Conexiones sospechosas

Iniciado por GameAndWatch, 15 Agosto 2012, 21:40 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

GameAndWatch

15 Agosto 2012, 21:40 PM
¡Hola a todos!
Tengo un problema un tanto raro...es que mi firefox está haciendo unas conexiones extrañas a sitios "sospechosos"...con un sniffer he encontrado esto, pero no sé si es normal (puesto que antes no lo hacía), algunos de los sitios a los que conecta son estos:

LB130.MADR.COTENDO.net o mad01s08-in-f7.1e100.net (en esta última captura que he hecho, solo han salido estos)
¿Es esto normal? Estoy muy preocupado... :-[

Gracias de antemano y perdón por las molestias...pero es que estoy muy preocupado.

el-brujo

#1
15 Agosto 2012, 23:02 PM
¿qué sniffer has usado?

Sería mejor que uses una aplicación más sencilla tipo TCPView para ver las conexiones remotas del navegador.

Seguramente es completamente normal, cuando visitas una página web, pues se conecta a muchos sitios (scripts de publicidad, contador de visitas, etc, etc).

Es decir que aparezcan conexiones a hots remotos que a ti no te suenan, no quiere decir que te estén hackeando, simplemente que el navegador hace muchas peticiones a muchos sitios cuando navegas.

Como saber si me estan hackeando
http://foro.elhacker.net/seguridad/como_saber_si_me_estan_hackeando-t322787.0.html

GameAndWatch

#2
16 Agosto 2012, 08:14 AM
¡Gracias por responder!
Estaba usando el smartsniff
Pues en la lista aparece muchas veces system process y svchost ¿es normal?

Bueno, quiero aclarar que las conexioes que intenta hacer firefox es sin visitar a ninguna página...por eso me parecía raro.

x3r0x

#3
22 Agosto 2012, 18:28 PM
Tu ordenador se conecta a estos sitios o es solo el firefox? lo hace frecuentemente? permanentemente? has investigado que sitios web son? saludos !
"Lo supremo en el arte de la guerra es someter al enemigo sin darle batalla." Sun Tzu

shellb_c0de

#4
23 Agosto 2012, 01:34 AM
simplemente utilizas el comando netstat -na
con eso basta para que analizes que conexiones establecidas en tu sesion y hagas las pruebas.

http://lamiradadelreplicante.wordpress.com/2012/01/12/mostrar-conexiones-activas-procesos-y-puertos-abiertos-con-netstat/

saludos!!!
"Tu vida solo es la suma del resto de una ecuación no balanceada, connatural a la programación de Matrix. Eres el producto eventual de una anomalía, que no se ha logrado suprimir de esta armonía de precisión matemática. Aunque sigues siendo una incomodidad que evito con frecuencia, es previsible y no escapa a unas medidas de control que te han conducido inexorablemente aquí.

Luna71c0

#5
23 Agosto 2012, 01:41 AM
GameAndWatch
no era mejor
Playandwatch? :P solo curiosidad :P

y verifica el estado de las conexiones.
cuando inicias el ordenador
cuando abres firefox
cuando cierras firefox

si cuando inicias el ordenador tienes conexiones extrañas dejame decirte que no es FF el que ha sido vulnerado

Citar
Un pequeño paso para el programador....
Un gran paso para el hacker...

...]LunaHAck[...


i'm the "Luna71c0"

GameAndWatch

#6
24 Agosto 2012, 13:06 PM
Bueno, cuando firefox no se ejecuta, parece que se mandan conexiones pero con Netstat -b no las veo.
las pongo aqui, por si sabeis que es lo que pasa :-(

TCP    192.168.1.2:52633      mad01s09-in-f5:http    TIME_WAIT
TCP    192.168.1.2:52634      mad01s09-in-f5:http    TIME_WAIT
TCP    192.168.1.2:52691      mad01s08-in-f14:https  TIME_WAIT
TCP    192.168.1.2:52760      mad01s09-in-f8:http    TIME_WAIT
TCP    192.168.1.2:52761      mad01s09-in-f8:http    TIME_WAIT
TCP    192.168.1.2:52762      mad01s09-in-f3:http    TIME_WAIT
TCP    192.168.1.2:52777      192.168.1.1:http       TIME_WAIT
TCP    192.168.1.2:52780      192.168.1.1:http       TIME_WAIT
TCP    192.168.1.2:52787      192.168.1.1:http       TIME_WAIT
TCP    192.168.1.2:52788      192.168.1.1:http       TIME_WAIT
TCP    192.168.1.2:52789      192.168.1.1:http       TIME_WAIT
TCP    192.168.1.2:52799      192.168.1.1:http       TIME_WAIT
TCP    192.168.1.2:52802      192.168.1.1:http       TIME_WAIT
TCP    192.168.1.2:62400      adsl-65-9-184-241:50922  TIME_WAIT
TCP    192.168.1.2:62400      119:61183              TIME_WAIT
TCP    [2001:0:5ef5:79fb:3c60:2eaf:b093:ca1]:62400  [2001:0:5ef5:79fd:422:fb90
a0c3:507b]:55578  TIME_WAIT


Y lo peor, es que no pone que aplicación es la que usa. Si necesitais, pongo con tcpview o con netstat -na...pero estoy algo perocupado (y cuando digo algo, digo bastante)

r32

#7
25 Agosto 2012, 01:19 AM
Hola el primer dominio "LB130.MADR.COTENDO.net" es de España, posiblemente de tu proveedor de Internet (ISP) "Madrid", el segundo es de google.

Con el comando "netstat -b" tendría que salirte entre parentesis justo debajo del protocolo que programa está usando esa conexión...

Tienes adminstadores de tareas donde puedes visualizar conexiones y demás, ProcessHacker es uno de ellos y funciona bastante bien.

Para poder ver mejor que conexiones y hacia donde, cierra navegador y todo lo que conecte a Internet y abre "Wireshark" o similar, aunque el que usas ya está bien.

Saludos.

GameAndWatch

#8
25 Agosto 2012, 21:05 PM
El problema del netstat -b es que no me muestra el que ha hecho antes esas peticiones. Antes si que aparecian, pero de esas no.
Imprimir
Ir Arriba Páginas1
Acciones del Usuario