Como saber si tu equipo está infectado o hace conexiones extrañas

Windows, Linux y Mac.

Sin necesidad de software externo, vamos a usar el comando:

netstat

  • Abrimos una ventana de comandos. En Windows Inicio->Ejecutar->cmd

  • Nos aseguramos de que no tenemos ningún programa abierto, como programas P2P, un navegador, etc …

  • luego ejecutamos el comando: netstat -ano

  • En los resultados, todo está correcto si puedes ver “LISTENING” en la lista de conexiones y puertos.

  • Si alguno aparece “ESTABLISHED” ojo, pasamos a analizarlo.

  • Nos fijamos en la columna PID, de la conexión “ESTABLISHED”.

  • Luego, en Windows vamos a ver los procesos, para eso CTRL+ALT+SUPR, Administrador de Tareas, Procesos. En Linux, usa el comando ps -a

  • Ahora en “Ver” selecciona “Seleccionar columnas” marca la opción “Identificador de proceso”:

Nota: en linux ya aparece el PID con el comando ps -a

  • Ahora podrás ver el PID y el nombre del proceso que lo está ejecutando, de esta forma lo puedes identificar. Para una identificación más precisa y completa usa el Process Explorer que ya hemos hablado antes en CyberHades aquí. De esta forma incluso puedes saber el nombre del fichero ejecutable que genera este proceso.

  • Por último puedes parar el proceso usando el botón “Terminar proceso” (en Windows) en Linux usa el comando kill. Al hacer de nuevo un neststat puedes comprobar si esta conexión ha desaparecido. 

Bueno, esto es bastante sencillo pero os puede hacer una idea de las conexiones que tu equipo hace sin tu consentimiento.

Espero que os sirva de ayuda.

Visto en:

http://www.veryangrytoad.com/video/430/Find-out-if-your-PC-is-hacked

Libros

Docker: SecDevOps LibroMicrohistorias

Machine Learning aplicado a Ciberseguridad: Técnicas y ejemplos en la detección de amenazas Kubernetes para profesionales: Desde cero al despliegue de aplicaciones seguras y resilientes

Buscar
Entradas Recientes
Categorías
Enlaces