Jump to content

Cmd desconfio que me hackearam....


Happening
 Share

Recommended Posts

Boas pessoal, estive a ler umas coisas na net sobre como descobrir se me hackearam o pc ou se tenho algum virus activo e descobri que umas das maneiras seria introduzir no cmd o comando "netstat -ano", isto faz com que possamos ver todas as ligações que o pc está a fazer (após reiniciar o sistema para que não aparecessem ligações de lag e tal...) e descobri quatro ligações mt manhosas...

Ligações activas
 Proto  Endereço local		 Endereço externo	   Estado		  PID
 TCP    0.0.0.0:135		    0.0.0.0:0			  LISTENING	   864
 TCP    0.0.0.0:445		    0.0.0.0:0			  LISTENING	   4
 TCP    0.0.0.0:554		    0.0.0.0:0			  LISTENING	   4032
 TCP    0.0.0.0:1025		   0.0.0.0:0			  LISTENING	   568
 TCP    0.0.0.0:1026		   0.0.0.0:0			  LISTENING	   964
 TCP    0.0.0.0:1027		   0.0.0.0:0			  LISTENING	   340
 TCP    0.0.0.0:1032		   0.0.0.0:0			  LISTENING	   1456
 TCP    0.0.0.0:1036		   0.0.0.0:0			  LISTENING	   648
 TCP    0.0.0.0:1037		   0.0.0.0:0			  LISTENING	   632
 TCP    0.0.0.0:1044		   0.0.0.0:0			  LISTENING	   3120
 TCP    0.0.0.0:1241		   0.0.0.0:0			  LISTENING	   2460
 TCP    0.0.0.0:2343		   0.0.0.0:0			  LISTENING	   1840
 TCP    0.0.0.0:2869		   0.0.0.0:0			  LISTENING	   4
 TCP    0.0.0.0:3580		   0.0.0.0:0			  LISTENING	   2084
 TCP    0.0.0.0:5357		   0.0.0.0:0			  LISTENING	   4
 TCP    0.0.0.0:8834		   0.0.0.0:0			  LISTENING	   2460
 TCP    0.0.0.0:10243		  0.0.0.0:0			  LISTENING	   4
 TCP    0.0.0.0:59110		  0.0.0.0:0			  LISTENING	   1872
 TCP    0.0.0.0:59111		  0.0.0.0:0			  LISTENING	   2056
 TCP    127.0.0.1:1028		 127.0.0.1:1029		 ESTABLISHED	 1872
 TCP    127.0.0.1:1029		 127.0.0.1:1028		 ESTABLISHED	 1872
 TCP    127.0.0.1:1030		 127.0.0.1:1031		 ESTABLISHED	 1840
 TCP    127.0.0.1:1031		 127.0.0.1:1030		 ESTABLISHED	 1840
 TCP    127.0.0.1:1033		 127.0.0.1:1034		 ESTABLISHED	 2056
 TCP    127.0.0.1:1034		 127.0.0.1:1033		 ESTABLISHED	 2056
 TCP    127.0.0.1:1072		 0.0.0.0:0			  LISTENING	   1496
 TCP    192.168.1.33:139	   0.0.0.0:0			  LISTENING	   4
 TCP    [::]:135			   [::]:0				 LISTENING	   864
 TCP    [::]:445			   [::]:0				 LISTENING	   4
 TCP    [::]:554			   [::]:0				 LISTENING	   4032
 TCP    [::]:1025			  [::]:0				 LISTENING	   568
 TCP    [::]:1026			  [::]:0				 LISTENING	   964
 TCP    [::]:1027			  [::]:0				 LISTENING	   340
 TCP    [::]:1032			  [::]:0				 LISTENING	   1456
 TCP    [::]:1036			  [::]:0				 LISTENING	   648
 TCP    [::]:1037			  [::]:0				 LISTENING	   632
 TCP    [::]:1044			  [::]:0				 LISTENING	   3120
 TCP    [::]:1241			  [::]:0				 LISTENING	   2460
 TCP    [::]:2869			  [::]:0				 LISTENING	   4
 TCP    [::]:3587			  [::]:0				 LISTENING	   4620
 TCP    [::]:5357			  [::]:0				 LISTENING	   4
 TCP    [::]:10243			 [::]:0				 LISTENING	   4
 UDP    0.0.0.0:500		    *:*								    340
 UDP    0.0.0.0:2343		   *:*								    1840
 UDP    0.0.0.0:3544		   *:*								    340
 UDP    0.0.0.0:3702		   *:*								    512
 UDP    0.0.0.0:3702		   *:*								    512
 UDP    0.0.0.0:3702		   *:*								    4284
 UDP    0.0.0.0:3702		   *:*								    512
 UDP    0.0.0.0:3702		   *:*								    4284
 UDP    0.0.0.0:3702		   *:*								    512
 UDP    0.0.0.0:4500		   *:*								    340
 UDP    0.0.0.0:5000		   *:*								    1872
 UDP    0.0.0.0:5001		   *:*								    2056
 UDP    0.0.0.0:5004		   *:*								    4032
 UDP    0.0.0.0:5005		   *:*								    4032
 UDP    0.0.0.0:5355		   *:*								    1168
 UDP    0.0.0.0:6000		   *:*								    1872
 UDP    0.0.0.0:6001		   *:*								    2056
 UDP    0.0.0.0:59609		  *:*								    4284
 UDP    0.0.0.0:59611		  *:*								    512
 UDP    0.0.0.0:59613		  *:*								    512
 UDP    0.0.0.0:62372		  *:*								    512
 UDP    127.0.0.1:1900		 *:*								    4284
 UDP    127.0.0.1:61107	    *:*								    4284
 UDP    192.168.1.33:137	   *:*								    4
 UDP    192.168.1.33:138	   *:*								    4
 UDP    192.168.1.33:1900	  *:*								    4284
 UDP    192.168.1.33:51528	 *:*								    340
 UDP    192.168.1.33:61106	 *:*								    4284
 UDP    [::]:500			   *:*								    340
 UDP    [::]:3540			  *:*								    4620
 UDP    [::]:3702			  *:*								    512
 UDP    [::]:3702			  *:*								    4284
 UDP    [::]:3702			  *:*								    512
 UDP    [::]:3702			  *:*								    512
 UDP    [::]:3702			  *:*								    4284
 UDP    [::]:3702			  *:*								    512
 UDP    [::]:4500			  *:*								    340
 UDP    [::]:5004			  *:*								    4032
 UDP    [::]:5005			  *:*								    4032
 UDP    [::]:5355			  *:*								    1168
 UDP    [::]:59610			 *:*								    4284
 UDP    [::]:59612			 *:*								    512
 UDP    [::]:59614			 *:*								    512
 UDP    [::]:62373			 *:*								    512
 UDP    [::1]:1900			 *:*								    4284
 UDP    [::1]:61105		    *:*								    4284
 UDP    [fe80::c0fa:ef7f:dd21:46e6%11]:1900  *:*
 4284
 UDP    [fe80::c0fa:ef7f:dd21:46e6%11]:61104  *:*
  4284

Nenhuma destas portas constanto no PID no gestor de tarefas...

TCP    127.0.0.1:1028		 127.0.0.1:1029		 ESTABLISHED	 1872
 TCP    127.0.0.1:1029		 127.0.0.1:1028		 ESTABLISHED	 1872
 TCP    127.0.0.1:1030		 127.0.0.1:1031		 ESTABLISHED	 1840
 TCP    127.0.0.1:1031		 127.0.0.1:1030		 ESTABLISHED	 1840
 TCP    127.0.0.1:1033		 127.0.0.1:1034		 ESTABLISHED	 2056
 TCP    127.0.0.1:1034		 127.0.0.1:1033		 ESTABLISHED	 2056

O que faço? Tenho instalado o NOD32 versão actualizada com internet security e tenho feito limpezas com o Ccleaner... :/

Link to comment
Share on other sites

a questão é que o endereço 127.0.0.1 é a tua máquina ... logo não é uma ligação para o exterior.

também é normal o uso de teste tipo de ligação para comunicação inter-processual.

outro ponto que abona para não ser "hacking" é o número relativamente baixo da portas portas usadas [1029 .. 1034]

se bem me lembro o windows gosta de usar esta gama de portas para o seu protocolo de descobrimento de rede.

em último caso podes sempre verificar na net o uso normal de uma porta através do site

http://www.speedguide.net/port.php?port=XXX

tens é de alterar o XXX pelo numero da porta

PS : claro que tudo que disse é um pouco vago, mas neste tipo de coisas é mesmo assim, para ter a certeza, só com ação mais "agressivas"

Edited by HappyHippyHippo
IRC : sim, é algo que ainda existe >> #p@p
Link to comment
Share on other sites

Olá Happening, atualmente é mais provável que os trojans utilizem tecnologia de conexão reversa, ou seja, ao invés de conectarem-se a você, acontece o contrário, você se conecta a eles, se quer dicas de segurança, comece pesquisando sobre firewalls.

não existe nenhum ip de registo na lista de ip's de destino ...

IRC : sim, é algo que ainda existe >> #p@p
Link to comment
Share on other sites

Obrigado a todos, eu já arranjei uma data de livros sobre segurança, firewalls, cyberhacking a questao é através do run fui ao msconfig e encontrei um ficheiro .exe de desconhecido no startup... A partir dai pesquisei tudo o que encontrei o mais rapidamente porque agora com os exames é complicado...

Obrigado a todos. Algum de vocês tem conhecimentos sobre este tipo de segurança de rede, internet, etc? É que gostava de aprender e o meu curso não proporciona isso :/

Obrigado a todos 🙂

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

×
×
  • Create New...

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.