Comando prompt netsat rilevamento malware [chiuso]

Question

Comando prompt netsat rilevamento malware [chiuso]

#1 da (2 voti)

0

Sospetto di avere malware nel mio laptop. Qualcuno può spiegare cosa sta succedendo in quel log? Sto usando il WiFi pubblico.

http malware netstat

posta Zygis 19.10.2016 - 03:04

fonte

1 risposta

Leggi altre domande sui tag http malware netstat

Come sfruttare la chiamata di sistema quando viene fornito il percorso completo di binario all'interno della chiamata? Gestione sessione: imposta il nuovo valore dell'ID sessione dopo la modifica dei privilegi e altre operazioni sensibili

score 2 · Answer 1

L'esecuzione di netstat -b mostra i campi per le connessioni correnti con informazioni su:

Protocollo: TCP o UDP, TCP è traffico web

Indirizzo locale: se è 127.0.0.1, è nella tua interfaccia di loopback (ovvero come il tuo computer parla a se stesso). In questo caso, sembra DESKTOP-D476NPG è il nome del tuo computer. A quanto sembra, i plugin di firefox stanno usando questo e sembra legittimo.

Quando è 10.100.170.103, è la tua normale interfaccia di rete. L'indirizzo 10.x indica che si dispone di una rete locale utilizzando lo spazio di indirizzo 10.x.x.x di RFC1918 e probabilmente è in esecuzione un server DHCP che inizia con un indirizzo di .100. Questo indica che il tuo computer è probabilmente il terzo dispositivo sulla rete per connettersi a Ethernet / Wi-Fi.

Indirizzo straniero : il server remoto a cui ti stai connettendo. In questo caso, molti server Amazon, MSN e altri tipi di traffico Web.

C'è una connessione che va da 10.100.170.103 a 192.168.18.240, che indica che è probabile che si stia effettuando una connessione LAN o VPN con un'altra subnet RFC1918 locale. Ciò potrebbe anche essere il risultato di una configurazione "double-NATing" errata in cui un router locale ha un intervallo IP e un router wireless ne ha un altro. In entrambi i casi, i dati mostrano che questo è dal servizio di aggiornamento di Windows 10 che tenta di offrire aggiornamenti peer-to-peer, poiché è configurato per impostazione predefinita.

Stato : mostra se la connessione è stata stabilita (ovvero connessa) o se il significato TIME_WAIT è stato completato. SYN_RECEIVED significa che l'host remoto ha inviato un SYNchronize TCP che richiede una connessione, ma non ha rinviato SYN-ACK riconoscendo la conferma di ricezione della richiesta di connessione da parte dell'host.

Considera altre opzioni

netstat -b è un modo semplice per vedere quali connessioni il tuo computer potrebbe fare, ma è difficile da leggere e, a seconda dell'intervallo, potrebbero mancare degli elementi. Uno sniffer di pacchetti come WireShark, o meglio ancora uno collegato a un altro dispositivo di rete come Snort o un sistema di rilevamento delle intrusioni sarebbe più efficace. Diversi venditori di AntiVirus vendono anche un sistema di rilevamento delle intrusioni basato su host (HIDS) che analizza costantemente il traffico di rete per determinare se qualcuno sia sospetto.