|
Título: Conexiones sospechosas Publicado por: GameAndWatch en 15 Agosto 2012, 21:40 pm ¡Hola a todos!
Tengo un problema un tanto raro...es que mi firefox está haciendo unas conexiones extrañas a sitios "sospechosos"...con un sniffer he encontrado esto, pero no sé si es normal (puesto que antes no lo hacía), algunos de los sitios a los que conecta son estos: LB130.MADR.COTENDO.net o mad01s08-in-f7.1e100.net (en esta última captura que he hecho, solo han salido estos) ¿Es esto normal? Estoy muy preocupado... :-[ Gracias de antemano y perdón por las molestias...pero es que estoy muy preocupado. Título: Re: Conexiones sospechosas Publicado por: el-brujo en 15 Agosto 2012, 23:02 pm ¿qué sniffer has usado?
Sería mejor que uses una aplicación más sencilla tipo TCPView para ver las conexiones remotas del navegador. Seguramente es completamente normal, cuando visitas una página web, pues se conecta a muchos sitios (scripts de publicidad, contador de visitas, etc, etc). Es decir que aparezcan conexiones a hots remotos que a ti no te suenan, no quiere decir que te estén hackeando, simplemente que el navegador hace muchas peticiones a muchos sitios cuando navegas. Como saber si me estan hackeando http://foro.elhacker.net/seguridad/como_saber_si_me_estan_hackeando-t322787.0.html Título: Re: Conexiones sospechosas Publicado por: GameAndWatch en 16 Agosto 2012, 08:14 am ¡Gracias por responder!
Estaba usando el smartsniff Pues en la lista aparece muchas veces system process y svchost ¿es normal? Bueno, quiero aclarar que las conexioes que intenta hacer firefox es sin visitar a ninguna página...por eso me parecía raro. Título: Re: Conexiones sospechosas Publicado por: x3r0x en 22 Agosto 2012, 18:28 pm Tu ordenador se conecta a estos sitios o es solo el firefox? lo hace frecuentemente? permanentemente? has investigado que sitios web son? saludos !
Título: Re: Conexiones sospechosas Publicado por: shellb_c0de en 23 Agosto 2012, 01:34 am simplemente utilizas el comando netstat -na
con eso basta para que analizes que conexiones establecidas en tu sesion y hagas las pruebas. http://lamiradadelreplicante.wordpress.com/2012/01/12/mostrar-conexiones-activas-procesos-y-puertos-abiertos-con-netstat/ (http://lamiradadelreplicante.wordpress.com/2012/01/12/mostrar-conexiones-activas-procesos-y-puertos-abiertos-con-netstat/) saludos!!! Título: Re: Conexiones sospechosas Publicado por: Luna71c0 en 23 Agosto 2012, 01:41 am GameAndWatch
no era mejor Playandwatch? :P solo curiosidad :P y verifica el estado de las conexiones. cuando inicias el ordenador cuando abres firefox cuando cierras firefox si cuando inicias el ordenador tienes conexiones extrañas dejame decirte que no es FF el que ha sido vulnerado Título: Re: Conexiones sospechosas Publicado por: GameAndWatch en 24 Agosto 2012, 13:06 pm Bueno, cuando firefox no se ejecuta, parece que se mandan conexiones pero con Netstat -b no las veo.
las pongo aqui, por si sabeis que es lo que pasa :-( TCP 192.168.1.2:52633 mad01s09-in-f5:http TIME_WAIT TCP 192.168.1.2:52634 mad01s09-in-f5:http TIME_WAIT TCP 192.168.1.2:52691 mad01s08-in-f14:https TIME_WAIT TCP 192.168.1.2:52760 mad01s09-in-f8:http TIME_WAIT TCP 192.168.1.2:52761 mad01s09-in-f8:http TIME_WAIT TCP 192.168.1.2:52762 mad01s09-in-f3:http TIME_WAIT TCP 192.168.1.2:52777 192.168.1.1:http TIME_WAIT TCP 192.168.1.2:52780 192.168.1.1:http TIME_WAIT TCP 192.168.1.2:52787 192.168.1.1:http TIME_WAIT TCP 192.168.1.2:52788 192.168.1.1:http TIME_WAIT TCP 192.168.1.2:52789 192.168.1.1:http TIME_WAIT TCP 192.168.1.2:52799 192.168.1.1:http TIME_WAIT TCP 192.168.1.2:52802 192.168.1.1:http TIME_WAIT TCP 192.168.1.2:62400 adsl-65-9-184-241:50922 TIME_WAIT TCP 192.168.1.2:62400 119:61183 TIME_WAIT TCP [2001:0:5ef5:79fb:3c60:2eaf:b093:ca1]:62400 [2001:0:5ef5:79fd:422:fb90 a0c3:507b]:55578 TIME_WAIT Y lo peor, es que no pone que aplicación es la que usa. Si necesitais, pongo con tcpview o con netstat -na...pero estoy algo perocupado (y cuando digo algo, digo bastante) Título: Re: Conexiones sospechosas Publicado por: r32 en 25 Agosto 2012, 01:19 am Hola el primer dominio "LB130.MADR.COTENDO.net" es de España, posiblemente de tu proveedor de Internet (ISP) "Madrid", el segundo es de google.
Con el comando "netstat -b" tendría que salirte entre parentesis justo debajo del protocolo que programa está usando esa conexión... Tienes adminstadores de tareas donde puedes visualizar conexiones y demás, ProcessHacker es uno de ellos y funciona bastante bien. Para poder ver mejor que conexiones y hacia donde, cierra navegador y todo lo que conecte a Internet y abre "Wireshark" o similar, aunque el que usas ya está bien. Saludos. Título: Re: Conexiones sospechosas Publicado por: GameAndWatch en 25 Agosto 2012, 21:05 pm El problema del netstat -b es que no me muestra el que ha hecho antes esas peticiones. Antes si que aparecian, pero de esas no.
|