Windows 10 localhost

Microsoft Windows

Sziasztok!
Hogy lehet eltávolítani a localhostra, hálózati kártyára léterhozott nem kívánatos portokat?
Konkrétan erre gondoltam.

Proto Local Address Foreign Address State
TCP 127.0.0.1:43227 DESKTOP:0 LISTENING

A másik kérdés, hogyan lehet helyre állítani hogy a windows updatel le töltődjenek a frissítések?
A vírus kereső vírust nem talál, mégis időnként olyan oldalak jelennek meg a netstat-ban, amiket én soha nem látogatok.
A Windows újra telepítés nem mondható sikerresnek, mert egyre kevesebb windows update jön le, plussz a problémát se oldja meg. :(
Egyáltalán ezt mi okozza? Van némi sejtésem, csak a megoldást nem tudom. :(

( locsemege v | 2017. 02. 22., sze – 22:42 )

localhoston mi nem kívánatos?

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

csak azt hogy nem a rendszer része

Ezt honnan lehet tudni? Nincs valami távsegítség, remote desktop, efféle? Egyáltalán Windows-on az alkalmazások hogyan érik el a grafikus felületet? Nem fordulhat elő, hogy a kapcsolat megszüntetésével sötétbe borul a képernyő? Tényleg nem tudom, csak gondolkodom...

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Elméletileg ki van kapcsolva a távsegítség, és én nekem nem szokott segíteni senki, és nem kértem fel eddig senkit. Főleg nem RDP-n, vagy bármilyen más remote desktopon keresztűl. Nem olyan eddig nem volt hogy sötétbe borult volna a képernyő. És a tálcán se jelez semmi, és még a jóváhagyásomat se kéri. Furimányos egy picit, mert ma pl a Malwerbyte Biztonsági rés elleni védelem ki kapcsolt magától. :(
Üdv: Feri

Ja, hogy arra gondolsz, hogy fertőzött a géped? Nem ismerem a Windows-t, pusztán az jutott eszembe, hogy Linuxon az alkalmazások úgy jelenítik meg az ablakaikat, a rajzolandó dolgaikat a grafikus felületen, hogy az alkalmazás hálózati kapcsolaton keresztül kapcsolódik az X szerverhez, s az így küldött üzenetek alapján az X szerver már a video driver segítségével rajzolja a képernyőre azt, amit az alkalmazás kért. Tehát a gépen belül van a szerver, vannak a kliensek, s a hálózati kapcsolat is gépen belül van. Ez lehet TCP, de unix socket is.

Épp ebből következik, hogy Linuxon meg tudod csinálni, hogy távoli gépen indítasz egy alkalmazást, de az annak a gépnek az X szerveréhez kapcsolódik, amelyik előtt ülsz, így az alkalmazás ablaka a te monitorodon jelenik meg. Ebből a szempontból nem tudom, a Windows hogyan működik. Mert ha így, akár a normális működés része is lehet ez, de ha nem így, akkor viszont lehet, hogy valaminek az áldozata vagy, s már rég lopják a képernyőképeket a gépedről.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Nos valami ilyesmire gondolok én is, csak éppen a megoldást nem tudom rá. Mert gyakorlatilag, az van, hogy most telepítettem újra, és kiment a Windows update-re, és rögötön ezt tapasztaltam. Csak a megoldást nem tudom rá. Hogyan lehet védekezni ellene. Mert a vírus kereső programok nem találnak kártevőket.
Üdv: Feri

spec ez is elég érdekes. :(
TCP 192.168.80.80:49950 13.107.4.50:http SYN_SENT
A traceroute eddig tudta vissza követni.
4. juniper4.ffm.hetzner.de 213.239.245.10
5. static.213-133-113-250.clients.your-server.de 213.133.113.250
6. tor4.fra.msedge.net 104.44.80.144
7. tor3.fra.msedge.net 104.44.80.143
Majd csillagok. :(
Üdv: Feri

Mi az érdekes a Windows Updateben? :)

02/23/2017-06:52 7.tlu.dl.delivery.mp.microsoft.com [**] /filestreamingservice/files/.... [**] Microsoft-Delivery-Optimization/10.0 [**] [**] GET [**] HTTP/1.1 [**] 206 [**] 1048576 bytes [**] X.X.X.X:34244 -> 13.107.4.50:80

Még csak nem is a vortexre küldi a telemetriát. :)

A netstat -o kapcsolóval kiírja a process id-t is, ami alapján már meg tudod nézni pl. a feladatkezelőben, hogy mi használja azt a portot. Egyébként nekem is kilistáz néhány ilyen "nem kívánatos portot", de nem hiszem, hogy foglalkozni kellene velük.. Ahogy nézem mindegyik egy-egy service process portja. Persze ettől még lecsekkolhatod, hogy nálad mi a helyzet. :-)

Ja hogy a task Manager. Azt egyébként is átszoktam nézni, de az tiszta. Vagy legalábbis eddig nem vettem észre benne semmi gyanúsát. Egyszer találkoztam a program.exe -vel. De olyan hülye neve van, hogy egyből gyanús lett. És persze nem volt digitális aláírása, így iktattam. De ez most valami más, csak nem tudom mi. :( És ami a legfontosabb hogyan tudok ellene védekezni. Mert ez így elégé lehangoló.
Üdv: Feri

( gelei v | 2017. 02. 22., sze – 22:51 )

> A másik kérdés, hogyan lehet helyre állítani hogy a windows updatel le töltődjenek a frissítések?
> A Windows újra telepítés nem mondható sikerresnek, mert egyre kevesebb windows update jön le, plussz a problémát se oldja meg. :(

Az nem lehet, hogy up to date a rendszered, és épp nincs frissítés, amit le kellene tölteni? :)

> A vírus kereső vírust nem talál, mégis időnként olyan oldalak jelennek meg a netstat-ban, amiket én soha nem látogatok.

És a telepített szoftverek? Milyen oldalak, például?

lennének, csak nem jön le, mind. Nincs rá telepítve semmi + program. Csak a víruskererső. Levelezés, és internetet haszálom rajta csak. Pl a múltkor a bme.hu, vagy linode, users.atw.hu meg valami felhő oldal. :D Nem jut eszembe a neve. De én ezeket az oldalakt nem nézem. Álltalában hup, index, facebook.
Üdv: Feri

Igen, állatlában ezzel szokták lezárni, ennek ellenére tegnap kikapcsolt a Malwarebyte biztonsági rés elleni védelem.
És létre jöttek újabb kapcsolatok.
UDP 127.0.0.1:65414 *:*
UDP [::1]:65412 *:*
UDP [::]:65411 *:*
UDP 0.0.0.0:65411 *:*
Nem vagyok bejelentkezve Facebook app. El se indítottam. De kétlem hogy a 65411-12-14 porokat használná.

Üdv: Feri

( uid_20269 | 2017. 02. 23., cs – 14:25 )

A "C:\Windows\System32\drivers\etc" könyvtár fájljait nézegetted már.?
--
God bless you, Captain Hindsight..

Az rendben van, nincs semmi különös bejegyzés. :(
Szerintem.
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost

Üdv: Feri

Én inkább arra vagyok kíváncsi hogy melyik meterpreter exploit, és hogyan lehet ez ellen védekezni.
Azon kívül hogy rendszer naprakész, naprakész víruskereső, malverkereső megfelelő jelszó használat. És annak rendszeres változtatása.
Mert a klasszikus védekezési opciók úgy tűnik nem elég hatékonyak. Vagy az én nem tudok valamit, amit mások igen. :D Avagy melyik az olcsóbb egy komolyabb hálózati eszköz beszerzése, és annak üzemeltetési költségei. Vagy egy ügyvéd kezében a megfelelő dokumentációkkal. :D
Üdv: Feri

Nem egyáltalán nem muszáj, szoktam használni Linuxot is. De nagyon hasonló dolgok vannak ott is. Csak én ahhoz még annyira se értek, mint a windows-hoz.Na nem mintha ehhez értenék. De azért észre veszem a furimányos dolgokat. Meg arra is vannak exploitok. Szoktam használni Ipad, de az ugye wifi, és mivel itt a környéken sportot űznek abból hogy mások wifi hálózatát feltörik, így inkább hanyagolom. Nem egyszer vettem észre a ff:ff:ff:ff:ff:ff broadcast címet Ipad készüléken ami ugye snifferelés gyanújára ad okot. De állítólag van xerox nyomtatóm is, bár én soha nem találom meg a lakásban. :D Nos tudom a probléma többrétegű. Ezért is iktattam ki a Wifi opciót. hogy szűkítsem a lehetőségeket. :(
Üdv: Feri