Uso constante de la red por un proceso desconocido

Question

Unbúsquedanen la primera dirección muestra que es un sistema en China:

$ nslookup 61.134.84.44 8.8.8.8
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
44.84.134.61.in-addr.arpa       name = 44.61.134.84.net.ts.gs.dynamic.163data.com.cn.

Authoritative answers can be found from:

$

La "cn" al final delnombre de dominio completo (FQDN)es elcódigo de país para China. Y elCentro de información de la red Asia-Pacífico (APNIC), elRegistro regional de Internet (RIR)para Asia, muestra la dirección IP61.134.84.44está en un rango de direcciones asignado al "Tsqc internet club" en China.

Una búsqueda ns en la otra dirección, 184.105.247.226, muestra que el FQDN asociado con esa dirección es scan-13h.shadowserver.org. ElFundación servidor de sombrases un "grupo voluntario de trabajadores profesionales de seguridad de Internet que recopila, rastrea e informa sobre malware, actividad de botnets y fraude informático. Su objetivo es mejorar la seguridad de Internet creando conciencia sobre la presencia de servidores comprometidos, atacantes maliciosos y la propagación de software malicioso." Elpagina de iniciopara la organización dice:

Establecida en 2004, The Shadowserver Foundation recopila inteligencia sobre el lado más oscuro de Internet. Estamos compuestos por profesionales de seguridad voluntarios de todo el mundo. Nuestra misión es comprender y ayudar a detener el cibercrimen de alto riesgo en la era de la información.

En cuanto a por qué pudo haber visto transmisiones de red entre su sistema y el sistema ShadowServer, consulte la guía de la organización.Abrir proyecto de escaneo de Portmapperpágina.

La otra dirección IP en China podría haber sido un intento de ese sistema de conectarse a su sistema. ElCentro de tormentas de Internet, que es un programa de laInstituto Tecnológico SANSque monitorea el nivel de actividad maliciosa en Internet, informaactividad de escaneo reciente desde la dirección 61.134.84.44.

Si está conectado a Internet, debe esperar frecuentes intentos por parte de sistemas de todo el mundo de conectarse a su sistema, ya que hay personas en todo el mundo escaneando Internet en busca de sistemas con vulnerabilidades que puedan explotar; un intento de conexión no significa necesariamente que su sistema sea vulnerable, sólo que alguien está investigando su dirección IP en busca de vulnerabilidades.

Podrías usartcpdumpoWiresharkcapturar y analizar los flujos de datos para tener una mejor idea de lo que está sucediendo, es decir, si alguien simplemente escanea su sistema en busca de vulnerabilidades o si alguien ha comprometido su sistema. Aprender a utilizar esas herramientas de forma eficaz puede llevar bastante tiempo, si no está familiarizado con ellas.protocolos de red de internet, pero son invaluables para solucionar problemas de red y analizar el tráfico de la red.

Actualizar:

El resultado que publicaste desdeNetHogsmostró sólo elpuertos de redpara los otros sistemas, es decir, 24630para el sistema en China y 37393para el sistema Shadowserver, pero no los puertos correspondientes en su sistema, pero si desea saber qué proceso está escuchando en un puerto particular de su sistema, puede usar ellsofdominio. Por ejemplo, si desea saber qué proceso está escuchando en el puerto HTTP estándar, cuál espuerto conocido80, podrías emitir el comando lsof -i TCP:80(tcpes el protocolo para HTTP, mientras que algunos otros protocolos de red usanUDP) o, alternativamente, puede utilizar elnetstatdominio netstat -nlp | grep :80. Emita los comandos desde la cuenta raíz, es decir, inicie sesión como raíz y emita el comando o colóquelo sudodelante del comando, según la distribución de Linux que esté utilizando. Referirse a¿Encontrar el PID del proceso usando un puerto específico?sobre elUnix y Linuxsitio hermano de este sitio para conocer otros métodos y resultados de ejemplo.

Answer 1

Unbúsquedanen la primera dirección muestra que es un sistema en China:

$ nslookup 61.134.84.44 8.8.8.8
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
44.84.134.61.in-addr.arpa       name = 44.61.134.84.net.ts.gs.dynamic.163data.com.cn.

Authoritative answers can be found from:

$

La "cn" al final delnombre de dominio completo (FQDN)es elcódigo de país para China. Y elCentro de información de la red Asia-Pacífico (APNIC), elRegistro regional de Internet (RIR)para Asia, muestra la dirección IP61.134.84.44está en un rango de direcciones asignado al "Tsqc internet club" en China.

Una búsqueda ns en la otra dirección, 184.105.247.226, muestra que el FQDN asociado con esa dirección es scan-13h.shadowserver.org. ElFundación servidor de sombrases un "grupo voluntario de trabajadores profesionales de seguridad de Internet que recopila, rastrea e informa sobre malware, actividad de botnets y fraude informático. Su objetivo es mejorar la seguridad de Internet creando conciencia sobre la presencia de servidores comprometidos, atacantes maliciosos y la propagación de software malicioso." Elpagina de iniciopara la organización dice:

Establecida en 2004, The Shadowserver Foundation recopila inteligencia sobre el lado más oscuro de Internet. Estamos compuestos por profesionales de seguridad voluntarios de todo el mundo. Nuestra misión es comprender y ayudar a detener el cibercrimen de alto riesgo en la era de la información.

En cuanto a por qué pudo haber visto transmisiones de red entre su sistema y el sistema ShadowServer, consulte la guía de la organización.Abrir proyecto de escaneo de Portmapperpágina.

La otra dirección IP en China podría haber sido un intento de ese sistema de conectarse a su sistema. ElCentro de tormentas de Internet, que es un programa de laInstituto Tecnológico SANSque monitorea el nivel de actividad maliciosa en Internet, informaactividad de escaneo reciente desde la dirección 61.134.84.44.

Si está conectado a Internet, debe esperar frecuentes intentos por parte de sistemas de todo el mundo de conectarse a su sistema, ya que hay personas en todo el mundo escaneando Internet en busca de sistemas con vulnerabilidades que puedan explotar; un intento de conexión no significa necesariamente que su sistema sea vulnerable, sólo que alguien está investigando su dirección IP en busca de vulnerabilidades.

Podrías usartcpdumpoWiresharkcapturar y analizar los flujos de datos para tener una mejor idea de lo que está sucediendo, es decir, si alguien simplemente escanea su sistema en busca de vulnerabilidades o si alguien ha comprometido su sistema. Aprender a utilizar esas herramientas de forma eficaz puede llevar bastante tiempo, si no está familiarizado con ellas.protocolos de red de internet, pero son invaluables para solucionar problemas de red y analizar el tráfico de la red.

Actualizar:

El resultado que publicaste desdeNetHogsmostró sólo elpuertos de redpara los otros sistemas, es decir, 24630para el sistema en China y 37393para el sistema Shadowserver, pero no los puertos correspondientes en su sistema, pero si desea saber qué proceso está escuchando en un puerto particular de su sistema, puede usar ellsofdominio. Por ejemplo, si desea saber qué proceso está escuchando en el puerto HTTP estándar, cuál espuerto conocido80, podrías emitir el comando lsof -i TCP:80(tcpes el protocolo para HTTP, mientras que algunos otros protocolos de red usanUDP) o, alternativamente, puede utilizar elnetstatdominio netstat -nlp | grep :80. Emita los comandos desde la cuenta raíz, es decir, inicie sesión como raíz y emita el comando o colóquelo sudodelante del comando, según la distribución de Linux que esté utilizando. Referirse a¿Encontrar el PID del proceso usando un puerto específico?sobre elUnix y Linuxsitio hermano de este sitio para conocer otros métodos y resultados de ejemplo.

Uso constante de la red por un proceso desconocido

Respuesta1

información relacionada