Πώς να εντοπίσετε εάν τα Windows συνδέονται σε ύποπτους διακομιστές

Μπορεί να έχετε παρατηρήσει ότι εσείς Τα Windows συνδέονται με ύποπτους διακομιστές που δεν αναγνωρίζετε και αναρωτιέστε αν ο υπολογιστής σας έχει δεχτεί επίθεση από hacker. Σε αυτές τις περιπτώσεις, είναι φυσιολογικό να ανησυχείτε. Μεταξύ των ειδοποιήσεων antivirus, των προειδοποιήσεων τείχους προστασίας και των ατελείωτων λιστών συνδέσεων, είναι φυσιολογικό να αισθάνεστε συγκλονισμένοι και να μην ξέρετε πώς να διακρίνετε τι είναι φυσιολογικό από τι θα μπορούσε να είναι επικίνδυνο.

Η πραγματικότητα είναι ότι Τα Windows επικοινωνούν συνεχώς με το Διαδίκτυο.Χρειάζεστε συνδέσεις για να ενημερώσετε, να επικυρώσετε άδειες χρήσης, να συγχρονίσετε δεδομένα ή απλώς για να διασφαλίσετε ότι τα προγράμματά σας λειτουργούν σωστά. Το πρόβλημα προκύπτει όταν μια άγνωστη, λανθασμένα διαμορφωμένη ή εντελώς κακόβουλη εφαρμογή αρχίζει να συνδέεται με ύποπτους διακομιστές χωρίς να το γνωρίζετε. Αυτό το άρθρο θα σας δείξει πώς να αναγνωρίσετε αυτές τις συνδέσεις, πώς να διαπιστώσετε εάν είναι νόμιμες και τι πρέπει να κάνετε για να προστατεύσετε τον υπολογιστή σας.

Γιατί τα Windows φαίνεται να συνδέονται σε τόσους πολλούς διακομιστές (και αυτό δεν είναι πάντα κακό)

Όταν κοιτάς για πρώτη φορά τις συνδέσεις του υπολογιστή σου, είναι ένα μεγάλο σοκ: δεκάδες IP, παράξενες θύρες και διεργασίες με ονόματα που δεν έχεις ξανακούσει. Το λογικό είναι να σκεφτείς «Κάτι περίεργο συμβαίνει εδώ», αλλά... Ένα μεγάλο μέρος αυτής της δραστηριότητας είναι απολύτως νόμιμο και ακίνδυνο για τον υπολογιστή σας.

Τα Windows και πολλές εφαρμογές χρειάζονται σύνδεση σε αξιόπιστους διακομιστές Για τις πιο συνηθισμένες εργασίες: λήψη ενημερώσεων, επαλήθευση ψηφιακών υπογραφών, συγχρονισμός αρχείων, μεταφόρτωση διαφημίσεων ή στατιστικών χρήσης, επικύρωση αδειών χρήσης κ.λπ. Για παράδειγμα, Ενημέρωση των WindowsΤο πρόγραμμα περιήγησής σας, το πρόγραμμα-πελάτη ηλεκτρονικού ταχυδρομείου σας ή ακόμα και ένα απλό πρόγραμμα επεξεργασίας κειμένου ενδέχεται να συνδέονται στο παρασκήνιο.

Είναι επίσης φυσιολογικό το ίδιο πρόγραμμα να ανοίγει πολλές ταυτόχρονες συνδέσεις.Ένα πρόγραμμα περιήγησης, για παράδειγμα, δημιουργεί διαφορετικές συνδέσεις για κάθε καρτέλα και για κάθε πόρο (εικόνες, σενάρια, φύλλα στυλ κ.λπ.). Επομένως, η εμφάνιση πολλών ανοιχτών συνδέσεων δεν είναι συνώνυμη με τη μόλυνση.

Το πραγματικό πρόβλημα προκύπτει όταν τα Windows συνδέονται με ύποπτους διακομιστές.Ειδικά αν το κάνει αυτό επίμονα, καταναλώνει πολλούς πόρους ή εμφανίζεται σε ασυνήθιστες τοποθεσίες του συστήματος (προσωρινοί φάκελοι, τοποθεσίες με ορθογραφικά λάθη, ασυνήθιστους καταλόγους κ.λπ.). Αυτό είναι το σημείο που πρέπει να διερευνήσετε.

Πώς να δείτε ενεργές συνδέσεις στα Windows χρησιμοποιώντας netstat και άλλα εργαλεία

Η κλασική μορφή του Ελέγξτε ποιες συνδέσεις έχει ανοιχτές ο υπολογιστής σας στα Windows Χρησιμοποιεί την κονσόλα με την εντολή netstatΣυνδυάζοντάς το με άλλα βοηθητικά προγράμματα συστήματος, όπως π.χ. Εργαλεία NirSoft Μπορείτε να μάθετε ακριβώς ποιο πρόγραμμα βρίσκεται πίσω από κάθε σύνδεση.

Αν εκτελέσετε την εντολή στο τερματικό netstat -ano, θα πάρετε μια λεπτομερή λίστα ενεργών συνδέσεων, θυρών που χρησιμοποιούνται, κατάστασης και του σχετικού PID (Αναγνωριστικό Διεργασίας)Θα δείτε τόσο τις εισερχόμενες όσο και τις εξερχόμενες συνδέσεις και θα μπορείτε να εντοπίσετε γρήγορα ποιες διευθύνσεις IP επικοινωνούν με τον υπολογιστή σας.

Το επόμενο βήμα είναι για να συνδέσετε αυτά τα PID με συγκεκριμένα προγράμματαΓια να το κάνετε αυτό, μπορείτε να χρησιμοποιήσετε tasklist Από την ίδια την κονσόλα ή από τη Διαχείριση εργασιών. Με αυτόν τον τρόπο θα γνωρίζετε εάν δημιουργείται σύνδεση από το πρόγραμμα περιήγησής σας, μια υπηρεσία συστήματος, το Windows Update ή μια άγνωστη εφαρμογή.

Εκτός από το netstat, τα Windows ενσωματώνουν το Παρακολούθηση πόρωνόπου, στην καρτέλα Δίκτυο, μπορείτε να δείτε ποιες διεργασίες στέλνουν και λαμβάνουν δεδομένα, με ποιες διευθύνσεις συνδέονται και πόση κίνηση καταναλώνουν. Αν χρειάζεται να εμβαθύνετε περισσότερο, μπορείτε να μάθετε πώς να Κατακτήστε τον Task Manager για να ερμηνεύσουν καλύτερα αυτά τα δεδομένα.

Για μια ακόμη πιο εις βάθος ανάλυση, Εξερεύνηση διεργασιών Sysinternals (Το επίσημο εργαλείο της Microsoft) σάς επιτρέπει να δείτε ποιες διεργασίες έχουν ανοιχτές συνδέσεις στο διαδίκτυο, ποιος υπέγραψε το εκτελέσιμο αρχείο, πού είναι εγκατεστημένο και ποια άλλα αρχεία ή κλειδιά μητρώου χρησιμοποιεί. Ένας καλός πόρος για να διαπιστώσετε εάν τα Windows συνδέονται σε ύποπτους διακομιστές.

Προσδιορίστε εάν μια σύνδεση ή μια διεύθυνση IP είναι ύποπτη

Μόλις εντοπίσετε μια διεύθυνση IP ή μια διεργασία που δεν αναγνωρίζετε, το σημαντικό είναι για να διαπιστώσουμε αν είναι όντως κάτι επικίνδυνο ή απλώς μια νόμιμη υπηρεσία που δεν γνωρίζατε. Ακολουθούν τα βήματα που πρέπει να ακολουθήσετε:

1. Εξετάστε τη φήμη της διεύθυνσης IPΑντιγράψτε τη διεύθυνση IP που τράβηξε την προσοχή σας και ελέγξτε την κατάστασή της σε πλατφόρμες όπως το VirusTotal ή το AbuseIPDB. Αυτοί οι ιστότοποι υποδεικνύουν εάν η συγκεκριμένη διεύθυνση IP έχει συσχετιστεί με botnet, διακομιστές κακόβουλου λογισμικού, επιθέσεις ηλεκτρονικού "ψαρέματος" (phishing) ή παραβιασμένα proxies.
2. Παράλληλα, ελέγξτε τη διαδικασία που χρησιμοποιεί αυτήν τη διεύθυνση IP.Χρησιμοποιώντας το PID που εμφανίζεται από το netstat ή το Resource Monitor, ανοίξτε τη Διαχείριση Εργασιών, μεταβείτε στην καρτέλα "Λεπτομέρειες" και εντοπίστε αυτό το αναγνωριστικό. Ελέγξτε το όνομα του εκτελέσιμου αρχείου, τη διαδρομή του στον δίσκο και, εάν είναι απαραίτητο, ανοίξτε τις "Ιδιότητες" για να δείτε πληροφορίες όπως η ημερομηνία δημιουργίας ή η ψηφιακή υπογραφή.

Εάν το αρχείο βρίσκεται σε ασυνήθιστη τοποθεσία, δεν διαθέτει αξιόπιστη ψηφιακή υπογραφή. Αν διαπιστώσετε ότι σχετίζεται με πειρατικό λογισμικό, cracks, keygens ή λήψεις από αμφίβολες πηγές, θα πρέπει να είστε υποψιασμένοι. Σε περίπτωση αμφιβολίας, μπορείτε να αναζητήσετε το όνομα του εκτελέσιμου αρχείου σε ιστότοπους όπως το File.net, οι οποίοι καταγράφουν πολλές κοινές διεργασίες και βοηθούν στον προσδιορισμό του εάν πρόκειται για προγράμματα συστήματος ή όχι.

Χρήση της Διαχείρισης Εργασιών για την αναζήτηση κακόβουλων διεργασιών στα Windows

Η Διαχείριση Εργασιών είναι πιθανώς Το πιο υποτιμημένο εργαλείο για την ανίχνευση σύνδεσης των Windows σε ύποπτους διακομιστέςΤα Windows το περιλαμβάνουν από προεπιλογή και, όταν χρησιμοποιείται σωστά, μπορεί να σας βγάλει από περισσότερες από μία δύσκολες καταστάσεις.

Για να το ανοίξετε, μπορείτε να κάνετε δεξί κλικ στο κουμπί Έναρξη και να επιλέξετε "Διαχείριση Εργασιών" ή να χρησιμοποιήσετε τη συντόμευση πληκτρολογίου. Ctrl + Alt + Διαγραφή και επιλέξτε το από το μενού. Μόλις μπείτε μέσα, στην καρτέλα "Διαδικασίες" θα δείτε τι εκτελείται σε πραγματικό χρόνο και ποιο ποσοστό της CPU, της μνήμης, του δίσκου και του δικτύου καταναλώνει κάθε στοιχείο.

Όταν υποψιάζεστε ότι κάτι δεν πάει καλά (επιβράδυνση, συνεχής λειτουργία ανεμιστήρα, αργή σύνδεση), Αναζητήστε διεργασίες που δεν αναγνωρίζετε και οι οποίες καταναλώνουν πολλούς πόρους.Ρωτήστε τον εαυτό σας: «Αναγνωρίζω αυτήν την εφαρμογή;» και «Βγάζει νόημα το γεγονός ότι χρησιμοποιεί τόσο πολύ CPU ή δίκτυο αυτή τη στιγμή;»

• Αν εντοπίσετε μια παράξενη διεργασία, κάντε δεξί κλικ και μεταβείτε στις "Ιδιότητες"Εκεί θα δείτε την πλήρη διαδρομή του αρχείου, τον κατασκευαστή, την έκδοση και άλλες πληροφορίες που θα σας βοηθήσουν να αποφασίσετε αν είναι αξιόπιστο. Εάν εξακολουθείτε να έχετε αμφιβολίες, μπορείτε να αναζητήσετε το όνομά του στο διαδίκτυο ή σε εξειδικευμένους ιστότοπους για να ελέγξετε εάν έχει ταξινομηθεί ως ασφαλές ή κακόβουλο.
• Εάν επιβεβαιώσετε ότι πρόκειται για κακόβουλη ή εξαιρετικά ύποπτη διαδικασίαΜπορείτε να το επιλέξετε και να κάνετε κλικ στην επιλογή "Τερματισμός εργασίας" για να διακόψετε την εκτέλεσή του. Εάν όντως επρόκειτο για κακόβουλο λογισμικό, θα πρέπει να παρατηρήσετε βελτίωση στην απόδοση, αλλά αυτό δεν σημαίνει ότι το πρόβλημα έχει εξαφανιστεί εντελώς: είναι απαραίτητο να εκτελέσετε μια πλήρη σάρωση με το λογισμικό προστασίας από ιούς αμέσως μετά.

Έλεγχος διεργασιών στο macOS και εναλλακτικές λύσεις για το netstat

Αν έχετε και συσκευές Apple, είναι χρήσιμο να γνωρίζετε ότι το macOS διαθέτει ένα ισοδύναμο εργαλείο για τον έλεγχο διεργασιών και συνδέσεων, αν και η μέθοδος πρόσβασης είναι διαφορετική. Το βασικό εργαλείο εδώ ονομάζεται «Παρακολούθηση Δραστηριότητας». Είναι αυτό που θα μας βοηθήσει να εντοπίσουμε εάν τα Windows συνδέονται με ύποπτους διακομιστές.

Όταν ανοίξετε την Παρακολούθηση Δραστηριότητας, θα δείτε μια λίστα με όλες τις εφαρμογές και τις διεργασίες που εκτελούνταιΌπως ακριβώς και στα Windows, πολλά από τα ονόματα μπορεί να μην σας ακούγονται οικεία, αλλά αυτό δεν σημαίνει αυτόματα ότι είναι κακόβουλα. Μπορείτε να κάνετε κλικ σε οποιοδήποτε από αυτά και στη συνέχεια να κάνετε κλικ στο εικονίδιο πληροφοριών (το "i" στην κορυφή) για να δείτε λεπτομέρειες όπως η διαδρομή του δίσκου τους ή το ποσοστό μνήμης που χρησιμοποιούν.

Για μια πιο τεχνική ανάλυση των συνδέσεων στο macOSΤο τερματικό είναι επίσης σύμμαχός σας. Εντολές όπως lsof -i Σας δείχνουν ποιες διεργασίες χρησιμοποιούν θύρες δικτύου και με ποιες απομακρυσμένες διευθύνσεις επικοινωνούν, παρόμοια με το netstat στα Windows.

Εάν εντοπίσετε μια ύποπτη διεργασία στο Mac σας, μπορείτε να την επιλέξετε στην Παρακολούθηση Δραστηριότητας. και πατήστε το εικονίδιο "X" για να το κλείσετε. Και, αν παρόλα αυτά δεν βρείτε κάτι ασυνήθιστο αλλά η συσκευή εξακολουθεί να παρουσιάζει δυσλειτουργία, το ίδιο το σύστημα σάς επιτρέπει να εκτελέσετε διαγνωστικά από το εικονίδιο με το γρανάζι που βρίσκεται στην επάνω γραμμή της εφαρμογής.

Πρακτικό πρωτόκολλο για την ανάλυση ύποπτων IP και διεργασιών

Όταν χτυπάει το ξυπνητήρι επειδή βλέπεις μια παράξενη διεύθυνση IP ή μια άγνωστη διεργασίαΤο χειρότερο πράγμα που μπορείτε να κάνετε είναι να ενεργείτε στα τυφλά. Είναι πολύ πιο αποτελεσματικό να ακολουθείτε ένα σύντομο, βήμα προς βήμα πρωτόκολλο που σας επιτρέπει να παίρνετε τεκμηριωμένες αποφάσεις. Ορίστε:

1. Συγκεντρώστε πληροφορίεςΣημειώστε την ύποπτη διεύθυνση IP, το PID, το όνομα της διεργασίας και τη διαδρομή προς το εκτελέσιμο αρχείο. Με αυτές τις πληροφορίες, ελέγξτε τη φήμη της διεύθυνσης IP στο VirusTotal ή στο AbuseIPDB και την προέλευση της διεργασίας χρησιμοποιώντας την Εξερεύνηση Επεξεργασιών ή τις ιδιότητες του αρχείου.
2. Αποκλεισμός διεύθυνσης IP από το τείχος προστασίας των WindowsΕκεί μπορείτε να δημιουργήσετε έναν νέο κανόνα εξερχόμενων επικοινωνιών και να επιλέξετε αν θέλετε να γίνει αποκλεισμός ανά πρόγραμμα ή ανά θύρα, έτσι ώστε το λογισμικό να μην μπορεί πλέον να συνδεθεί στο Διαδίκτυο.
3. Εκτελέστε μια πλήρη σάρωση συστήματος με το λογισμικό προστασίας από ιούς που χρησιμοποιείτε. (Windows Defender, Malwarebytes ή άλλη αξιόπιστη λύση). Αφήστε το να σαρώσει όλες τις μονάδες δίσκου και δώστε ιδιαίτερη προσοχή στα αρχεία που συνδέονται με τη διεργασία που εντοπίσατε ως ύποπτη.
4. Καταγράψτε τι έχει συμβείΣυμπεριλάβετε την ημερομηνία και την ώρα ανίχνευσης, τη διεύθυνση IP, το PID και το όνομα της διεργασίας, τα αποτελέσματα VirusTotal ή AbuseIPDB και τις ενέργειες που πραγματοποιήσατε (αποκλεισμός, διαγραφή, καραντίνα κ.λπ.). Αυτό το μικρό "αρχείο καταγραφής συμβάντων" είναι πολύ χρήσιμο εάν παρόμοια συμπτώματα επανεμφανιστούν αργότερα.

Κακόβουλες διεργασίες, κακόβουλο λογισμικό και απόδοση: όταν ο υπολογιστής σας παρουσιάζει καθυστέρηση

Συνδέονται όντως τα Windows σε ύποπτους διακομιστές; Συχνά, το πρώτο σημάδι ότι κάτι δεν πάει καλά δεν είναι ένα μήνυμα σφάλματος, αλλά μάλλον ότι ο υπολογιστής αρχίζει να λειτουργεί πιο αργά από το συνηθισμένο.

Στις περισσότερες περιπτώσεις δεν υπάρχει λόγος ανησυχίαςΣυχνά, αυτό συμβαίνει επειδή το σύστημα εγκαθιστά ενημερώσεις, πολλές εφαρμογές που απαιτούν πολλούς πόρους είναι ανοιχτές ταυτόχρονα ή η σύνδεση στο διαδίκτυο χρησιμοποιείται από άλλα άτομα στο σπίτι. Ωστόσο, μερικές φορές, αυτή η πτώση στην απόδοση μπορεί να οφείλεται σε κακόβουλο λογισμικό που εκτελείται στο παρασκήνιο.

Ωστόσο, είναι αλήθεια ότι Ιοί και άλλοι τύποι κακόβουλου κώδικα μπορούν να εκμεταλλευτούν τον υπολογιστή σας Για να εξορύξετε κρυπτονομίσματα, να στείλετε ανεπιθύμητα μηνύματα, να συμμετάσχετε σε κατανεμημένες επιθέσεις ή να κλέψουν πληροφορίες. Όλα αυτά καταναλώνουν CPU, μνήμη και εύρος ζώνης χωρίς καν να το συνειδητοποιήσετε.

Ενώ η κατοχή ενός ενημερωμένου antivirus μειώνει σημαντικά τον κίνδυνο, καμία λύση δεν είναι 100% αλάνθαστη. Περιστασιακά, ένας ιός μπορεί να περάσει, ειδικά αν εγκαταστήσετε πειρατικό λογισμικό, ανοίξετε ύποπτα συνημμένα email ή συνδέσετε συσκευές USB από άγνωστες πηγές. Γι' αυτό είναι τόσο σημαντικό. γνώση του τρόπου αναγνώρισης ανώμαλων διεργασιών και συνδέσεωνΣας παρέχει ένα δεύτερο επίπεδο άμυνας πέρα ​​από το antivirus.

Βέλτιστες πρακτικές για τη μείωση του κινδύνου επικίνδυνων συνδέσεων

Εκτός από την ενημέρωση των Windows και των προγραμμάτων οδήγησης τους, υπάρχουν και ορισμένα συνήθειες που μειώνουν δραστικά τις πιθανότητες οι συνδέσεις σας να καταλήξουν σε κακόβουλους διακομιστές ή ότι κάποιος μπορεί να εκμεταλλευτεί κενά ασφαλείας.

• Να είστε επιφυλακτικοί με ύποπτα emailΧρυσός κανόνας: Μην ανοίγετε μηνύματα από άγνωστους αποστολείς και μην κατεβάζετε μη αναμενόμενα συνημμένα, ακόμα κι αν φαίνεται να προέρχονται από νόμιμη πηγή. Πολλές επιθέσεις ξεκινούν με ένα απλό email ηλεκτρονικού "ψαρέματος" (phishing).
• Χρησιμοποιήστε ισχυρούς και διαφορετικούς κωδικούς πρόσβασης για κάθε υπηρεσίαΑποφύγετε τη χρήση προφανών προσωπικών στοιχείων (ημερομηνίες γέννησης, αριθμοί τηλεφώνου, επώνυμα) και επιλέξτε μεγάλους συνδυασμούς γραμμάτων, αριθμών και συμβόλων, κατά προτίμηση με έναν διαχειριστή κωδικών πρόσβασης.
• Περιηγηθείτε σε αξιόπιστους ιστότοπους και αποφύγετε λήψεις από αμφίβολους ιστότοπουςΑυτό ισχύει ιδιαίτερα όταν πρόκειται για δωρεάν προγράμματα, cracks, πειρατικό περιεχόμενο ή ανεπίσημα προγράμματα εγκατάστασης. Εκεί ακριβώς μεταμφιέζεται το μεγαλύτερο μέρος του κακόβουλου λογισμικού ως «δώρο».
• Αποφύγετε τα δημόσια ή ανοιχτά δίκτυα WiFiΣε καφετέριες, αεροδρόμια ή εμπορικά κέντρα, είναι καλύτερο να αποφεύγετε τη σύνδεση σε τράπεζες, εταιρικό email ή άλλες κρίσιμες υπηρεσίες. Εάν δεν έχετε άλλη επιλογή, σκεφτείτε να χρησιμοποιήσετε ένα VPN για να κρυπτογραφήσετε την επισκεψιμότητά σας και να δυσκολέψετε άλλους χρήστες στο ίδιο δίκτυο να κατασκοπεύουν ή να χειραγωγούν τις συνδέσεις σας.
• Ελέγχετε τακτικά τις ρυθμίσεις του τείχους προστασίας των Windows. Για να βεβαιωθείτε ότι είναι ενεργοποιημένο και λειτουργεί. Εάν, αφού το ενεργοποιήσετε, παρατηρήσετε ότι ορισμένες νόμιμες εφαρμογές (όπως προγράμματα περιήγησης, προγράμματα-πελάτες παιχνιδιών ή εφαρμογές ανταλλαγής μηνυμάτων) σταματούν να συνδέονται, μπορείτε να προσαρμόσετε συγκεκριμένους κανόνες αντί να απενεργοποιήσετε ολόκληρο το τείχος προστασίας, κάτι που είναι κακή ιδέα από άποψη ασφάλειας.

Κατανόηση της λειτουργίας του υπολογιστή σας όταν «επικοινωνεί» με το Διαδίκτυο Σας δίνει μια πολύτιμη αίσθηση ελέγχου. Κατανοώντας τις διαδικασίες σας, παρακολουθώντας τις συνδέσεις και εφαρμόζοντας μερικές βέλτιστες πρακτικές, μπορείτε να ελαχιστοποιήσετε τόσο τον κίνδυνο σύνδεσης των Windows σε πραγματικά επικίνδυνους διακομιστές όσο και τον περιττό πανικό για δραστηριότητες που, αν και θορυβώδεις, είναι απολύτως φυσιολογικές.