witam,
oczywiście proszę o pomoc. Sprawa wygląda tak, że ostatnio zacząłem dość mocno blokować IP z których idą próby zalogowania się na serwer, którym zacząłem się "opiekować". W logach zablokowanych połączeń ze stałym odstępem czasowym pojawiają się teraz takie:
wpisy. Jak namierzyć szkodnika który próbuje się połączyć z zewnętrznym serwerem?
FRST.txt
EDIT
to coś nie nasłuchuje na stałym porcie ale raz na 15 minut (+ 1s.) łączy się skokowo na kolejnym (albo czasem przeskakuje w górę o 1-2). Z tego co zauważyłem to "przeskoki" obejmują (choć nie zawsze) porty na których nasłuchują inne programy. Tej nocy wyglądało to tak:
2016-03-25 03:33:45 DROP TCP 192.168.1.xxx 59.124.yyy.71 51163 80 0 - 0 0 0 - - - SEND
2016-03-25 03:48:46 DROP TCP 192.168.1.xxx 59.124.yyy.71 51164 80 0 - 0 0 0 - - - SEND
2016-03-25 04:03:47 DROP TCP 192.168.1.xxx 59.124.yyy.71 51165 80 0 - 0 0 0 - - - SEND
2016-03-25 04:18:48 DROP TCP 192.168.1.xxx 59.124.yyy.71 51166 80 0 - 0 0 0 - - - SEND
2016-03-25 04:33:49 DROP TCP 192.168.1.xxx 59.124.yyy.71 51167 80 0 - 0 0 0 - - - SEND
2016-03-25 04:48:50 DROP TCP 192.168.1.xxx 59.124.yyy.71 51168 80 0 - 0 0 0 - - - SEND
2016-03-25 05:03:51 DROP TCP 192.168.1.xxx 59.124.yyy.71 51169 80 0 - 0 0 0 - - - SEND
2016-03-25 05:18:52 DROP TCP 192.168.1.xxx 59.124.yyy.71 51170 80 0 - 0 0 0 - - - SEND
2016-03-25 05:33:53 DROP TCP 192.168.1.xxx 59.124.yyy.71 51171 80 0 - 0 0 0 - - - SEND
2016-03-25 05:48:54 DROP TCP 192.168.1.xxx 59.124.yyy.71 51172 80 0 - 0 0 0 - - - SEND
2016-03-25 06:03:55 DROP TCP 192.168.1.xxx 59.124.yyy.71 51173 80 0 - 0 0 0 - - - SEND
2016-03-25 06:18:56 DROP TCP 192.168.1.xxx 59.124.yyy.71 51174 80 0 - 0 0 0 - - - SEND
zapuściłem "netstat -a -b -n 1" z przekierowaniem na plik, odczekałem dwa cykle połączeń i ... zero śladu po poszukiwanym IP
oczywiście proszę o pomoc. Sprawa wygląda tak, że ostatnio zacząłem dość mocno blokować IP z których idą próby zalogowania się na serwer, którym zacząłem się "opiekować". W logach zablokowanych połączeń ze stałym odstępem czasowym pojawiają się teraz takie:
Kod:
2016-0x-xx 14:02:51 DROP TCP 192.168.1.xxx 59.124.xxx.71 51068 80 0 - 0 0 0 - - - SEND
wpisy. Jak namierzyć szkodnika który próbuje się połączyć z zewnętrznym serwerem?
FRST.txt
[Aby zobaczyć linki, zarejestruj się tutaj]
Addition.txt[Aby zobaczyć linki, zarejestruj się tutaj]
Shortcut.txt[Aby zobaczyć linki, zarejestruj się tutaj]
EDIT
to coś nie nasłuchuje na stałym porcie ale raz na 15 minut (+ 1s.) łączy się skokowo na kolejnym (albo czasem przeskakuje w górę o 1-2). Z tego co zauważyłem to "przeskoki" obejmują (choć nie zawsze) porty na których nasłuchują inne programy. Tej nocy wyglądało to tak:
2016-03-25 03:33:45 DROP TCP 192.168.1.xxx 59.124.yyy.71 51163 80 0 - 0 0 0 - - - SEND
2016-03-25 03:48:46 DROP TCP 192.168.1.xxx 59.124.yyy.71 51164 80 0 - 0 0 0 - - - SEND
2016-03-25 04:03:47 DROP TCP 192.168.1.xxx 59.124.yyy.71 51165 80 0 - 0 0 0 - - - SEND
2016-03-25 04:18:48 DROP TCP 192.168.1.xxx 59.124.yyy.71 51166 80 0 - 0 0 0 - - - SEND
2016-03-25 04:33:49 DROP TCP 192.168.1.xxx 59.124.yyy.71 51167 80 0 - 0 0 0 - - - SEND
2016-03-25 04:48:50 DROP TCP 192.168.1.xxx 59.124.yyy.71 51168 80 0 - 0 0 0 - - - SEND
2016-03-25 05:03:51 DROP TCP 192.168.1.xxx 59.124.yyy.71 51169 80 0 - 0 0 0 - - - SEND
2016-03-25 05:18:52 DROP TCP 192.168.1.xxx 59.124.yyy.71 51170 80 0 - 0 0 0 - - - SEND
2016-03-25 05:33:53 DROP TCP 192.168.1.xxx 59.124.yyy.71 51171 80 0 - 0 0 0 - - - SEND
2016-03-25 05:48:54 DROP TCP 192.168.1.xxx 59.124.yyy.71 51172 80 0 - 0 0 0 - - - SEND
2016-03-25 06:03:55 DROP TCP 192.168.1.xxx 59.124.yyy.71 51173 80 0 - 0 0 0 - - - SEND
2016-03-25 06:18:56 DROP TCP 192.168.1.xxx 59.124.yyy.71 51174 80 0 - 0 0 0 - - - SEND
zapuściłem "netstat -a -b -n 1" z przekierowaniem na plik, odczekałem dwa cykle połączeń i ... zero śladu po poszukiwanym IP