Cmd desconfio que me hackearam....

[Happening]

Boas pessoal, estive a ler umas coisas na net sobre como descobrir se me hackearam o pc ou se tenho algum virus activo e descobri que umas das maneiras seria introduzir no cmd o comando "netstat -ano", isto faz com que possamos ver todas as ligações que o pc está a fazer (após reiniciar o sistema para que não aparecessem ligações de lag e tal...) e descobri quatro ligações mt manhosas...

Ligações activas
 Proto  Endereço local		 Endereço externo	   Estado		  PID
 TCP    0.0.0.0:135		    0.0.0.0:0			  LISTENING	   864
 TCP    0.0.0.0:445		    0.0.0.0:0			  LISTENING	   4
 TCP    0.0.0.0:554		    0.0.0.0:0			  LISTENING	   4032
 TCP    0.0.0.0:1025		   0.0.0.0:0			  LISTENING	   568
 TCP    0.0.0.0:1026		   0.0.0.0:0			  LISTENING	   964
 TCP    0.0.0.0:1027		   0.0.0.0:0			  LISTENING	   340
 TCP    0.0.0.0:1032		   0.0.0.0:0			  LISTENING	   1456
 TCP    0.0.0.0:1036		   0.0.0.0:0			  LISTENING	   648
 TCP    0.0.0.0:1037		   0.0.0.0:0			  LISTENING	   632
 TCP    0.0.0.0:1044		   0.0.0.0:0			  LISTENING	   3120
 TCP    0.0.0.0:1241		   0.0.0.0:0			  LISTENING	   2460
 TCP    0.0.0.0:2343		   0.0.0.0:0			  LISTENING	   1840
 TCP    0.0.0.0:2869		   0.0.0.0:0			  LISTENING	   4
 TCP    0.0.0.0:3580		   0.0.0.0:0			  LISTENING	   2084
 TCP    0.0.0.0:5357		   0.0.0.0:0			  LISTENING	   4
 TCP    0.0.0.0:8834		   0.0.0.0:0			  LISTENING	   2460
 TCP    0.0.0.0:10243		  0.0.0.0:0			  LISTENING	   4
 TCP    0.0.0.0:59110		  0.0.0.0:0			  LISTENING	   1872
 TCP    0.0.0.0:59111		  0.0.0.0:0			  LISTENING	   2056
 TCP    127.0.0.1:1028		 127.0.0.1:1029		 ESTABLISHED	 1872
 TCP    127.0.0.1:1029		 127.0.0.1:1028		 ESTABLISHED	 1872
 TCP    127.0.0.1:1030		 127.0.0.1:1031		 ESTABLISHED	 1840
 TCP    127.0.0.1:1031		 127.0.0.1:1030		 ESTABLISHED	 1840
 TCP    127.0.0.1:1033		 127.0.0.1:1034		 ESTABLISHED	 2056
 TCP    127.0.0.1:1034		 127.0.0.1:1033		 ESTABLISHED	 2056
 TCP    127.0.0.1:1072		 0.0.0.0:0			  LISTENING	   1496
 TCP    192.168.1.33:139	   0.0.0.0:0			  LISTENING	   4
 TCP    [::]:135			   [::]:0				 LISTENING	   864
 TCP    [::]:445			   [::]:0				 LISTENING	   4
 TCP    [::]:554			   [::]:0				 LISTENING	   4032
 TCP    [::]:1025			  [::]:0				 LISTENING	   568
 TCP    [::]:1026			  [::]:0				 LISTENING	   964
 TCP    [::]:1027			  [::]:0				 LISTENING	   340
 TCP    [::]:1032			  [::]:0				 LISTENING	   1456
 TCP    [::]:1036			  [::]:0				 LISTENING	   648
 TCP    [::]:1037			  [::]:0				 LISTENING	   632
 TCP    [::]:1044			  [::]:0				 LISTENING	   3120
 TCP    [::]:1241			  [::]:0				 LISTENING	   2460
 TCP    [::]:2869			  [::]:0				 LISTENING	   4
 TCP    [::]:3587			  [::]:0				 LISTENING	   4620
 TCP    [::]:5357			  [::]:0				 LISTENING	   4
 TCP    [::]:10243			 [::]:0				 LISTENING	   4
 UDP    0.0.0.0:500		    *:*								    340
 UDP    0.0.0.0:2343		   *:*								    1840
 UDP    0.0.0.0:3544		   *:*								    340
 UDP    0.0.0.0:3702		   *:*								    512
 UDP    0.0.0.0:3702		   *:*								    512
 UDP    0.0.0.0:3702		   *:*								    4284
 UDP    0.0.0.0:3702		   *:*								    512
 UDP    0.0.0.0:3702		   *:*								    4284
 UDP    0.0.0.0:3702		   *:*								    512
 UDP    0.0.0.0:4500		   *:*								    340
 UDP    0.0.0.0:5000		   *:*								    1872
 UDP    0.0.0.0:5001		   *:*								    2056
 UDP    0.0.0.0:5004		   *:*								    4032
 UDP    0.0.0.0:5005		   *:*								    4032
 UDP    0.0.0.0:5355		   *:*								    1168
 UDP    0.0.0.0:6000		   *:*								    1872
 UDP    0.0.0.0:6001		   *:*								    2056
 UDP    0.0.0.0:59609		  *:*								    4284
 UDP    0.0.0.0:59611		  *:*								    512
 UDP    0.0.0.0:59613		  *:*								    512
 UDP    0.0.0.0:62372		  *:*								    512
 UDP    127.0.0.1:1900		 *:*								    4284
 UDP    127.0.0.1:61107	    *:*								    4284
 UDP    192.168.1.33:137	   *:*								    4
 UDP    192.168.1.33:138	   *:*								    4
 UDP    192.168.1.33:1900	  *:*								    4284
 UDP    192.168.1.33:51528	 *:*								    340
 UDP    192.168.1.33:61106	 *:*								    4284
 UDP    [::]:500			   *:*								    340
 UDP    [::]:3540			  *:*								    4620
 UDP    [::]:3702			  *:*								    512
 UDP    [::]:3702			  *:*								    4284
 UDP    [::]:3702			  *:*								    512
 UDP    [::]:3702			  *:*								    512
 UDP    [::]:3702			  *:*								    4284
 UDP    [::]:3702			  *:*								    512
 UDP    [::]:4500			  *:*								    340
 UDP    [::]:5004			  *:*								    4032
 UDP    [::]:5005			  *:*								    4032
 UDP    [::]:5355			  *:*								    1168
 UDP    [::]:59610			 *:*								    4284
 UDP    [::]:59612			 *:*								    512
 UDP    [::]:59614			 *:*								    512
 UDP    [::]:62373			 *:*								    512
 UDP    [::1]:1900			 *:*								    4284
 UDP    [::1]:61105		    *:*								    4284
 UDP    [fe80::c0fa:ef7f:dd21:46e6%11]:1900  *:*
 4284
 UDP    [fe80::c0fa:ef7f:dd21:46e6%11]:61104  *:*
  4284

Nenhuma destas portas constanto no PID no gestor de tarefas...

TCP    127.0.0.1:1028		 127.0.0.1:1029		 ESTABLISHED	 1872
 TCP    127.0.0.1:1029		 127.0.0.1:1028		 ESTABLISHED	 1872
 TCP    127.0.0.1:1030		 127.0.0.1:1031		 ESTABLISHED	 1840
 TCP    127.0.0.1:1031		 127.0.0.1:1030		 ESTABLISHED	 1840
 TCP    127.0.0.1:1033		 127.0.0.1:1034		 ESTABLISHED	 2056
 TCP    127.0.0.1:1034		 127.0.0.1:1033		 ESTABLISHED	 2056

O que faço? Tenho instalado o NOD32 versão actualizada com internet security e tenho feito limpezas com o Ccleaner... :/

[HappyHippyHippo]

a questão é que o endereço 127.0.0.1 é a tua máquina ... logo não é uma ligação para o exterior.

também é normal o uso de teste tipo de ligação para comunicação inter-processual.

outro ponto que abona para não ser "hacking" é o número relativamente baixo da portas portas usadas [1029 .. 1034]

se bem me lembro o windows gosta de usar esta gama de portas para o seu protocolo de descobrimento de rede.

em último caso podes sempre verificar na net o uso normal de uma porta através do site

http://www.speedguide.net/port.php?port=XXX

tens é de alterar o XXX pelo numero da porta

PS : claro que tudo que disse é um pouco vago, mas neste tipo de coisas é mesmo assim, para ter a certeza, só com ação mais "agressivas"

Edited July 5, 2012 by HappyHippyHippo

[polska]

127.0.0.1 , é valor de localhost, é da tua máquina 🙂

Edited July 5, 2012 by polska

[laeknishendr]

Olá Happening, atualmente é mais provável que os trojans utilizem tecnologia de conexão reversa, ou seja, ao invés de conectarem-se a você, acontece o contrário, você se conecta a eles, se quer dicas de segurança, comece pesquisando sobre firewalls.

[HappyHippyHippo]

Olá Happening, atualmente é mais provável que os trojans utilizem tecnologia de conexão reversa, ou seja, ao invés de conectarem-se a você, acontece o contrário, você se conecta a eles, se quer dicas de segurança, comece pesquisando sobre firewalls.

não existe nenhum ip de registo na lista de ip's de destino ...

[Happening]

Obrigado a todos, eu já arranjei uma data de livros sobre segurança, firewalls, cyberhacking a questao é através do run fui ao msconfig e encontrei um ficheiro .exe de desconhecido no startup... A partir dai pesquisei tudo o que encontrei o mais rapidamente porque agora com os exames é complicado...

Obrigado a todos. Algum de vocês tem conhecimentos sobre este tipo de segurança de rede, internet, etc? É que gostava de aprender e o meu curso não proporciona isso :/

Obrigado a todos 🙂