Mostrando entradas con la etiqueta ataque hacker. Mostrar todas las entradas
Mostrando entradas con la etiqueta ataque hacker. Mostrar todas las entradas

miércoles, 25 de junio de 2008

¿Cómo saber quíen se conecta a tu PC sin que tu lo sepas?


Si bien hay algún softwere especializado que ejecuta todo este sucio trabajo de tener que hacer paso por paso todas las comprobaciones, no siempre lo tienes instalado o esta disponible en algún PC fuera del tuyo. Este es el caso de un amigo, que te pide que le mires por favor, si podrías saber que se esta conectando a su Laptop en ese preciso instante, y no tiene ningún softwere de este tipo.
 

Mi IP

Lo primero es comprender que cuando un PC se conecta a internet, ya deja de ser un PC aislado o hermético y pasa a ser un host más dentro de la Red, es decir, desde ese mismo instante forma ya parte de toda la Red de Internet y como tal se tiene que comunicar con el resto de los demás PC. Pero ocurre que para poder comunicarse con los miles y miles de otros PC que hay en la red y no acabar enredado en el ciberespacio sin saber desde donde viene y a donde debe ir, lo primero que necesita es tener una dirección IP electrónica asignada para poder identificarse del resto de los demás Pc de la red.
 
Mis Puertos
 
Lo segundo es conocer que puertos tenemos, cuales están abiertos, porque están abiertos. De entrada lo más recomendable para los usuarios de Windows es cerrar el puerto número 139 (NetBIOS), puesto que los ataques más comunes van dirigidos a ese puerto. Esto último nos va a servir por ejemplo para detectar conexiones ilegales y la existencia de troyanos en nuestra maquina. Lo que nos interesa conocer son los puertos más comunes a los que se conectan los Hackers tal como por ejemplo:

FTP: 21
Telnet: 23
SMTP: 25
DNS: 53
TFTP: 69
FINGER: 79
HTTP: 80
POP3: 110
NNTP: 119
SNMP: 161

Para saber como esta en este momento tu conexión a Internet, lo primero que vamos a hacer es conectarnos a una web que nos hará un barrido de puertos. Entra en https://www.grc.com/x/ne.dll?bh0bkyd2, y pincha en el botón PROCED.

















Fíjate bien porque aparecerá un panel, con varios botones tubulares. El que te interesa pinchar es el que dice “All Service Ports”.
















Pincha en ese botón, y veras a continuación como se escanean todos los puertos. 
















Si te aparecen indicadores en rojo, mal asunto, estas expuesto, si te aparecen en azul los tienes cerrados, y si los tienes en verde los tienes abiertos pero están ocultos pero rechazan cualquier petición externa.

Investigar desde la Consola de MS-DOS

Hay una forma de saber si algún programa hace algo extraño y es simplemente recordamos los tiempos del MS-DOS, te vas a la pantalla del prompt (Inicio-Ejecutar… cmd) y luego haces un ipconfig.exe/all. Ahí veras el nombre de tu PC, y tu dirección IP.














Bien anota tu IP y luego haces un CLS.














A continuación cierra todos los programas que tengas en marcha; emule, MSN, etc, y solo deja el navegador de Internet en google.

Teclea Ping www.google.com

Anota la Ip de google y haz de nuevo un CLS

De acuerdo, ahora vamos a averiguar que se esta conectando a tu PC y si hay alguna IP extraña que no se corresponde con ningún tipo de petición o servicio, es decir, no se corresponde con nada que tu hayas conectado a Internet.

Para eso haces un netstat -a
 
Entre todo lo que aparecerá veras algo parecido a esto
TCP MIPC:2352 bu-in-f18.google.com:http ESTABLISHED
TCP MIPC:2361 bu-in-f18.google.com:http ESTABLISHED

Esta es la petición web de google que tu has hecho y que tu estas ahora controlando desde el terminal de MS-DOS. OK?

Bien, ya sabes que hay eso establecido por ti, pero si queremos estar algo más tranquilos de que no hay nada más conectado por ningún puerto sin solicitarlo, hagamos esto otro:

Teclea CLS
Y escribe netstat -ano

Y te saldrá algo parecido como esto
C:\Documents and Settings\J>netstat -ano
Conexiones activas
Proto Dirección local Dirección remota Estado PID
TCP XXX.XXX.X.XXX:2362 XXX.XXX.XXX.XXX:80 ESTABLISHED 820
TCP XXX.XXX.X.XXX:2367 XXX.XXX.XXX.XXX:80 ESTABLISHED 820

Si ves alguna IP que está conectada sin haberla solicitado tu, es decir ver tu IP (Anotada) y las Ip que son de google, pero te aparece alguna que no has solicitado es que algo no marcha bien.


¿Quíen se esta conectado?

A veces puede ocurrir que en Windows se establezcan conexiones en segundo plano a sitios web, a causa de Spyware, programas que trabajan en segundo plano (por lo general los que están en la barra de tareas) o en los peores casos virus o troyanos, esto muchas veces ocasiona que nuestra conexión a internet vaya lenta, aún teniendo cerrados programas que comúnmente consumen muchísimo ancho de banda, P2P, etc.

Este truco tambien es muy sencillo, y utiliza un simple comando de MS-DOS para detectar actividades sospechosas. Lo mejor es cerrar todos los programas que tengamos susceptibles de conectarse a internet antes de hacer la prueba. Los pasos a seguir son los siguientes:















En la línea de comandos escribe netstat -b 5 > auditoria.txt y presiona enter.
Espera 2 minutos y presiona las teclas Ctrl+C.

Ahora en la misma línea de comandos escribe “auditoria.txt” y presiona enter, entonces se abrirá un archivo de texto. El archivo auditoria.txt contendrá un registro de los procesos que están haciendo una conexión a Internet en los últimos 2 minutos. 















Este archivo también muestra cuales han sido los sitios web que se conectaron los procesos. A continuación escribimos archivo.txt, y tendremos todas las peticiones que lanza y conexiones de nuestra máquina hacia Internet. Si no tienes abierto el Internet Explorer o el Mozilla, y aparece una sesión abierta, hay gato encerrado. Algo raro esta pasando en tu PC y deberás de investigar mas.

LinkWithin

Related Posts Plugin for WordPress, Blogger...