Autor
|
Tema: Trafico saliente no solicitado por el puerto 80.. sospechoso (Leído 3,072 veces)
|
Garfio
Desconectado
Mensajes: 2
|
Hola soy nuevo por aquí, saludos para todo el mundo.
Me prestaron un pc y poniéndolo en solfa encontré lo si siguiente. Me gustaría saber si alguno sabe de que se trata esto, es un comportamiento muy sospechoso que no me cuadra, el antivirus esta actualizado y el SO win7 también. Vengo observando un trafico saliente sobre el puerto 80 con destino a un grupo de direcciones ip registradas por Telefonica, 185.43.182.XXX:80 ;185.43.181.XXX:80 el equipo esta sin actividad aparente, y analizando el trafico descubro que es generado por WinRM (Administracion Remota de Windows), lo curioso es que si detengo el servicio WinRM, el que continua mandando tramanas SYN_SENT por el puerto 80 es el servicio CryptSvn ¡¡ y lo peor es que después de para también este servicio, si ejecuto firefox, es este ultimo el que continua con el trafico.... ¡¡¡ y si paro este el el wuauserv el que sale por el 80, total que fijo que esta contaminado con algo
Si alguno tiene idea de que se puede tratar me encantaría saberlo.Muchas gracias.
|
|
|
En línea
|
|
|
|
scott_
Desconectado
Mensajes: 458
Mientras luches, ya eres un ganador
|
¿Revisaste si no es tu TV que esta conectado al internet o la DVD, o algún dispositivo de entretenimiento?
Saludos.
|
|
|
En línea
|
Si no intentas salvar una vida, jamás salvarás la de nadie más
|
|
|
Garfio
Desconectado
Mensajes: 2
|
Hola scoott_ , gracias por contestar.
No se trata de un trafico de origen desconocido, se con seguridad desde donde sale, veo las tramas con la ip de origen, el puerto etc y la ip de destino puerto 80... Tiene una pinta extraña, lo primero es que el trafico no es continuo, pasa periodos de tiempo de algunos minutos en los que no hay trafico, y cuando le parece comienza un ciclo de algunos minutos, donde intenta conectar por el 80 en alguna de las direcciones del rango que puse arriba, lo segundo es que no se trata de un trafico solicitado, la maquina esta aun terminando de iniciar el SO y ya aparecen tramas en el firewall de la red, es como una especie de “chivato” , como diciendo he¡¡¡ estoy en linea .. no se .. tengo que investigar más.
Si quieres puedes probar tu en tu maquina por si TB te sucede, si abres un terminal, y usas NETSTAT -BO 10, podrás ver las conexiones de tu maquina y los procesos que las producen, aparecen como: protocolo ip-origen:puerto ip-destino:puerto estado id-proceso y proceso.
Por cierto, encontré esta actividad en otros ordenadores... no se si se trata de una infección, o de alguna maniobra extraña del so .. .pero si se trata del so... como es que intenta conectarse a direcciones españolas ? , eso no me cuadra.
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Redirigir trafico puerto 443
Hacking
|
hello
|
3
|
8,254
|
17 Julio 2010, 00:22 am
por Søra
|
|
|
cifrar todo el trafico saliente de mi red
Seguridad
|
kanser
|
4
|
9,758
|
11 Noviembre 2011, 13:50 pm
por Anonymous250
|
|
|
Redirigir tráfico con destino puerto 80 al router hacia otro puerto de localhost
Redes
|
Kaxperday
|
7
|
9,952
|
19 Septiembre 2015, 19:26 pm
por Kaxperday
|
|
|
Compañias ISP bloquean el trafico entrante al router por el puerto 443/tcp
« 1 2 3 4 »
Redes
|
hiddenotebook
|
32
|
32,332
|
26 Octubre 2023, 18:41 pm
por hiddenotebook
|
|
|
Tráfico sospechoso desde el router de ISP
Seguridad
|
small
|
4
|
2,230
|
7 Octubre 2024, 06:41 am
por small
|
|