа и все бы работало; но у нее подобного бэкапа, к сожалению, не было). Так что Wine — хоть и не большая, но все-таки зона риска! Не стоит забывать об этом...

[acidpeople]

От оно чего тута происходит! Выходит я прав в двойне, первое - что таки не юзаю Вайн, а юзаю уж Виртуальную Винду под Боксом, а вообще , стараюсь, юзать всё Линуховое, родное. Что б потом так не аукнулось например с Вайном не жданно, не гаданно.
Второе - что первым делом апосля установки, выношу все - vino, telnet...etc.
forekko,

...аналогичной манипуляцией снёс сервисы smbd, winbind, cups....

Не в службу как говориться, а в дружбу. Можно подробней об произведённой выше "манипуляции" по сносу сервисов?
Как сносил короче напиши, как правильно вынести, не повредив систему?
Они мне нафиг не нужны, давно подумываю вынести хлам, а как правильно, без последствии для системы - не знаю.
А ваще, чё я хатю сказать, у мну Фире который Стартер стоит))). Можете назвать параноиком - а я скажу - весчь самая необходимая в бубунте! Без него - никакого спокоя!
Жаль кнечно, что с ядром 3.5 функционал утратил... и не правят это! Но надеюсь - или пофиксят, со временем, может что то другое на замену Каноники предусмотрят.
Я допустим хоть и под Линухой, но никогда по полной не расслабляюсь, это полезно бывает.... Благодаря Фире, напимер, я таки знаю, что долбят периодически по 139 и 445 , года с 3 уже подалбливается. Иной раз бывает и по SSH прилетают блоки от Фирестартера.
Потому лично я стараюсь вынести это всё под чистую, тем более что ничего не юзаю и вря т ли оно мне пригодиться когда то.

[demkov]

Чего вы на вайн нагоняете, я ж говорю, скорее всего по локальной сети кто-то как-то пробился. На нетбуке вайн не нужен, так как вайн мне нужен иногда был только поиграть, да и то уже давно не пробовал. Последнее что запускал на памяти — Diablo II осенью.

Можно подробней об произведённой выше "манипуляции" по сносу сервисов?
Как сносил короче напиши, как правильно вынести, не повредив систему?

Сервисов много, но я снёс только те, что знаю и считаю не нужными на нетбуке. Во всяком случае, за последний год их не использовал.
Как снести написал victor00000:

можно удалить самбу?

Код: [Выделить]

mv /etc/init/smbd.conf / Переместил конфиг демона (ну демон же? Хоть и зовётся сервисом) в корень диска, хотя ArcFi говорит, что кидать в корень — зло. Таким образом при загрузке компьютер их не запускает.

Код: [Выделить]

service smbd stopОстановил сервис сейчас, вместо перезагрузки.

[victor00000]

forekko,
так просто обратно извините.

Код: [Выделить]

mv /smbd.conf /etc/init/