Come posso interrompere questo attacco remoto?

1

Sembra che qualcuno stia registrando il mio computer da remoto, sto utilizzando Avast anti virus con Comodo Firewall che non segnala alcun attacco. L'ho notato solo perché sui registri di sicurezza del mio router vedo quanto segue.

Ho scansionato la macchina con 6 diversi antivirus e tutti segnalano che la macchina è pulita, quindi è probabilmente un attacco zero day. È successo dopo che ho scaricato stupidamente un file .doc da un torrent. Sospetto un trojan sulla mia macchina, posso comunque bloccare questo attacco e scoprire manualmente quale programma sta chiamando l'utente malintenzionato?

Log del router

Line 4: [LAN access from remote] from 221.163.250.228:3389 to 192.168.1.58:2345, Thursday, March 26,2015 19:59:59
Line 5: [LAN access from remote] from 142.4.215.8:27010 to 192.168.1.58:27015, Thursday, March 26,2015 19:59:34
Line 6: [LAN access from remote] from 188.138.9.50:36877 to 192.168.1.58:2323, Thursday, March 26,2015 19:13:36
Line 26: [LAN access from remote] from 221.163.250.228:3389 to 192.168.1.58:2345, Thursday, March 26,2015 00:15:44
Line 53: [LAN access from remote] from 223.130.239.89:1010 to 192.168.1.58:2345, Wednesday, March 25,2015 01:39:57
Line 76: [LAN access from remote] from 223.130.239.89:1010 to 192.168.1.58:2345, Tuesday, March 24,2015 17:28:28
Line 81: [LAN access from remote] from 103.249.103.31:6003 to 192.168.1.58:2345, Tuesday, March 24,2015 16:01:15
Line 86: [LAN access from remote] from 107.20.201.237:4244 to 192.168.1.58:60615, Tuesday, March 24,2015 11:38:33
    
posta Ninja2k 26.03.2015 - 21:52
fonte

5 risposte

3

Innanzitutto, il firewall non lo identificherà come un attacco se il traffico è consentito.

In secondo luogo, nei registri è possibile visualizzare i numeri di porta a cui è destinata la comunicazione. È possibile correlare tali porte con i file binari che stanno ascoltando quelle porte sulla macchina. Cerca il comando netstat per il tuo sistema operativo e versione.

In terzo luogo, dovresti configurare i firewall per rifiutare le richieste di connessione in entrata su quella macchina (o in generale, a seconda delle tue esigenze).

    
risposta data 26.03.2015 - 22:09
fonte
2

Ogni volta che ho visto qualcosa di strano nei registri del firewall, è stato un comportamento completamente positivo che viene alla luce dopo circa un'ora di panico totale; -)

Se il router non è configurato per l'inoltro di tali porte e uPnP non è abilitato, è necessario che siano avviate da alcuni software su 192.168.1.58. Usa netstat -a -n -o per mostrare l'attività di rete, incluso il PID, e poi un programma come Sysinternals Process Explorer per confermare quale sia il PID e cosa potrebbe fare. Se c'è un trojan, ci sarà probabilmente una porta o due che ascoltano le connessioni solo nel caso in cui il sistema sia accessibile all'esterno, oltre all'attività vista dove apparentemente sta telefonando a casa. Poi. usa Wireshark per ascoltare il traffico e vedere se è identificabile e se c'è altro traffico sospetto accanto a esso non viene mostrato nel registro.

Nel peggiore dei casi, utilizzare un Live CD da Bitdefender o simili, per avviare il sistema infetto in un ambiente completamente pulito e quindi eseguire la scansione di tutti i virus presenti su di esso.

Se tutto questo non attiva nulla, probabilmente stai guardando un artefatto del software torrent o di qualche altra app che hai in esecuzione. Dato l'alto valore dei veri exploit a 0 giorni e la loro natura mirata, non è probabile che tu ne abbia trovato uno in un torrent doc. Se sei stato completamente rattoppato e lo scanner antivirus era aggiornato quando lo hai aperto, probabilmente stai bene.

    
risposta data 27.03.2015 - 21:58
fonte
1

Non so come si dovrebbe sbarazzarsi dell'eventuale virus trojan, ma come inizio dovresti bloccare e disabilitare l'accesso remoto!

Se hai una porta in avanti, potrebbe esserci una vulnerabilità, quindi disabilita anche quelle!

    
risposta data 26.03.2015 - 22:03
fonte
1

Prova ad ottenere assistenza gratuita dal link , hanno volontari lì che hai eseguito strumenti di sicurezza e posta i log, è molto efficace e avendo letto centinaia di casi, è probabile che tu trovi una soluzione lì. Devi prima creare un account, ma è anche gratuito.

Vorrei provare a installare un buon firewall e impostarlo manualmente per bloccare quegli specifici IP e ripristinare tutte le mie password bancarie da un computer senza compromessi.

    
risposta data 27.03.2015 - 21:32
fonte
0

Un aggiornamento di ieri ad Avast Anti virus ha rilevato un kit di root in esecuzione sul mio computer, l'ho rimosso e ho rimosso tutte le porte di inoltro per essere al sicuro, gli attacchi sembrano essere andati via ma lo terrò d'occhio, sembra che ci siano alcuni buoni consigli qui per potenziali minacce alla sicurezza, grazie a tutti per aver contribuito.

    
risposta data 30.03.2015 - 01:08
fonte

Leggi altre domande sui tag