connessioni sospette? Come risalire al "problema"/causa?

Se Windows genera un errore, hai un problema di virus o vuoi discutere/segnalare l'uscita della nuova versione di un software per la piattaforma Microsoft, questa è la sezione giusta.
Regole del forum
Rispondi
Avatar utente
Ozne
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 584
Iscritto il: mer apr 23, 2014 11:05 am

connessioni sospette? Come risalire al "problema"/causa?

Messaggio da Ozne »

Salve. Oggi non avevo niende da fare ( :muro ) e sono andato a controllare i dns su cmd, visto che c'ero ho passato a rassegna tutte le opzioni del comando netstat, e su netstat -f ho notato qualcosa di strano. :frightened

c'erano delle connessioni in entrata, anche con browser chiuso e nesun programma aperto.

ora non ho salvato il log, e rilanciando il comando non ho gli stessi risultati.

ma anche ora ho una connessione tcp da:

Codice: Seleziona tutto

TCP    192.168.1.20:1044      r-064-044-234-077.ff.avast.com:http  ESTABLISHED  
|aggiornamento delle definizioni antivirus probabilmente, ma non dovrebbe partire dall'antivirus la richiesta?

Codice: Seleziona tutto

TCP    192.168.1.20:2525      ec2-54-149-61-25.us-west-2.compute.amazonaws.com:https  ESTABLISHED
|cosa vuole amazon? sono registrato e ogni tanto faccio acquisti, su smartphone ho l'app per l'appstore, forse connettendomi via wifi continuo ad essere monitorato/tracciato in qualche modo?

Un altra connessione era fatta da cloudfront net, e mi ha fatto preoccupare molto di più, visto che facendo una veloce ricerca sembra essere un worm... preso, o che cerca di bucare? :frightened



Sto andando in paranoia. :frightened
Uso il semplice firewall di windows, ma visto questi log, non mi sento poi così sicuro, voi che mi consigliate per mettermi più a riparo?


Grazie

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: connessioni sospette? Come risalire al "problema"/causa?

Messaggio da System » ven mar 06, 2015 5:32 pm


Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 9007
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: connessioni sospette? Come risalire al "problema"/causa?

Messaggio da crazy.cat »

Ozne ha scritto:voi che mi consigliate per mettermi più a riparo?
Visto che ci sono ancora delle licenze, sicuramente questo https://turbolab.it/566

Nei sito trovi gli articoli su currports e process explorer, ti forniscono molti dettagli su processi attivi e su chi si collega dal pc.
Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.

Avatar utente
PippoDJ
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1678
Iscritto il: sab nov 01, 2014 3:50 pm

Re: connessioni sospette? Come risalire al "problema"/causa?

Messaggio da PippoDJ »

Ozne ha scritto:ho passato a rassegna tutte le opzioni del comando netstat, e su netstat -f

Codice: Seleziona tutto

netstat -f -b

L'opzione -b aggiunge all'output di netstat il nome del processo che sta usando quella connessione.

In alternativa puoi eseguire Monitoraggio risorse (resmon.exe), tab: Rete, pannello: Porte in ascolto.

Codice: Seleziona tutto

TCP    192.168.1.20:1044      r-064-044-234-077.ff.avast.com:http  ESTABLISHED  
|aggiornamento delle definizioni antivirus probabilmente, ma non dovrebbe partire dall'antivirus la richiesta?

Codice: Seleziona tutto

TCP    192.168.1.20:2525      ec2-54-149-61-25.us-west-2.compute.amazonaws.com:https  ESTABLISHED
|cosa vuole amazon? sono registrato e ogni tanto faccio acquisti, su smartphone ho l'app per l'appstore, forse connettendomi via wifi continuo ad essere monitorato/tracciato in qualche modo?

Un altra connessione era fatta da cloudfront net, e mi ha fatto preoccupare molto di più, visto che facendo una veloce ricerca sembra essere un worm... preso, o che cerca di bucare? :frightened

I servizi cloud di Amazon Amazon Web Services e Cloudfront vengono usati da molti produttori di software che non si possono permettere di avere "in casa" server abbastanza potenti da soddisfare grossi quantitativi di connessioni. Pertanto non costituiscono di per sè una minaccia: tuttavia è vero che a volte vengano utilizzati anche da software "maligni".

In particolare mi lascia piuttosto perplesso l'apertura della porta 2525 che non è propriamente... "standard".
Quindi, se il netstat -f -b non ti ha acceso nessuna :idea: , credo sia meglio seguire il consiglio di crazy.cat:
crazy.cat ha scritto:Visto che ci sono ancora delle licenze, sicuramente questo https://turbolab.it/566
Ciao, Pippo.

Avatar utente
Ozne
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 584
Iscritto il: mer apr 23, 2014 11:05 am

Re: connessioni sospette? Come risalire al "problema"/causa?

Messaggio da Ozne »

capisco.

stavo installando online armor ma niente, si pianta. mi dice che non è compatibile con virtualbox, non digerisce il "bridged networking". MA ho disinstallato il programma e anche vmware, ma niente, ho anche rimosso i driver e niente... Non mi vuole aiutare. :(

Avatar utente
Ozne
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 584
Iscritto il: mer apr 23, 2014 11:05 am

Re: connessioni sospette? Come risalire al "problema"/causa?

Messaggio da Ozne »

Immagine

Avatar utente
Ozne
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 584
Iscritto il: mer apr 23, 2014 11:05 am

Re: connessioni sospette? Come risalire al "problema"/causa?

Messaggio da Ozne »

ho rimosso manualmente i driver da system32/driver di virtual box e le chiavi di registro, ed è andato a buon fine.

ora vedo come mi trovo.

Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 9007
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: connessioni sospette? Come risalire al "problema"/causa?

Messaggio da crazy.cat »

Ozne ha scritto:non è compatibile con virtualbox, non digerisce il "bridged networking". MA ho disinstallato il programma e anche vmware, ma niente, ho anche rimosso i driver e niente... Non mi vuole aiutare. :(
Era spiegato nell'articolo https://turbolab.it/542
Se ti serve virtualbox allora potevi usare comodo firewall.
Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.

Avatar utente
Ozne
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 584
Iscritto il: mer apr 23, 2014 11:05 am

Re: connessioni sospette? Come risalire al "problema"/causa?

Messaggio da Ozne »

ce l'avevo per provare windows 10, ma per ora non mi serve più.

Ecco cosa capita a non leggere tutto attentamente. XD Ho fatto delle inutili ricerche su google. :D

Per ora mi trovo bene, anche se ci sono forse troppi avvisi alla prima esecuzione di programmi che fanno uso di internet, ma basta configurarli la prima volta.

Avatar utente
PippoDJ
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1678
Iscritto il: sab nov 01, 2014 3:50 pm

Re: connessioni sospette? Come risalire al "problema"/causa?

Messaggio da PippoDJ »

PippoDJ ha scritto:In particolare mi lascia piuttosto perplesso l'apertura della porta 2525 che non è propriamente... "standard".
Ozne ha scritto:stavo installando online armor ma niente, si pianta. mi dice che non è compatibile con virtualbox
VirtualBox, eh? Uhm... sarebbe stato interessante vedere il risultato di un netstat subito dopo la rimozione di VirtualBox: Come funziona la rete su VirtualBox. ;)

Beh, comunque possiamo dire che... in un modo o nell'altro... Online Armor ha "risolto" il problema delle connessioni sospette! :)

Avatar utente
Ozne
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 584
Iscritto il: mer apr 23, 2014 11:05 am

Re: connessioni sospette? Come risalire al "problema"/causa?

Messaggio da Ozne »

Di sicuro mi sento più protetto.

Immagine

Anche se nulla è infallibile.

Immagine

:rotolo

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: connessioni sospette? Come risalire al "problema"/causa?

Messaggio da System » lun mar 09, 2015 8:44 am


Rispondi
  • Argomenti simili
    Risposte
    Visite
    Ultimo messaggio