miércoles, 12 de julio de 2017

Como detectar y eliminar conexiones sospechosas en la PC con netstat

Cuando el procesamiento en la PC y la navegación se vuelve lenta, es probable que tengamos conexiones no autorizadas en el equipo, primero partimos de un escaneo inicial a traves del comando:

c:\>nestat -ano

-a
Muestra todas las conexiones TCP activas y los puertos TCP y UDP en el que está escuchando el equipo.
-n
Muestra las conexiones TCP activas, sin embargo, direcciones y números de puerto se expresan numéricamente y se realiza ningún intento para determinar los nombres.
-o
Muestra las conexiones TCP activas e incluye el identificador de proceso (PID) para cada conexión. Puede encontrar la aplicación basada en el PID en la ficha de procesos en el Administrador de tareas de Windows. Este parámetro se puede combinar con - a-n -n y -p.

Esto mostrar una lista conteniendo todos las conexiones establecidas, notamos que nos muestra mucha información, para filtrar y solo mostrar las conexiones establecidas podemos utilizar el siguiente comando:

c:\>netstat -ano  | findstr ESTABLISHED

Esto nos mostrar solo las conexiones establecidas, desde esta lista podemos ir filtrando las conexiones sospechosos como por ejemplo,  las que tienen dirección IP de nuestra red local o las que pertenece a puerto desconocidos.
192.168.10
Por ejemplo en mi equipo encontré las siguientes direcciones sospechosos
  Proto  Dirección local                Dirección remota         Estado                 PID
  TCP    192.168.10.155:50164     192.168.10.25:445         ESTABLISHED     4
  TCP    192.168.10.155:50170     74.125.141.188:5228     ESTABLISHED     12756
  TCP    192.168.10.155:51016     38.99.185.103:443         ESTABLISHED     2632
  TCP    192.168.10.155:53434     52.200.182.11:443         ESTABLISHED     14212
  TCP    192.168.10.155:54672    192.168.10.20:49166      ESTABLISHED     5720

Ahora lo que podemos hacer es verificar que aplicación esta consumiendo este servicio y que servicio esta siendo consumido.
Para verificar el servicio que esta siendo consumido, podemos obtener esa información del campo dirección remota, después del : viene el puerto.  En la segunda entrada de la tabla el puerto es 5228, este lo podemos verificar en la pagina http://es.adminsub.net/tcp-udp-port-finder 


Por ejemplo este puerto no proporciona mucha información que esta haciendo, es por eso que vamos a verificar la dirección, una pagina que recomiendo es: https://www.abuseipdb.com/check/ otra pagina útil es http://www.webyield.net/ip/


Ahora si nos da indicios de que es esa conexión, si buscamos un poco eso lo utiliza los buscadores para mejorar sus búsquedas, si no estamos muy convencidos podríamos verificar que aplicación esta enlazado a ese servicio, la aplicación se muestra en el campo PID del primer comando ejecutado. Para este caso el PID de la aplicación es 12756, para consultar a que aplicación pertenece ese PID, ejecutamos el siguiente comando:

C:\>tasklist /fi "PID eq 12756"

Nombre de imagen           PID    Nombre de sesión   Núm. de ses       Uso de memor
==============  =====  ============  =========    =============

chrome.exe                    12756   Console                     2                        227,328 KB


En la salida del anterior comando, se puede observar que la sesión esta conectada a la aplicación google chrome, otro comando que nos podría dar mayor indicio de que esta haciendo podemos utilizar el comando pero con los siguiente parámetros:

C:\>tasklist /svc /fi "PID eq 12756"

Nombre de imagen                  PID                      Servicios
==================    ========        ============================
chrome.exe                              12756                   N/D


Bueno si no queremos que este activa esa conexión, podemos matar ese proceso con el siguiente comando:

C:\>taskkill /F  /IM 12756

No hay comentarios:

Publicar un comentario