|
Título: Trafico saliente no solicitado por el puerto 80.. sospechoso Publicado por: Garfio en 31 Mayo 2015, 22:52 pm Hola soy nuevo por aquí, saludos para todo el mundo.
Me prestaron un pc y poniéndolo en solfa encontré lo si siguiente. Me gustaría saber si alguno sabe de que se trata esto, es un comportamiento muy sospechoso que no me cuadra, el antivirus esta actualizado y el SO win7 también. Vengo observando un trafico saliente sobre el puerto 80 con destino a un grupo de direcciones ip registradas por Telefonica, 185.43.182.XXX:80 ;185.43.181.XXX:80 el equipo esta sin actividad aparente, y analizando el trafico descubro que es generado por WinRM (Administracion Remota de Windows), lo curioso es que si detengo el servicio WinRM, el que continua mandando tramanas SYN_SENT por el puerto 80 es el servicio CryptSvn ¡¡ y lo peor es que después de para también este servicio, si ejecuto firefox, es este ultimo el que continua con el trafico.... ¡¡¡ y si paro este el el wuauserv el que sale por el 80, total que fijo que esta contaminado con algo Si alguno tiene idea de que se puede tratar me encantaría saberlo.Muchas gracias. Título: Re: Trafico saliente no solicitado por el puerto 80.. sospechoso Publicado por: scott_ en 1 Junio 2015, 00:57 am ¿Revisaste si no es tu TV que esta conectado al internet o la DVD, o algún dispositivo de entretenimiento?
Saludos. Título: Re: Trafico saliente no solicitado por el puerto 80.. sospechoso Publicado por: Garfio en 1 Junio 2015, 19:02 pm Hola scoott_ , gracias por contestar.
No se trata de un trafico de origen desconocido, se con seguridad desde donde sale, veo las tramas con la ip de origen, el puerto etc y la ip de destino puerto 80... Tiene una pinta extraña, lo primero es que el trafico no es continuo, pasa periodos de tiempo de algunos minutos en los que no hay trafico, y cuando le parece comienza un ciclo de algunos minutos, donde intenta conectar por el 80 en alguna de las direcciones del rango que puse arriba, lo segundo es que no se trata de un trafico solicitado, la maquina esta aun terminando de iniciar el SO y ya aparecen tramas en el firewall de la red, es como una especie de “chivato” , como diciendo he¡¡¡ estoy en linea .. no se .. tengo que investigar más. Si quieres puedes probar tu en tu maquina por si TB te sucede, si abres un terminal, y usas NETSTAT -BO 10, podrás ver las conexiones de tu maquina y los procesos que las producen, aparecen como: protocolo ip-origen:puerto ip-destino:puerto estado id-proceso y proceso. Por cierto, encontré esta actividad en otros ordenadores... no se si se trata de una infección, o de alguna maniobra extraña del so .. .pero si se trata del so... como es que intenta conectarse a direcciones españolas ? , eso no me cuadra. |