elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Trafico saliente no solicitado por el puerto 80.. sospechoso
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Trafico saliente no solicitado por el puerto 80.. sospechoso  (Leído 3,072 veces)
Garfio

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Trafico saliente no solicitado por el puerto 80.. sospechoso
« en: 31 Mayo 2015, 22:52 pm »

Hola soy nuevo por aquí, saludos para todo el mundo.

Me prestaron un pc y poniéndolo en solfa encontré lo si siguiente.
Me gustaría saber si alguno sabe de que se trata esto, es un comportamiento muy sospechoso que no me cuadra, el antivirus esta actualizado y el SO win7 también.
Vengo observando un trafico saliente sobre el puerto 80  con destino a un grupo de direcciones ip registradas por Telefonica, 185.43.182.XXX:80 ;185.43.181.XXX:80 el equipo esta sin actividad aparente, y analizando el trafico descubro que es generado por WinRM (Administracion Remota de Windows), lo curioso es que si detengo el servicio WinRM, el que continua mandando tramanas SYN_SENT por el puerto 80 es el servicio CryptSvn ¡¡ y lo peor es que después de para también este servicio, si ejecuto firefox, es este ultimo el que continua con el trafico.... ¡¡¡  y si paro este el el wuauserv el que sale por el 80, total que fijo que esta contaminado con algo

Si alguno tiene idea de que se puede tratar me encantaría saberlo.Muchas gracias.


En línea

scott_


Desconectado Desconectado

Mensajes: 458


Mientras luches, ya eres un ganador


Ver Perfil
Re: Trafico saliente no solicitado por el puerto 80.. sospechoso
« Respuesta #1 en: 1 Junio 2015, 00:57 am »

¿Revisaste si no es tu TV que esta conectado al internet o la DVD, o algún dispositivo de entretenimiento?

Saludos.


En línea

Si no intentas salvar una vida, jamás salvarás la de nadie más
Garfio

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Re: Trafico saliente no solicitado por el puerto 80.. sospechoso
« Respuesta #2 en: 1 Junio 2015, 19:02 pm »

Hola scoott_ , gracias por contestar.

No se trata de un trafico de origen desconocido, se con seguridad desde donde sale, veo las tramas con la ip de origen, el puerto etc y la ip de destino puerto 80...
 Tiene una pinta extraña, lo primero es que el trafico no es continuo, pasa periodos de tiempo de algunos minutos en los que no hay trafico, y cuando le parece comienza un ciclo de algunos minutos, donde intenta conectar por el 80 en alguna de las direcciones del rango que puse arriba, lo segundo es que no se trata de un trafico solicitado, la maquina esta aun terminando de iniciar el SO y ya aparecen tramas en el firewall de la red, es como una especie de “chivato” , como diciendo he¡¡¡ estoy en linea .. no se .. tengo que investigar más.

Si quieres puedes probar tu en tu maquina por si TB te sucede, si abres un terminal, y usas NETSTAT -BO 10, podrás ver las conexiones de tu maquina y los procesos que las producen,
aparecen como:  protocolo  ip-origen:puerto  ip-destino:puerto  estado  id-proceso y proceso.

Por cierto, encontré esta actividad en otros ordenadores... no se si se trata de una infección, o de alguna maniobra extraña del so .. .pero si se trata del so... como es que intenta conectarse a direcciones españolas ? , eso no me cuadra.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Redirigir trafico puerto 443
Hacking
hello 3 8,254 Último mensaje 17 Julio 2010, 00:22 am
por Søra
cifrar todo el trafico saliente de mi red
Seguridad
kanser 4 9,758 Último mensaje 11 Noviembre 2011, 13:50 pm
por Anonymous250
Redirigir tráfico con destino puerto 80 al router hacia otro puerto de localhost
Redes
Kaxperday 7 9,952 Último mensaje 19 Septiembre 2015, 19:26 pm
por Kaxperday
Compañias ISP bloquean el trafico entrante al router por el puerto 443/tcp « 1 2 3 4 »
Redes
hiddenotebook 32 32,332 Último mensaje 26 Octubre 2023, 18:41 pm
por hiddenotebook
Tráfico sospechoso desde el router de ISP
Seguridad
small 4 2,230 Último mensaje 7 Octubre 2024, 06:41 am
por small
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines