linux posiblemente troyanizada? ...

buenas a todos, hace algunos meses estuve efectuando mi servicio social en la cdmx, en una alcadía en coyoacan, y pues ahí desafortunadamente me di cuenta que los encargados de informática instalaban troyanos a propósito en las pc de algunos usuarios que solicitaban configurar si pc a la red interna de la alcaldía( digo que desafortunadamente porque por descuido de uno de los encargados yo mire cuando lo estaba haciendo), y desde entonces algunas veces llavaba mi pc a ese lugar y la cosa es que después de un tiempo me di cuenta que mi pc al hacerle el netstat -na me sale una direción que esta en hexadecimal y siempre es persistente la dirección se ve de la siguiente manera
udp6       0      0 fe80::8e65:2b22:989:123 :::*
como ustedes verán no entiendo que pueda significar esto, y aunque ya he cambiado el sistema operativo esto sigue en mi pc, la cosa es que antes esta direción no se veia en el protocolo udp, toda esa parte de la tabla siempre estaba limpia, Otra de sus otras malas prácticas de las que me di cuenta es que regularmente les llevaban pc's las desarmaban y les soldaban algo,por lo que presiento que le han soldado un tipo de malware de tipo hardware a mi pc. Si alguien sabe como puedo descifrar esa dirección ip o lo que sea agradecería la información.

Hola, como te va? yo te recomendaría utilizar Wireshark para ver todos los paquetes que estan entrando/saliendo desde esa PC.
En el foro hay un paper llamado "sniffing con wireshark" muy bueno, de seguro te sirve. Buscalo con el buscador del foro

añade al netstat -p para saber el programa que está abriendo dicho puerto. Y así miras a que programa pertenece y si es lícito o no (probáblemente lo séa). No obstante, sino utilizáis en general ip version 6 con:

ip6tables -p INPUT DROP;
ip6tables -p OUTPUT DROP;
ip6tables -p FORWARD DROP;

Te aseguras de que no se utiliza IPv6 en el ordenador. Ipv6 suele ser un protocolo poco implantado y en general en firewalls de empresas, etc.. no se suele hacer caso de él, lo que provoca que a veces se comentan fallos de configuración que después vienen a dar sustos.

  pues aunque le parezca telenovelesco es cierto, en una ocasión me dicuenta de que uno de los que trabajaban ahí (responsable de dar soporte a la red) conecto una usb a una pc de un usuario que estaba solocitando conectrase dentro de la red, y no sé si me subestimo el tipo o pensó que no me iba a dar cuenta, pues como estaba realizando mi servicio social por que ya estaba acabando mi carrera técnica(nivel bachillerato aquí en méxico), pero el caso es que el encargado desactivó el antivirus y después salió un cmd y por último se visualizó un archivo de esos que se llaman enlaces directos(en windows), o como quieran que se llamen, es que yo no uso windows. Pero al parecer si alguien está viendo lo que escribó, pues por arte de magia la dirección que he posteado ya no aparece en la lista del netstat, después de que he posteado este mensaje en este foro.

  agradezco las respuestas de todos los que se han tomado el tiempo de reponder a la duda. Otra de las cosas que he observado, y no sé si es normal que haya una lista de por lo menos 15 direcciones ip que actualmente están conectadas a mi ordenador y sólo tengo abierta está página. Alguien que sabe de redes ¿qué diría acerca de esto? ¿es normal? ¿por qué hay tantas conexiones a mi pc? Y quisiera reponder a algo que dijo uno de los últimos que han respondido a mi duda; pues desafortunadamente si, en méxico las cosas están durisimas con la corrupción, por se ve que hay alguien que tiene mucho poder que está manipulando al  este  país.

  :)que tal animanegra, agradezco tu comentario, creo que me has aclarado algunas dudas, pero a aplicar el comando que me dices me sale lo siguiente
PID/Program name   
tcp        0      0 osechez-HP:34704        ext-189-247-217-27:http ESTABLISHED 1749/firefox       
tcp        0     67 osechez-HP:46994        ec2-52-10-142-119:https FIN_WAIT1   -                   
tcp        0      0 osechez-HP:35498        ec2-52-42-224-186:https ESTABLISHED
 ¿porqué salen esas direcciones como encriptadas , como si alguien estuviera tratando de esconder la dirección que se está conectando a mi ordenador?, la verdad es que no porqué aparece esto.

Pásale al netstat la opcion -n que no resolverá los nombre, yo suelo usarlo poniendo -pan.  Y ejecútalo con privilegios de administrador para que te salgan todos los programas que están realizando conexiones.

  que tal 4nimanegra, bueno te agradezco el tiempo que te tomas para responder a mis dudas. Es cierto lo que dices, al aplicar el comando que mencionas con sudo su, ya me revela la dirección ip. Y bueno, aprovechando un poco  tus conocimeintos, tu que dirias de la lsita de Ip's que me salen al sólo tener un pestaña abierta en el navegador, es decir, ¿cómo lo interpretarías tú, en caso de que lo vieses en tu pc? También como interpretarías el que después de haber expuesto una duda de este tipo en un foro, como por arte de magia desaparecio esa dirección misteriosa que apuntaba en la parte de la tabla udp6? Yo he leído algo sobre el protocolo udp, y he sabido que es el protocolo preferido para transferir datos  de voz  o video. La verdad es que esa dirección que he mencionado al principio en este foro, simpre, siempre que hacía el netstat me aparecía. ¿Pudiera ser que se esta ante un malware para linux que aún no es público? ya ves con eso de los extunetsy demás chambonadas del NSA

Me ha salido un post algo largo lo siento.
No das ninguna lista de IPs pero vamos que tu ordenador usa un montón de servicios, al igual que el de todos, tienes servicios de reloj, correo, dns, etc etc... que normalmente están habilitados para  que tu equipo funcione correctamente.

Voy a dar un repaso a la cantidad de conexiones que podemos encontrar de manera normal sin tener ningún troyano, ni Malware de por medio. Si te parece vamos a tratar de hacer un viaje a un click a la aplicación firefox en una pestaña en la que cargamos una página.

Para cargar una página web lo primero que tiene que hacer el ordenador es transformar el nombre que metes en tu URL a dirección IP que es lo que realmente entiende tu ordenador para poder comunicarse con el resto del mundo (los humanos somos de palabras y los ordenadores de numericos). Osea que como mínimo tienes una conexión con el DNS probablemente en el puerto 53.  Además la página que cargas a lo mejor tiene parte estática alojada en el servidor de esa pagina y parte en otros servidores como los de amazon. Por ejemplo, con lo que cargarías el código HTML de tu pagina y seguirías con una petición desde tu navegador hacia los nombres de cada una de las imágenes que están alojadas en otros servidores diferentes. SI además la página tiene publicidad pues tienes una conexión más por cada una de esas partes de la página normalmente alojadas en otros servidores (Todo esto seguramente serán varias conexiones a  puertos 80 http y 443 https).

Osea que solo con abrir el navegador, prácticamente realizamos 6 o 7 conexiones diferentes fácil usando distintos protocolos. Si además tienes algún plugin más, pues a lo mejor te está actualizando las noticias, el calendario, whatever, cada cosa de esas serán conexiones ya sean a puertos web o a los puertos donde se alojen esos datos. Acumlando sus respectivas conexiones DNS para sacar de cada cosa su dirección IP.

Por otro lado, como somos así, nos gusta tener el reloj de nuestro en hora pero no preocuparnos por ello (Viene por defecto así). tendremos comunicación con un servidor ntp puerto 123 de UDP, además normalmente los sistemas tienen dicho servidor en local y se comunica con los relojes de otros sitios. Como por defecto nuestras tarjetas trabajan en IPv4 y IPv6 tendremos probablemente de todos los servidores su puerto abierto en IPv4 y en IPv6. En el caso de IPv6 si no tenemos red configurada tendremos la dirección local por defecto, normalmente empiezan por fe80::.

Además de este servicio, en los equipos linux tendremos las actualizaciones que están en constante revisión de si hay nuevos paquetes, así que veremos varias conexiones hacia las rutas marcadas en el /etc/apt/sources.list en busca de nuevos paquetes. Esto abrirá conexiones a puertos 80 http, 443 https, y 21 ftp dependiendo de como tengamos configurada la máquina que nos da dichas actualizaciones.

Otro servicio que se suele tener habilitado en redes corporativas es el NFS o el SMB que son programas de comparticion de ficheros para que puedas acceder a las unidades de red con puertos abiertos TCP y UDP en los numeros 111, 1039, 1047, 1048 y 2049 en el caso de NFS y 445 y 139 en TCP en el caso de SMB. Estos conectarán cada uno con direcciones IP de las máquinas donde aloja vuestro contenido remoto.

SI además compartís cosas via FTP o SSH, que se suele hacer mucho también los puertos 21 y 22 estarán abiertos y con conexiones hacia los sistemas de disco duro de tus discos duros corporativos.
Y en este posible galimatias de puertos, IPs y conexiones no hemos hecho nada más que encender el ordenador, y poner una pagina web.

A la pregunta de si es normal ver muchas conexiones a pesar de que solo he puesto una dirección en el navegador, pues la respuesta es SI. A la pregunta de tu dirección de IPv6, pues tiene pinta de ser el servicio de NTP (el que se encarga de decir que hora es) en tu maquina local en su dirección de IPv6.

Lo que igual deberías hacer es mirar todos los programas que estan comunicandose con otra dirección IP. Los que puedes ver mediante el comando en la última columna del comando:

sudo netstat -nputa

Asi solo salen las conexiones y no los sockets internos, menos basura en la salida mas limpieza en ver los datos relevantes. Con esto verificar que son programas que necesitas. A mi por ejemplo me sale lo siguiente:

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name   
tcp        0      0 0.0.0.0:22           0.0.0.0:*               LISTEN      1055/sshd           
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      1033/mysqld         
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      2864/cupsd         
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1456/exim4         
tcp6       0      0 :::22                :::*                    LISTEN      1055/sshd           
tcp6       0      0 :::80                   :::*                    LISTEN      1058/apache2       
tcp6       0      0 ::1:631                 :::*                    LISTEN      2864/cupsd         
tcp6       0      0 ::1:25                  :::*                    LISTEN      1456/exim4         
udp        0      0 0.0.0.0:631             0.0.0.0:*                           2866/cups-browsed   
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           563/avahi-daemon: r
udp        0      0 0.0.0.0:1900            0.0.0.0:*                           1042/minissdpd     
udp        0      0 0.0.0.0:68              0.0.0.0:*                           6001/dhclient       
udp        0      0 192.168.1.39:123        0.0.0.0:*                           5994/ntpd           
udp        0      0 127.0.0.1:123           0.0.0.0:*                           5994/ntpd           
udp        0      0 0.0.0.0:123             0.0.0.0:*                           5994/ntpd           
udp        0      0 0.0.0.0:47344           0.0.0.0:*                           563/avahi-daemon: r
udp6       0      0 :::5353                 :::*                                563/avahi-daemon: r
udp6       0      0 :::40999                :::*                                563/avahi-daemon: r
udp6       0      0 fe80::514e:bbcc:ce4:123 :::*                                5994/ntpd           
udp6       0      0 ::1:123                 :::*                                5994/ntpd           
udp6       0      0 :::123                  :::*                                5994/ntpd

Yo por ejemplo tengo puesto el apache2 con mysql  porque juego con servidores web, el exim4 por temas de correo y el cupsd porque soy servidor de impresora en mi casa. Aparece el ntp que es el servidor de tiempo, avahi-daemon que es el que hace temas de dns en algunas versiones de linux.
Las IPs que son todo 0.0.0.0 es que los servidores trabajan en todas las unidades de red con IPv4 y los ::: lo mismo para IPv6.

No obstante si no te fías de los que te han instalado el sistema, coge una versión limpia de linux e instalatela tu. Así terminas con todo problema en caso de duda. Y no compartas con nadie tu password de root. También es bueno tener chkrootkit y rkhunter que son programas anti malware, los pasas cada X tiempo y te miran un poco a ver si tienes troyanos conocidos. Además tienes el clamav que es un antivirus con el que podrás mirar posibles virus en tu sistema.

Sobre lo de tener un stuxnet en tu ordenador... pues tu sabrás si tu ordenador es tan importante para la NSA como una central nuclear de Iran. Que generalmente la respuesta suele ser no. Pero yo no te conozco, si eres Obama pues igual te deberías de preocupar un poco mas de tu seguridad, pero entonces tus dudas entiendo que no las harías en un foro y entiendo que ficharías a gente que se securize el sistema. Si eres tan importante como para que alguien utilice un arma de un solo tiro en tu ordenador deberías de pagar (y muy bién) a alguien que te securice tu sistema.

No se si te he dado algo de luz o solo sombras. Pero ve diciendo las dudas adicionales que tengas si quieres y se te ira contestando entre todos.

AXCESS esa dirección IPv6 es de su dispositivo. Es su tarjeta de red que tiene un servidor ntp, si haces un netstat -n en cualquier equipo linux aparecen normalemente los servidores en las direcciones IPv4 y las IPv6 y normalemente por defecto en los linux viene un ntp server (puerto 123) que se abre en todas las direcciones de todas las tarjetas de red. Por defecto casi todos los equipo windows y unix estan siempre utilizando IPv4 y IPv6 y siempre en IPv6 se le asigna una local, exista o no alguien dando direcciones en la red, que empieza por FE80::

  que tal 4nimanegra,parece que lo que dices tiene sentido(lo de las conexiones, aunque en todo caso, si se carga una imagen o cualquier recurso externo ¿no es el servidor donde se aloja la página web la que hace el requerimiento y no tu pc?) y no es que me crea demasiado importante, pues es sabido que los cero days,troyanos no públicos y demás malware puede generar mucho dinero en el mercado negro de aplicaciones, y no lo digo yo, sólo basta con ver alguna conferencia en youtube de expertos en la materia de seguridad informática que citan textualmente que por ejemplo un cero day se puede vender por cientos de miles de dólares, y pues como no me considero muy sabiendo en eso de los exploits y todo lo que tenga que ver con el vulnerar un equipo de computo, pues a veces  mi imaginación me puede llevar a que alguien con los conocimientos necesarios en esta materia este usando mi pc como conejillo de indias, entiendes. Yo creo que todos tenemos derecho a la privacidad. Y realmente te agradezco que te tomes el tiempo para tratar de explicarme todo lo que tu consideras que puede estar pasando, pero bueno esa misteriosa dirección o lo que sea, ahora desaparece y a veces vuelve a aparecer, lo curioso es que cuando escribí en este foro, como por arte de magia desaparecio ¿tú que opinas? y antes nunca desaparecia no te miento, te aseguro que es la verdad. Ayer volví a hacer un netstat al inicio de empezar a navegar y ahí estaba de nuevo y hoy no.







)

respondiendo a la duda de acxess sobre si los equipos son de la entidad, pues no, son equipos que lleva el personal que empieza a laborar ahí de eventual o que también esta realizando su servicio social y quiere tener acceso a internet, para lo cual piden a un encargado de el departamento de informática que los conecte a la red. El caso que yo comento es el de una doctora que empezaba a laborar ahí.

Creo que se están mezaclando cosas. Voy a ir una por una, y a ver si te parece coherente lo que voy diciendo.

Primero sobre las imagenes, el funcionamiento que comentas de que la imagen la pide el servidor a otro servidor, no es el funcionamiento normal. Lo más frecuente es que dentro de la página html que estás pidiendo al servidor tengas algo como:

<img src="servidor/ruta_imagen"></img>

El navegador al leer eso, dice "Ah existe un recurso que es una imagen y tengo que pedirla a ese servidor y preguntarle por esa ruta". Y tu navegador, osea tu como cliente estas haciendo la petición a esa dirección remota (bueno que puede ser remota o del mismo servidor). Si fuese el servidor el que pidiese la imagen y te la diese a ti se vería código embebido y eso no suele ser lo más común. En paginas de noticias, google, redes sociales, etc... lo mas normal es que tengamos una brutalidad de conexiones paralelas a diferentes seridores. Normalmente muchos de ellos van hacia CDNs tipo amazonaws que proveen el contenido estático de la web.

Por otro lado, si piensas que la entidad ha instalado un soft espia, no es necesario un cero day. Osea a ver, un 0 day es un fallo en un programa que en ultima actualización consigue aprovecharse de un error que no se conoce para , normalmente, poder ejecutar código en una maquina (ya sea remota o local y con o sin escalado de privilegios). Si crees que alguien de dentro, insider, te ha instalado un troyano y te ha dado el equipo ya troyanizado no necesita de 0 day porque ya tenian acceso al equipo y a ejecutar comandos en el. En ese caso, entiendo que comentaste que el equipo fue usado por el personal de IT de tu empresa, ya  te hubiese instalado un programa de acceso remoto, que puede ser desde un programa de control del propio windows o linux (vnc, ssh, etc...) o programas orientados a utilizar redes de equipos mediante un sistema de control central (tipo lo que usan las botnets). Pero no necesitan de exploit porque ya tenian la posibilidad de ejecutar cosas en tu ordenador. De hecho lo mas normal si deseasen ejecutar codigo remoto en un linux sería haber hecho un usuario propio y poner el servicio de ssh (puerto 22 normalmente). No obstante dándote un paseo por los usuarios puedes ver si tienes usuarios con password que den acceso a tu ordenador y que no conozcas. De nuevo, deben de ser usuarios con password habilitado, porque ten en cuenta que linux crea un usuario por cada servicio abierto asi que no te sorprenda encontrar en el /etc/shadow monton de usuario que no son con el que haces login. Si ves un usuario que no debe de estar ahi y la empresa no tiene derecho a entrar puedes eliminarlo o cambiarle la password.

Ahora vayamos a el motivo por el que crees que tienes soft espia, o las razones por las que piensas que lo tienes. Parece que te está dando motivos a pensar que alguien esta haciendo cosas malas es esa IPv6 (que es una dirección local) en el puerto 123. Pero como te he comentado antes normálmente dicho puerto esta activo en todos los linux porque lo abre el servicio de ntp. Que a veces esté activo o inactivo puede tener que ver con si el programa está o no activado o si la tarjeta de red está o no activada. El programa puede a veces pararse por el motivo que sea, si el programa que abre el puerto se cierra ya no se ve el puerto abierto. Por otro lado, si la tarjeta de red esta down, tampoco verás el puerto abierto en esa dirección ya que la ipv6 la toma cuando el servicio de ipv6 ha dado ip a la tarjeta, como normalmente no tenemos IPv6 lo que hace es darle la dirección por defecto que es una IP de direccionamiento local que empieza por FE80.

Yo echaría un vistazo, como ya te he comentado antes, a todos lo programas que estén genrando conexiones y verificaria que son programas que tengo que tener instalados o que estoy utilizando.

Habiendo dicho esto, de nuevo ¿Que programa te aparece que esta abriendo el socket con el puerto 123 en la dirección IPv6? y de nuevo comento, si os vais a quedar mas tranquilos yo haría una instalación del sistema operativo y con eso resolvéis todos los problemas partiendo de un sistema limpio ya podéis vivir sin la sombra de ¿habrán entrado en mi equipos?. A veces entramos en estado un poco de "paranoia", nos pasa a todos y resulta más simple decidir formatear y reinstalar el sistema operativo y hacerlo nosotros mismos para asegurarnos de no tener problemas. Si se ha detectado cualquier entrada ilicita en el ordenador es prácticamnete la unica forma de asegurarse de que el equipo no tiene nada. Ya que siempre han podido meterte un rootkit que es una e las peores cosas que pueden pasarle a un ordenador.