Pagina 1 di 1
connessioni sospette? Come risalire al "problema"/causa?
Inviato: ven mar 06, 2015 5:32 pm
da Ozne
Salve. Oggi non avevo niende da fare ( 
) e sono andato a controllare i dns su cmd, visto che c'ero ho passato a rassegna tutte le opzioni del comando netstat, e su netstat -f ho notato qualcosa di strano. 
c'erano delle connessioni in entrata, anche con browser chiuso e nesun programma aperto.
ora non ho salvato il log, e rilanciando il comando non ho gli stessi risultati.
ma anche ora ho una connessione tcp da:
Codice: Seleziona tutto
TCP 192.168.1.20:1044 r-064-044-234-077.ff.avast.com:http ESTABLISHED
Codice: Seleziona tutto
TCP 192.168.1.20:2525 ec2-54-149-61-25.us-west-2.compute.amazonaws.com:https ESTABLISHED
Un altra connessione era fatta da cloudfront net, e mi ha fatto preoccupare molto di più, visto che facendo una veloce ricerca sembra essere un worm... preso, o che cerca di bucare?
Sto andando in paranoia.
Uso il semplice firewall di windows, ma visto questi log, non mi sento poi così sicuro, voi che mi consigliate per mettermi più a riparo?
Grazie
Re: connessioni sospette? Come risalire al "problema"/causa?
Inviato: ven mar 06, 2015 6:08 pm
da crazy.cat
Ozne ha scritto:voi che mi consigliate per mettermi più a riparo?
Visto che ci sono ancora delle licenze, sicuramente questo https://turbolab.it/566
Nei sito trovi gli articoli su currports e process explorer, ti forniscono molti dettagli su processi attivi e su chi si collega dal pc.
Re: connessioni sospette? Come risalire al "problema"/causa?
Inviato: ven mar 06, 2015 7:24 pm
da PippoDJ
Ozne ha scritto:ho passato a rassegna tutte le opzioni del comando netstat, e su netstat -f
L'opzione -b aggiunge all'output di netstat il nome del processo che sta usando quella connessione.
In alternativa puoi eseguire Monitoraggio risorse (resmon.exe), tab: Rete, pannello: Porte in ascolto.
Codice: Seleziona tutto
TCP 192.168.1.20:1044 r-064-044-234-077.ff.avast.com:http ESTABLISHED
|aggiornamento delle definizioni antivirus probabilmente, ma non dovrebbe partire dall'antivirus la richiesta?
Codice: Seleziona tutto
TCP 192.168.1.20:2525 ec2-54-149-61-25.us-west-2.compute.amazonaws.com:https ESTABLISHED
|cosa vuole amazon? sono registrato e ogni tanto faccio acquisti, su smartphone ho l'app per l'appstore, forse connettendomi via wifi continuo ad essere monitorato/tracciato in qualche modo?
Un altra connessione era fatta da
cloudfront net, e mi ha fatto preoccupare molto di più, visto che facendo una veloce ricerca sembra essere un worm... preso, o che cerca di bucare?
I servizi cloud di Amazon Amazon Web Services e Cloudfront vengono usati da molti produttori di software che non si possono permettere di avere "in casa" server abbastanza potenti da soddisfare grossi quantitativi di connessioni. Pertanto non costituiscono di per sè una minaccia: tuttavia è vero che a volte vengano utilizzati anche da software "maligni".
In particolare mi lascia piuttosto perplesso l'apertura della porta 2525 che non è propriamente... "standard".
Quindi, se il netstat -f -b non ti ha acceso nessuna 
, credo sia meglio seguire il consiglio di crazy.cat:
Ciao, Pippo.
Re: connessioni sospette? Come risalire al "problema"/causa?
Inviato: ven mar 06, 2015 7:54 pm
da Ozne
capisco.
stavo installando online armor ma niente, si pianta. mi dice che non è compatibile con virtualbox, non digerisce il "bridged networking". MA ho disinstallato il programma e anche vmware, ma niente, ho anche rimosso i driver e niente... Non mi vuole aiutare. 
Re: connessioni sospette? Come risalire al "problema"/causa?
Inviato: ven mar 06, 2015 10:06 pm
da Ozne
Re: connessioni sospette? Come risalire al "problema"/causa?
Inviato: ven mar 06, 2015 10:18 pm
da Ozne
ho rimosso manualmente i driver da system32/driver di virtual box e le chiavi di registro, ed è andato a buon fine.
ora vedo come mi trovo.
Re: connessioni sospette? Come risalire al "problema"/causa?
Inviato: sab mar 07, 2015 5:46 am
da crazy.cat
Ozne ha scritto:non è compatibile con virtualbox, non digerisce il "bridged networking". MA ho disinstallato il programma e anche vmware, ma niente, ho anche rimosso i driver e niente... Non mi vuole aiutare.
Era spiegato nell'articolo https://turbolab.it/542
Se ti serve virtualbox allora potevi usare comodo firewall.
Re: connessioni sospette? Come risalire al "problema"/causa?
Inviato: sab mar 07, 2015 10:10 am
da Ozne
ce l'avevo per provare windows 10, ma per ora non mi serve più.
Ecco cosa capita a non leggere tutto attentamente. XD Ho fatto delle inutili ricerche su google. 
Per ora mi trovo bene, anche se ci sono forse troppi avvisi alla prima esecuzione di programmi che fanno uso di internet, ma basta configurarli la prima volta.
Re: connessioni sospette? Come risalire al "problema"/causa?
Inviato: dom mar 08, 2015 11:44 pm
da PippoDJ
PippoDJ ha scritto:In particolare mi lascia piuttosto perplesso l'apertura della porta
2525 che non è propriamente... "standard".
Ozne ha scritto:stavo installando online armor ma niente, si pianta. mi dice che non è compatibile con virtualbox
VirtualBox, eh? Uhm... sarebbe stato interessante vedere il risultato di un netstat subito dopo la rimozione di VirtualBox: Come funziona la rete su VirtualBox. 
Beh, comunque possiamo dire che... in un modo o nell'altro... Online Armor ha "risolto" il problema delle connessioni sospette! 
Re: connessioni sospette? Come risalire al "problema"/causa?
Inviato: lun mar 09, 2015 8:44 am
da Ozne
Di sicuro mi sento più protetto.
Anche se nulla è infallibile.
