elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: AIO elhacker.NET 2021 Compilación herramientas análisis y desinfección malware


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Baliza de ayuda contra posible hackeo
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Baliza de ayuda contra posible hackeo  (Leído 3,534 veces)
Gor

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Baliza de ayuda contra posible hackeo
« en: 9 Noviembre 2010, 16:50 pm »

Hola buenas.
Malo es que esta sea mi primera aportación pero en fin, allá voy.

Tengo un problema y es que tengo la impresión de que están accediendo a mi ordenador a través de ip.
Hice un testeo con netstat para ver las ips activas así como los puertos y encontré varias... después de bloquear varios programas, servicios y puertos, me sigo encontrando con lo siguiente:

tcp4       0      0  192.168.0.2.61527      124.107.243.62.p.55638 SYN_SENT
tcp4       0      0  192.168.0.2.61511      124.107.243.62.p.finge SYN_SENT

Desde Terminal, y con el comando 'sudo lsof -i -n' encuentro también esa ip con la siguiente info:

stroke    3937            pit    3u  IPv4 0x949b270      0t0    TCP 192.168.0.2:61527->124.107.243.62:55638 (SYN_SENT)

stroke    4112            pit    3u  IPv4 0x975566c      0t0    TCP 192.168.0.2:61528->124.107.243.62:http (SYN_SENT)

Me parece curioso que siga devolviendo estas conexiones a pesar de haber accedido al firewall del router y he bloqueado practicamente todos los puertos.

El proceso 'stroke' por lo que he visto es nativo de OSX y forma parte de las utilidades de red del sistema por lo que estoy ya bastante perdido. AYUDA!!!!


En línea

cPositron

Desconectado Desconectado

Mensajes: 54



Ver Perfil
Re: Baliza de ayuda contra posible hackeo
« Respuesta #1 en: 9 Noviembre 2010, 17:41 pm »

Buenas,

Ahi lo que te dice es que el programa o servicio "stroke" (que no se lo que es) desde ip (192.168.0.2) ha enviado un SYN para conectarse al servidor 124.107.243.62:http

yo no veo nada raro si dices que conoces el programa "stroke" , la conexion la estas haciendo tu a ese servidor, osea que has sido tu el que le a enviado la peticion con el SYN


En línea

Gor

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Re: Baliza de ayuda contra posible hackeo
« Respuesta #2 en: 9 Noviembre 2010, 17:53 pm »

por lo que he visto de la ip proviene de las islas filipinas...

Mi sistema operativo es OSX y por lo que investigué está metido en el paquete de utilidades de red que supongo que son NETSTAT, APPLETALK, PING, LOOKUP, TRACEROUTE, WHOIS, FINGER y PORTSCAN.

Lo que no se es porqué se conecta a esa ip mi ordenador, máxime cuando probé desde el firewall propio a bloquear todas las aplicaciones y posteriormente también desde el firewall del router todo el rango de puertos hasta 62000.

Concretamente el estado SYN_SENT no se a ciencia cierta qué estado es ¿sincronización enviada?. ¿Podría tratarse de algún software encubierto que utilíce ese proceso para enviar datos a esa ip? (Siempre es esa ip, tanto si reinicio el router como el ordenador).
En línea

cPositron

Desconectado Desconectado

Mensajes: 54



Ver Perfil
Re: Baliza de ayuda contra posible hackeo
« Respuesta #3 en: 9 Noviembre 2010, 18:09 pm »

por lo que he visto de la ip proviene de las islas filipinas...

Mi sistema operativo es OSX y por lo que investigué está metido en el paquete de utilidades de red que supongo que son NETSTAT, APPLETALK, PING, LOOKUP, TRACEROUTE, WHOIS, FINGER y PORTSCAN.

Lo que no se es porqué se conecta a esa ip mi ordenador, máxime cuando probé desde el firewall propio a bloquear todas las aplicaciones y posteriormente también desde el firewall del router todo el rango de puertos hasta 62000.

Concretamente el estado SYN_SENT no se a ciencia cierta qué estado es ¿sincronización enviada?. ¿Podría tratarse de algún software encubierto que utilíce ese proceso para enviar datos a esa ip? (Siempre es esa ip, tanto si reinicio el router como el ordenador).


Normalmente en un firewall para casa se deniegan todas las conexiones entrantes escepto las establecidas por ti.

esa conexion a la que tu te refieres la estas pidiendo TU con un SYN por lo tanto tu firewall la esta pasando por buena. (suponiendo que tu firewall tenga la configuracion que antes te dije)

Lee por la wikipedia sobre SYN SYN/ACK y ACK que son los 3 pasos previos a una conexion.

saludos
En línea

APOKLIPTICO


Desconectado Desconectado

Mensajes: 3.871


Toys in the attic.


Ver Perfil
Re: Baliza de ayuda contra posible hackeo
« Respuesta #4 en: 11 Noviembre 2010, 17:36 pm »

Aparte, que tengas un par de conexiones de tu pc a un servidor, no significa que estés infectado, hay muchos programas que utilizan internet...
En línea

AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Posible hackeo en mi web site
Seguridad
Mr.Blue 0 1,885 Último mensaje 17 Marzo 2011, 04:03 am
por Mr.Blue
Es posible el hackeo de una red lan sin programas servidor-cliente?
Seguridad
derlae 2 5,018 Último mensaje 5 Julio 2011, 18:37 pm
por int_0x40
posible hackeo « 1 2 »
Seguridad
Fustigador 16 9,860 Último mensaje 5 Agosto 2012, 17:48 pm
por Fustigador
Correos cifrados - posible hackeo sitio web
Seguridad
knight_neo 1 1,808 Último mensaje 12 Diciembre 2014, 02:58 am
por r32
Ayuda !!! Programas extraños en mi pc posible intento de hackeo
Seguridad
Etico04 5 3,555 Último mensaje 20 Junio 2019, 14:19 pm
por UnaiiM
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines