monitoreo mis puertos y... sorpresa!

Iniciado por pezbaloo, 11 Enero 2012, 10:19 AM

0 Miembros y 1 Visitante están viendo este tema.

pezbaloo

Hola: os escribo porque me ha pasado algo que no acabo de entender. Hace tiempo instalé LAMP, servidor apache+php+mysql, para hacer una web local en joomla. Todo bien, pero ayer estaba mirando temas de seguridad en linux, en concreto el programa netstat, que monitorea las conexiones de los diferentes servidores, y me quedé acojonado con el montón de conexiones que da mi ordenador en puertos altos. Mirad esto:

~$ netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State     
tcp        0      0 xavi-lubuntu.loca:52927 par08s09-in-f11.1:https ESTABLISHED
tcp        0      0 xavi-lubuntu.loca:54131 199.16.83.72:www        TIME_WAIT 
tcp        0      0 xavi-lubuntu.loca:54132 199.16.83.72:www        TIME_WAIT 
tcp     1440      0 xavi-lubuntu.loca:39597 anon-138-116.vpn.:https ESTABLISHED
tcp        0      0 xavi-lubuntu.loca:50125 par08s09-in-f31.1:https ESTABLISHED
tcp        0      0 xavi-lubuntu.loca:40574 DNS3.startcom.org:www   ESTABLISHED
tcp        0      0 xavi-lubuntu.loca:39598 anon-138-116.vpn.:https ESTABLISHED
tcp        0      0 xavi-lubuntu.loca:40573 DNS3.startcom.org:www   TIME_WAIT 
tcp        0      0 xavi-lubuntu.loca:34116 par08s09-in-f18.1:https ESTABLISHED
tcp        0      0 xavi-lubuntu.loca:55842 par08s09-in-f31.1e1:www ESTABLISHED
tcp        0      0 xavi-lubuntu.loca:52048 CRL.VERISIGN.NET:www    ESTABLISHED
tcp        0      0 xavi-lubuntu.loca:39601 anon-138-116.vpn.:https ESTABLISHED
tcp        0      0 xavi-lubuntu.loca:55842 par08s09-in-f31.1e1:www ESTABLISHED
tcp        0      0 xavi-lubuntu.loca:39599 anon-138-116.vpn.:https ESTABLISHED
tcp        0      0 xavi-lubuntu.loca:52048 CRL.VERISIGN.NET:www    ESTABLISHED

Sólo una de estas conexiones es del chromiun navegando, lo demás no sé que es.También lo checkeé con un programilla del escritorio Lxde (System profiler and benchmark) que monitorea en tiempo real, y pude observar que las conexiones incógnita las arranca cuando el navegador solicita una página, después van muriendo hasta que vuelves a solicitar otra. No importa el navegador que use.
Googleé el tema y vi recomendaciones de instalar un superservidor (xinetd) para proteger los accesos. Así lo hice pero el tema continúa. Como lo más probable es que sean conexiones de salida, no de entrada, pasé un antivirus (clamav) por todo el ordenador en busca de un posible troyano. Registró un archivo infectado en mi carpeta personal: un pdf cifrado que me bajé de una página de seguridad informática...

Bueno, a ver si alguien sabe o ha pasado por algo parecido.
salud!

el-brujo

Yo lo veo bastante normal, todas esas conexiones son normales si has estado navegando o has abierto el navegador, varias comprobaciones del naveador, actualizaciones, el antivirus y demás. Y se quedan en time_wait y algunas established.

Son todo conexiones del navegador, no hay porque preocuparse.

Cuando visitas una web pues se abren varias conexiones, no sólo la web que visitas, sino si tiene publicidad pues muchas otras (imágenes externas, plugins, etc, etc).

Mientras no tengas conexiones establecidas desconocidas fuera del puerto 80 no hay problema.

pezbaloo

gracias brujo! muy tranquilizador...

Cuando dices: "Mientras no tengas conexiones establecidas desconocidas fuera del puerto 80 no hay problema", me hace dudar que en el listado de netstat parece que los puertos son más altos de 30000, o yo no lo entiendo bien. La otra cosa que me hace dudar es que haciendo whois de las ip externas, me salen google, facebook, RIPE network coordination center o DoD network information centre (Departament of defense USA) aunque no visite estas webs...

Perdona si soy muy pardillo para este foro pero no sabía dónde preguntar...
saludos!

el-brujo

"Foreign address" todas al puerto 80, con lo que son todos servidores web, por eso digo que no hay problema, al puerto local que se conecten da igual.

Muchas webs que vistian incluyen la api de faceobook, contador analytics de google, etc, etc.

pezbaloo

#4
netstat -n me da todo puertos 80
Ok, gracias brujo!