elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a Git (Primera Parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Conexiones sospechosas
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Conexiones sospechosas  (Leído 5,064 veces)
GameAndWatch

Desconectado Desconectado

Mensajes: 42


Ver Perfil
Conexiones sospechosas
« en: 15 Agosto 2012, 21:40 pm »

¡Hola a todos!
Tengo un problema un tanto raro...es que mi firefox está haciendo unas conexiones extrañas a sitios "sospechosos"...con un sniffer he encontrado esto, pero no sé si es normal (puesto que antes no lo hacía), algunos de los sitios a los que conecta son estos:

LB130.MADR.COTENDO.net o mad01s08-in-f7.1e100.net (en esta última captura que he hecho, solo han salido estos)
¿Es esto normal? Estoy muy preocupado... :-[

Gracias de antemano y perdón por las molestias...pero es que estoy muy preocupado.


En línea

el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.580


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: Conexiones sospechosas
« Respuesta #1 en: 15 Agosto 2012, 23:02 pm »

¿qué sniffer has usado?

Sería mejor que uses una aplicación más sencilla tipo TCPView para ver las conexiones remotas del navegador.

Seguramente es completamente normal, cuando visitas una página web, pues se conecta a muchos sitios (scripts de publicidad, contador de visitas, etc, etc).

Es decir que aparezcan conexiones a hots remotos que a ti no te suenan, no quiere decir que te estén hackeando, simplemente que el navegador hace muchas peticiones a muchos sitios cuando navegas.

Como saber si me estan hackeando
http://foro.elhacker.net/seguridad/como_saber_si_me_estan_hackeando-t322787.0.html


En línea

GameAndWatch

Desconectado Desconectado

Mensajes: 42


Ver Perfil
Re: Conexiones sospechosas
« Respuesta #2 en: 16 Agosto 2012, 08:14 am »

¡Gracias por responder!
Estaba usando el smartsniff
Pues en la lista aparece muchas veces system process y svchost ¿es normal?

Bueno, quiero aclarar que las conexioes que intenta hacer firefox es sin visitar a ninguna página...por eso me parecía raro.
En línea

x3r0x

Desconectado Desconectado

Mensajes: 36


VENI,VIDI,VICI.


Ver Perfil
Re: Conexiones sospechosas
« Respuesta #3 en: 22 Agosto 2012, 18:28 pm »

Tu ordenador se conecta a estos sitios o es solo el firefox? lo hace frecuentemente? permanentemente? has investigado que sitios web son? saludos !
En línea

"Lo supremo en el arte de la guerra es someter al enemigo sin darle batalla." Sun Tzu
shellb_c0de

Desconectado Desconectado

Mensajes: 99


el software es como el sexo, mejor cuando es libre


Ver Perfil
Re: Conexiones sospechosas
« Respuesta #4 en: 23 Agosto 2012, 01:34 am »

simplemente utilizas el comando netstat -na
con eso basta para que analizes que conexiones establecidas en tu sesion y hagas las pruebas.

http://lamiradadelreplicante.wordpress.com/2012/01/12/mostrar-conexiones-activas-procesos-y-puertos-abiertos-con-netstat/

saludos!!!
En línea

“Tu vida solo es la suma del resto de una ecuación no balanceada, connatural a la programación de Matrix. Eres el producto eventual de una anomalía, que no se ha logrado suprimir de esta armonía de precisión matemática. Aunque sigues siendo una incomodidad que evito con frecuencia, es previsible y no escapa a unas medidas de control que te han conducido inexorablemente aquí.
Luna71c0


Desconectado Desconectado

Mensajes: 541


El lado oscuro de la luna...


Ver Perfil
Re: Conexiones sospechosas
« Respuesta #5 en: 23 Agosto 2012, 01:41 am »

GameAndWatch
no era mejor
Playandwatch? :P solo curiosidad :P

y verifica el estado de las conexiones.
cuando inicias el ordenador
cuando abres firefox
cuando cierras firefox

si cuando inicias el ordenador tienes conexiones extrañas dejame decirte que no es FF el que ha sido vulnerado
En línea


Citar
Un pequeño paso para el programador....
Un gran paso para el hacker...

...]LunaHAck[...


i'm the "Luna71c0"
GameAndWatch

Desconectado Desconectado

Mensajes: 42


Ver Perfil
Re: Conexiones sospechosas
« Respuesta #6 en: 24 Agosto 2012, 13:06 pm »

Bueno, cuando firefox no se ejecuta, parece que se mandan conexiones pero con Netstat -b no las veo.
las pongo aqui, por si sabeis que es lo que pasa :-(

 TCP    192.168.1.2:52633      mad01s09-in-f5:http    TIME_WAIT
 TCP    192.168.1.2:52634      mad01s09-in-f5:http    TIME_WAIT
 TCP    192.168.1.2:52691      mad01s08-in-f14:https  TIME_WAIT
 TCP    192.168.1.2:52760      mad01s09-in-f8:http    TIME_WAIT
 TCP    192.168.1.2:52761      mad01s09-in-f8:http    TIME_WAIT
 TCP    192.168.1.2:52762      mad01s09-in-f3:http    TIME_WAIT
 TCP    192.168.1.2:52777      192.168.1.1:http       TIME_WAIT
 TCP    192.168.1.2:52780      192.168.1.1:http       TIME_WAIT
 TCP    192.168.1.2:52787      192.168.1.1:http       TIME_WAIT
 TCP    192.168.1.2:52788      192.168.1.1:http       TIME_WAIT
 TCP    192.168.1.2:52789      192.168.1.1:http       TIME_WAIT
 TCP    192.168.1.2:52799      192.168.1.1:http       TIME_WAIT
 TCP    192.168.1.2:52802      192.168.1.1:http       TIME_WAIT
 TCP    192.168.1.2:62400      adsl-65-9-184-241:50922  TIME_WAIT
 TCP    192.168.1.2:62400      119:61183              TIME_WAIT
 TCP    [2001:0:5ef5:79fb:3c60:2eaf:b093:ca1]:62400  [2001:0:5ef5:79fd:422:fb90
a0c3:507b]:55578  TIME_WAIT


Y lo peor, es que no pone que aplicación es la que usa. Si necesitais, pongo con tcpview o con netstat -na...pero estoy algo perocupado (y cuando digo algo, digo bastante)
En línea

r32
Moderador
***
Desconectado Desconectado

Mensajes: 1.297



Ver Perfil WWW
Re: Conexiones sospechosas
« Respuesta #7 en: 25 Agosto 2012, 01:19 am »

Hola el primer dominio "LB130.MADR.COTENDO.net" es de España, posiblemente de tu proveedor de Internet (ISP) "Madrid", el segundo es de google.

Con el comando "netstat -b" tendría que salirte entre parentesis justo debajo del protocolo que programa está usando esa conexión...

Tienes adminstadores de tareas donde puedes visualizar conexiones y demás, ProcessHacker es uno de ellos y funciona bastante bien.

Para poder ver mejor que conexiones y hacia donde, cierra navegador y todo lo que conecte a Internet y abre "Wireshark" o similar, aunque el que usas ya está bien.

Saludos.
En línea

GameAndWatch

Desconectado Desconectado

Mensajes: 42


Ver Perfil
Re: Conexiones sospechosas
« Respuesta #8 en: 25 Agosto 2012, 21:05 pm »

El problema del netstat -b es que no me muestra el que ha hecho antes esas peticiones. Antes si que aparecian, pero de esas no.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines