Hola: os escribo porque me ha pasado algo que no acabo de entender. Hace tiempo instalé LAMP, servidor apache+php+mysql, para hacer una web local en joomla. Todo bien, pero ayer estaba mirando temas de seguridad en linux, en concreto el programa netstat, que monitorea las conexiones de los diferentes servidores, y me quedé acojonado con el montón de conexiones que da mi ordenador en puertos altos. Mirad esto:
~$ netstat Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 xavi-lubuntu.loca:52927 par08s09-in-f11.1:https ESTABLISHED tcp 0 0 xavi-lubuntu.loca:54131 199.16.83.72:www TIME_WAIT tcp 0 0 xavi-lubuntu.loca:54132 199.16.83.72:www TIME_WAIT tcp 1440 0 xavi-lubuntu.loca:39597 anon-138-116.vpn.:https ESTABLISHED tcp 0 0 xavi-lubuntu.loca:50125 par08s09-in-f31.1:https ESTABLISHED tcp 0 0 xavi-lubuntu.loca:40574 DNS3.startcom.org:www ESTABLISHED tcp 0 0 xavi-lubuntu.loca:39598 anon-138-116.vpn.:https ESTABLISHED tcp 0 0 xavi-lubuntu.loca:40573 DNS3.startcom.org:www TIME_WAIT tcp 0 0 xavi-lubuntu.loca:34116 par08s09-in-f18.1:https ESTABLISHED tcp 0 0 xavi-lubuntu.loca:55842 par08s09-in-f31.1e1:www ESTABLISHED tcp 0 0 xavi-lubuntu.loca:52048 CRL.VERISIGN.NET:www ESTABLISHED tcp 0 0 xavi-lubuntu.loca:39601 anon-138-116.vpn.:https ESTABLISHED tcp 0 0 xavi-lubuntu.loca:55842 par08s09-in-f31.1e1:www ESTABLISHED tcp 0 0 xavi-lubuntu.loca:39599 anon-138-116.vpn.:https ESTABLISHED tcp 0 0 xavi-lubuntu.loca:52048 CRL.VERISIGN.NET:www ESTABLISHED
Sólo una de estas conexiones es del chromiun navegando, lo demás no sé que es.También lo checkeé con un programilla del escritorio Lxde (System profiler and benchmark) que monitorea en tiempo real, y pude observar que las conexiones incógnita las arranca cuando el navegador solicita una página, después van muriendo hasta que vuelves a solicitar otra. No importa el navegador que use. Googleé el tema y vi recomendaciones de instalar un superservidor (xinetd) para proteger los accesos. Así lo hice pero el tema continúa. Como lo más probable es que sean conexiones de salida, no de entrada, pasé un antivirus (clamav) por todo el ordenador en busca de un posible troyano. Registró un archivo infectado en mi carpeta personal: un pdf cifrado que me bajé de una página de seguridad informática...
Bueno, a ver si alguien sabe o ha pasado por algo parecido. salud!
|