elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Arreglado, de nuevo, el registro del warzone (wargame) de EHN


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  monitoreo mis puertos y... sorpresa!
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: monitoreo mis puertos y... sorpresa!  (Leído 4,143 veces)
pezbaloo

Desconectado Desconectado

Mensajes: 4


Ver Perfil
monitoreo mis puertos y... sorpresa!
« en: 11 Enero 2012, 10:19 am »

Hola: os escribo porque me ha pasado algo que no acabo de entender. Hace tiempo instalé LAMP, servidor apache+php+mysql, para hacer una web local en joomla. Todo bien, pero ayer estaba mirando temas de seguridad en linux, en concreto el programa netstat, que monitorea las conexiones de los diferentes servidores, y me quedé acojonado con el montón de conexiones que da mi ordenador en puertos altos. Mirad esto:

~$ netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State     
tcp        0      0 xavi-lubuntu.loca:52927 par08s09-in-f11.1:https ESTABLISHED
tcp        0      0 xavi-lubuntu.loca:54131 199.16.83.72:www        TIME_WAIT 
tcp        0      0 xavi-lubuntu.loca:54132 199.16.83.72:www        TIME_WAIT 
tcp     1440      0 xavi-lubuntu.loca:39597 anon-138-116.vpn.:https ESTABLISHED
tcp        0      0 xavi-lubuntu.loca:50125 par08s09-in-f31.1:https ESTABLISHED
tcp        0      0 xavi-lubuntu.loca:40574 DNS3.startcom.org:www   ESTABLISHED
tcp        0      0 xavi-lubuntu.loca:39598 anon-138-116.vpn.:https ESTABLISHED
tcp        0      0 xavi-lubuntu.loca:40573 DNS3.startcom.org:www   TIME_WAIT 
tcp        0      0 xavi-lubuntu.loca:34116 par08s09-in-f18.1:https ESTABLISHED
tcp        0      0 xavi-lubuntu.loca:55842 par08s09-in-f31.1e1:www ESTABLISHED
tcp        0      0 xavi-lubuntu.loca:52048 CRL.VERISIGN.NET:www    ESTABLISHED
tcp        0      0 xavi-lubuntu.loca:39601 anon-138-116.vpn.:https ESTABLISHED
tcp        0      0 xavi-lubuntu.loca:55842 par08s09-in-f31.1e1:www ESTABLISHED
tcp        0      0 xavi-lubuntu.loca:39599 anon-138-116.vpn.:https ESTABLISHED
tcp        0      0 xavi-lubuntu.loca:52048 CRL.VERISIGN.NET:www    ESTABLISHED

Sólo una de estas conexiones es del chromiun navegando, lo demás no sé que es.También lo checkeé con un programilla del escritorio Lxde (System profiler and benchmark) que monitorea en tiempo real, y pude observar que las conexiones incógnita las arranca cuando el navegador solicita una página, después van muriendo hasta que vuelves a solicitar otra. No importa el navegador que use.
Googleé el tema y vi recomendaciones de instalar un superservidor (xinetd) para proteger los accesos. Así lo hice pero el tema continúa. Como lo más probable es que sean conexiones de salida, no de entrada, pasé un antivirus (clamav) por todo el ordenador en busca de un posible troyano. Registró un archivo infectado en mi carpeta personal: un pdf cifrado que me bajé de una página de seguridad informática...

Bueno, a ver si alguien sabe o ha pasado por algo parecido.
salud!


En línea

el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.580


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: monitoreo mis puertos y... sorpresa!
« Respuesta #1 en: 11 Enero 2012, 11:24 am »

Yo lo veo bastante normal, todas esas conexiones son normales si has estado navegando o has abierto el navegador, varias comprobaciones del naveador, actualizaciones, el antivirus y demás. Y se quedan en time_wait y algunas established.

Son todo conexiones del navegador, no hay porque preocuparse.

Cuando visitas una web pues se abren varias conexiones, no sólo la web que visitas, sino si tiene publicidad pues muchas otras (imágenes externas, plugins, etc, etc).

Mientras no tengas conexiones establecidas desconocidas fuera del puerto 80 no hay problema.


En línea

pezbaloo

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: monitoreo mis puertos y... sorpresa!
« Respuesta #2 en: 11 Enero 2012, 12:50 pm »

gracias brujo! muy tranquilizador...

Cuando dices: "Mientras no tengas conexiones establecidas desconocidas fuera del puerto 80 no hay problema", me hace dudar que en el listado de netstat parece que los puertos son más altos de 30000, o yo no lo entiendo bien. La otra cosa que me hace dudar es que haciendo whois de las ip externas, me salen google, facebook, RIPE network coordination center o DoD network information centre (Departament of defense USA) aunque no visite estas webs...

Perdona si soy muy pardillo para este foro pero no sabía dónde preguntar...
saludos!
En línea

el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.580


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: monitoreo mis puertos y... sorpresa!
« Respuesta #3 en: 11 Enero 2012, 17:28 pm »

"Foreign address" todas al puerto 80, con lo que son todos servidores web, por eso digo que no hay problema, al puerto local que se conecten da igual.

Muchas webs que vistian incluyen la api de faceobook, contador analytics de google, etc, etc.
En línea

pezbaloo

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: monitoreo mis puertos y... sorpresa!
« Respuesta #4 en: 11 Enero 2012, 19:30 pm »

netstat -n me da todo puertos 80
Ok, gracias brujo!
« Última modificación: 11 Enero 2012, 19:42 pm por pezbaloo » En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Cambio de piso y... sorpresa!!
Hacking Wireless
slide200 3 3,966 Último mensaje 29 Abril 2010, 19:24 pm
por pazienzia
Sorpresa para el foro ;) « 1 2 3 »
Sugerencias y dudas sobre el Foro
VanX 20 8,840 Último mensaje 15 Julio 2011, 04:42 am
por .:UND3R:.
Crackme con desempakado sorpresa « 1 2 »
Ingeniería Inversa
Tinkipinki 10 4,798 Último mensaje 9 Agosto 2011, 18:15 pm
por .:UND3R:.
Monitoreo Dark Web
Hacking
Kaduu 1 2,032 Último mensaje 16 Octubre 2023, 17:28 pm
por el-brujo
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines