Supervisar sitios web ocultos y conexiones a Internet

Esto le ayudará a identificar cualquier cosa inusual que deba eliminar.

Puede estar bastante seguro de que su computadora está conectada al servidor que aloja mi sitio web mientras lee este artículo, pero además de las conexiones obvias a los sitios abiertos en su navegador web, su computadora puede conectarse a una gran cantidad de otros servidores. que no son visibles.

La mayoría de las veces, realmente no querrá hacer nada de lo escrito en este artículo, ya que requiere mirar muchas cosas técnicas, pero si cree que hay un programa en su computadora que no debería estar allí comunicándose en secreto en Internet, los métodos siguientes le ayudarán a identificar cualquier cosa inusual.

Vale la pena señalar que una computadora que ejecuta un sistema operativo como Windows con algunos programas instalados terminará haciendo muchas conexiones a servidores externos de forma predeterminada. Por ejemplo, en mi máquina con Windows 10 después de reiniciar y sin programas en ejecución, Windows mismo realiza varias conexiones, incluidas OneDrive, Cortana e incluso la búsqueda en el escritorio. Lea mi artículo sobre cómo proteger Windows 10 para conocer las formas en que puede evitar que Windows 10 se comunique con los servidores de Microsoft con demasiada frecuencia.

Hay tres formas de monitorear las conexiones que su computadora hace a Internet: a través del símbolo del sistema, usando Resource Monitor o mediante programas de terceros. Voy a mencionar el símbolo del sistema en último lugar, ya que es el más técnico y el más difícil de descifrar.

Monitor de recursos

La forma más fácil de verificar todas las conexiones que está haciendo su computadora es usar Resource Monitor . Para abrirlo, debe hacer clic en Inicio y luego escribir  monitor de recursos . Verá varias pestañas en la parte superior y en la que queremos hacer clic es Red .

monitor de recursos

En esta ficha, verá varias secciones con diferentes tipos de datos: Los procesos con actividad de red , actividad de red , las conexiones TCP y puertos de escucha .

procesos de supervisión de recursos

Todos los datos enumerados en estas pantallas se actualizan en tiempo real. Puede hacer clic en un encabezado en cualquier columna para ordenar los datos en orden ascendente o descendente. En la sección Procesos con actividad de red  , la lista incluye todos los procesos que tienen algún tipo de actividad de red. También podrá ver la cantidad total de datos enviados y recibidos en bytes por segundo para cada proceso. Notará que hay una casilla de verificación vacía al lado de cada proceso, que se puede usar como filtro para todas las demás secciones.

Por ejemplo, no estaba seguro de qué era nvstreamsvc.exe , así que lo verifiqué y luego miré los datos en las otras secciones. En Actividad de red, desea ver el  campo Dirección , que debería proporcionarle una dirección IP o el nombre DNS del servidor remoto.

supervisor de recursos de proceso de filtrado

En sí misma, la información aquí no necesariamente lo ayudará a determinar si algo es bueno o malo. Debe utilizar algunos sitios web de terceros para ayudarlo a identificar el proceso. En primer lugar, si no reconoce un nombre de proceso, continúe y busque en Google con el nombre completo, es decir, <strong>nvstreamsvc.exe</strong> .

buscar proceso

Siempre, haga clic en al menos los primeros cuatro o cinco enlaces e instantáneamente tendrá una buena idea de si el programa es seguro o no. En mi caso, estaba relacionado con el servicio de transmisión de NVIDIA, que es seguro, pero no es algo que necesite. Específicamente, el proceso es para transmitir juegos desde su PC al NVIDIA Shield, que no tengo. Desafortunadamente, cuando instala el controlador NVIDIA, instala muchas otras funciones que no necesita.

Dado que este servicio se ejecuta en segundo plano, nunca supe que existía. No apareció en el panel de GeForce, así que supuse que acababa de instalar el controlador. Una vez que me di cuenta de que no necesitaba este servicio, pude desinstalar algún software de NVIDIA y deshacerme del servicio, que se comunicaba en la red todo el tiempo, aunque nunca lo usé. Ese es un ejemplo de cómo profundizar en cada proceso puede ayudarlo no solo a identificar un posible malware, sino también a eliminar servicios innecesarios que posiblemente podrían ser explotados por piratas informáticos.

En segundo lugar, debe buscar la dirección IP o el nombre DNS que aparece en el campo Dirección . Puede consultar una herramienta como DomainTools, que le proporcionará la información que necesita. Por ejemplo, en Actividad de red, noté que el proceso steam.exe se estaba conectando a la dirección IP 208.78.164.10. Cuando conecté eso a la herramienta mencionada anteriormente, me alegró saber que el dominio está controlado por Valve, que es la empresa propietaria de Steam.

dirección IP Whois

Si ve que una dirección IP se está conectando a un servidor en China o Rusia o en alguna otra ubicación extraña, es posible que tenga un problema. Buscar en Google el proceso normalmente lo llevará a artículos sobre cómo eliminar el software malicioso.

Programas de terceros

Resource Monitor es excelente y le brinda mucha información, pero hay otras herramientas que pueden brindarle un poco más de información. Las dos herramientas que recomiendo son TCPView y CurrPorts. Ambos se ven exactamente iguales, excepto que CurrPorts le brinda muchos más datos. Aquí hay una captura de pantalla de TCPView:

tcpview

Las filas que están interesados sobre todo en son los que tienen un estado de ESTABLECIDO . Puede hacer clic con el botón derecho en cualquier fila para finalizar el proceso o cerrar la conexión. Aquí hay una captura de pantalla de CurrPorts:

pasarelas

Nuevamente, mire las conexiones ESTABLECIDAS cuando navegue por la lista. Como puede ver en la barra de desplazamiento en la parte inferior, hay muchas más columnas para cada proceso en CurrPorts. Realmente puede obtener mucha información utilizando estos programas.

Línea de comando

Finalmente, está la línea de comandos. Usaremos el comando netstat para darnos información detallada sobre todas las conexiones de red actuales enviadas a un archivo TXT. La información es básicamente un subconjunto de lo que obtiene de Resource Monitor o los programas de terceros, por lo que en realidad solo es útil para los técnicos.

He aquí un ejemplo rápido. Primero, abra un símbolo del sistema de administrador y escriba el siguiente comando:

netstat -abfot 5&gt; c: activity.txt

comando netstat

Espere uno o dos minutos y luego presione CTRL + C en su teclado para detener la captura. El comando netstat anterior básicamente capturará todos los datos de conexión de red cada cinco segundos y los guardará en el archivo de texto. La parte – abfot es un montón de parámetros para que podamos obtener información adicional en el archivo. Esto es lo que significa cada parámetro, en caso de que esté interesado.

ayuda del comando netstat

Cuando abra el archivo, verá prácticamente la misma información que obtuvimos de los otros dos métodos anteriores: nombre del proceso, protocolo, números de puerto local y remoto, dirección IP remota / nombre DNS, estado de conexión, ID de proceso, etc. .

salida de netstat

Nuevamente, todos estos datos son un primer paso para determinar si algo sospechoso está sucediendo o no. Tendrás que buscar mucho en Google, pero es la mejor manera de saber si alguien te está husmeando o si el malware está enviando datos desde tu computadora a algún servidor remoto. Si tiene alguna pregunta, no dude en comentar. ¡Disfrutar!

Leave a Comment

Your email address will not be published.