Valentino ha scritto:
Salve,
seguo da un po' questa mailing-list. Vorrei chiedervi un aiuto in merito
a delle connessioni anomale che partono dal mio pc.
Vengo al dunque.
Controllando le connessioni con tcpview (sysinternals) ho rilevato che
un processo cerca di connettersi a vari server web:
dd.mx.aol.com ;
mb.mx.aol.com ;
208.72.168.151 ;
208.72.168.97 .
Le connessioni in tutti i casi non vanno a buon fine. Infatti, sia
tcpview che ethereal rilevano solo pacchetti SYN_SENT.
Il quesito è questo: come posso rilevare il servizio che cerca di
collegarsi a questi server web, conoscendo che il processo è il classico
"services.exe"?
Faccio a manina stoppando e avviando il servizio, oppure c'è qualche
sistema di analisi più approfondito che consente di visionare il thread
del processo?
Grazie Valentino
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Ciao,
esistono diversi tool, fra cui alcuni della stessa sysinternals che ti
permettono di controllare esattamente quali dll chiama un processo e
perchè:
1)
http://technet.microsoft.com/en-us/sysinternals/cb56073f-62a3-4ed8-9dd6-40c84cb9e2f5.aspx
2)
http://technet.microsoft.com/en-us/sysinternals/25e27bed-b251-4af4-b30a-c2a2a93a80d9.aspx
Due link a caso ;)
Dario Cavallaro
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
