Kuidas tuvastada, kas Windows loob ühenduse kahtlaste serveritega

Võib-olla olete märganud, et teie Windows loob ühenduse kahtlaste serveritega mida te ei tunne ära ja olete mõelnud, kas teie arvutit on häkitud. Sellistel juhtudel on normaalne olla mures. Viirusetõrjehoiatuste, tulemüürihoiatuste ja lõputute ühenduste loendite vahel on normaalne tunda end ülekoormatuna ja mitte teada, kuidas eristada normaalset ohtlikust.

Tegelikkus on see, et Windows suhtleb pidevalt internetiga.Ühendusi on vaja programmide värskendamiseks, litsentside valideerimiseks, andmete sünkroonimiseks või lihtsalt programmide korrektse toimimise tagamiseks. Probleem tekib siis, kui tundmatu, valesti konfigureeritud või lausa pahatahtlik rakendus hakkab teie teadmata kahtlaste serveritega ühendust looma. See artikkel näitab, kuidas neid ühendusi tuvastada, kuidas teha kindlaks, kas need on õigustatud, ja mida teha oma arvuti kaitsmiseks.

Miks Windows näib ühenduvat nii paljude serveritega (ja see pole alati halb asi)

Kui esimest korda oma arvuti ühendusi vaadata, on see päris šokeeriv: kümneid IP-aadresse, kummalisi porte ja protsesse nimedega, millest te pole kunagi kuulnud. Loogiline mõte on: "Siin toimub midagi imelikku," aga... Suur osa sellest tegevusest on täiesti seaduslik ja teie arvutile kahjutu.

Windows ja paljud rakendused vajavad ühendu usaldusväärsete serveritega Kõige rutiinsemate toimingute jaoks: värskenduste allalaadimine, digitaalallkirjade kontrollimine, failide sünkroonimine, reklaamide või kasutusstatistika üleslaadimine, litsentside valideerimine jne. Näiteks Windowsi värskendusSinu brauser, e-posti klient või isegi lihtne tekstiredaktor võib taustal ühenduse luua.

Samuti on normaalne, et sama programm avab mitu samaaegset ühendust.Näiteks brauser loob iga vahelehe ja iga ressursi (pildid, skriptid, stiililehed jne) jaoks erinevad ühendused. Seega paljude avatud ühenduste nägemine ei ole nakkuse sünonüüm.

Tegelik probleem tekib siis, kui Windows loob ühenduse kahtlaste serveritega.Eriti kui see juhtub pidevalt, tarbib palju ressursse või ilmub ebatavalistes süsteemiasukohtades (ajutised kaustad, valesti kirjutatud asukohad, haruldased kataloogid jne). Just seal peaksite uurima.

Kuidas vaadata Windowsi aktiivseid ühendusi netstati ja muude tööriistade abil

Klassikaline vorm Kontrollige, millised ühendused on teie arvutis Windowsis avatud See kasutab konsooli käsuga netstatSelle kombineerimine teiste süsteemiutiliitidega, näiteks NirSofti tööriistad Saate täpselt teada, milline programm iga ühenduse taga on.

Kui käivitate käsu terminalis netstat -ano, sa saad aktiivsete ühenduste, kasutatud portide, oleku ja nendega seotud PID-i (protsessi identifikaatori) üksikasjalik loendNäete nii sissetulevaid kui ka väljaminevaid ühendusi ning saate kiiresti tuvastada, millised IP-aadressid teie arvutiga suhtlevad.

Järgmine samm on nende PID-ide sidumiseks konkreetsete programmidegaSelleks võite kasutada tasklist Konsoolist endast või tegumihaldurist. Nii saate teada, kas ühenduse loob teie brauser, süsteemiteenus, Windows Update või tundmatu rakendus.

Lisaks netstatile integreerib Windows ka Ressursimonitorkus vahekaardil „Võrk“ näete, millised protsessid andmeid saadavad ja vastu võtavad, millistele aadressidele nad ühenduvad ja kui palju liiklust nad tarbivad; kui teil on vaja süveneda, saate õppida, kuidas Valdage ülesannete haldurit et neid andmeid paremini tõlgendada.

Veelgi sügavama analüüsi jaoks, Sysinternalsi protsesside uurija (Microsofti ametlik tööriist) võimaldab teil näha, millistel protsessidel on avatud internetiühendused, kes allkirjastas käivitatava faili, kuhu see on installitud ja milliseid muid faile või registrivõtmeid see kasutab. Hea ressurss selle väljaselgitamiseks, kas Windows loob ühendust kahtlaste serveritega.

Kahtlase ühenduse või IP-aadressi tuvastamine

Kui olete leidnud tundmatu IP-aadressi või protsessi, on oluline see, et et teada saada, kas see on tõesti midagi ohtlikku või lihtsalt legaalne teenus, millest te ei teadnud. Siin on sammud, mida järgida:

1. Uurige IP-aadressi mainetKopeeri IP-aadress, mis sinu tähelepanu köitis, ja kontrolli selle olekut platvormidel nagu VirusTotal või AbuseIPDB. Need veebisaidid näitavad, kas see IP-aadress on seostatud botnettide, pahavara serverite, andmepüügirünnakute või ohustatud puhverserveritega.
2. Paralleelselt vaadake üle protsess, mis seda IP-aadressi kasutab.Kasutades netstati või ressursimonitori kuvatavat PID-d, avage tegumihaldur, minge vahekaardile "Üksikasjad" ja leidke see identifikaator. Kontrollige käivitatava faili nime, selle teed kettal ja vajadusel avage "Atribuudid", et vaadata teavet, näiteks loomise kuupäeva või digitaalallkirja.

Kui fail asub ebatavalises asukohas, puudub sellel usaldusväärne digitaalallkiri. Kui leiate, et see on seotud piraattarkvara, kräkkide, võtmegeneraatorite või kahtlastest allikatest allalaadimistega, peaksite kahtlustama. Kahtluse korral saate otsida käivitatava faili nime veebisaitidelt nagu File.net, mis kataloogib paljusid levinud protsesse ja aitab kindlaks teha, kas need on süsteemiprogrammid või mitte.

Pahatahtlike protsesside otsimine Windowsis tegumihalduri abil

Tegumihaldur on ilmselt Kõige alahinnatum tööriist Windowsi kahtlaste serveritega ühenduse loomise tuvastamiseksWindows sisaldab seda vaikimisi ja õigesti kasutades aitab see teil mitmest keerulisest olukorrast välja tulla.

Selle avamiseks paremklõpsake nuppu Start ja valige „Task Manager” või kasutage kiirklahvi Ctrl + Alt + Kustuta ja vali see menüüst. Kui oled sees, näed vahekaardil „Protsessid“, mis reaalajas töötab ja kui palju protsessori, mälu, ketta ja võrgu ressursse iga element tarbib.

Kui kahtlustate, et midagi on valesti (aeglustumine, pidevalt töötav ventilaator, aeglane ühendus), Otsi protsesse, mida sa ei tunne ja mis tarbivad palju ressursse.Küsi endalt: „Kas ma tunnen selle rakenduse ära?“ ja „Kas on loogiline, et see kasutab praegu nii palju protsessorit või võrku?“

• Kui märkate kummalist protsessi, paremklõpsake sellel ja minge jaotisse „Atribuudid”.Seal näete faili täielikku teed, tootjat, versiooni ja muud teavet, mis aitab teil otsustada, kas see on usaldusväärne. Kui teil on endiselt kahtlusi, saate otsida selle nime veebist või spetsiaalsetelt veebisaitidelt, et kontrollida, kas see on liigitatud ohutuks või pahatahtlikuks.
• Kui kinnitate, et tegemist on pahatahtliku või väga kahtlase protsessigaSelle valimiseks ja selle töötamise peatamiseks klõpsake nuppu „Lõpeta ülesanne”. Kui see oli tõesti pahavara, peaksite märkama jõudluse paranemist, kuid see ei tähenda, et probleem on täielikult kadunud: kohe pärast seda on oluline viirusetõrjetarkvaraga täielik skannimine käivitada.

Protsesside juhtimine macOS-is ja netstati alternatiivid

Kui sul on ka Apple'i seadmeid, on kasulik teada, et macOS-il on samaväärne tööriist protsesside ja ühenduste haldamiseks, kuigi juurdepääsumeetod on erinev. Peamine tööriist on siin nn. "Aktiivsuse monitor". See aitab meil tuvastada, kas Windows loob ühenduse kahtlaste serveritega.

Kui avate aktiivsuse monitori, näete kõigi töötavate rakenduste ja protsesside loendit.Nii nagu Windowsis, ei pruugi paljud nimed tunduda tuttavad, kuid see ei tähenda automaatselt, et need on pahatahtlikud. Üksikasjade, näiteks ketta asukoha või kasutatava mälu protsendi nägemiseks võite klõpsata ükskõik millisel neist ja seejärel klõpsata teabeikoonil (ülaosas olev "i").

macOS-i ühenduste tehnilisemaks analüüsiksTerminal on ka teie liitlane. Käsklused nagu lsof -i Need näitavad sulle, millised protsessid kasutavad võrguporte ja milliste kaugaadressidega nad suhtlevad, sarnaselt Windowsi netstatiga.

Kui tuvastate oma Macis kahtlase protsessi, saate selle valida tegevuste monitoris. ja sulgemiseks puudutage ikooni „X”. Ja kui te kõigest hoolimata midagi ebatavalist ei leia, kuid seade jätkab talitlushäireid, lubab süsteem ise teil rakenduse ülaservas asuva hammasrattaikooni kaudu diagnostikat käivitada.

Kahtlaste IP-aadresside ja protsesside analüüsimise praktiline protokoll

Kui äratuskell heliseb, sest sa näed kummaline IP-aadress või tundmatu protsessHalvim asi, mida teha saad, on tegutseda pimesi. Palju tõhusam on järgida lühikest samm-sammult protokolli, mis võimaldab sul teha teadlikke otsuseid. Siin see on:

1. Koguge teavetPange tähele kahtlast IP-aadressi, PID-i, protsessi nime ja käivitatava faili teed. Selle teabe põhjal kontrollige IP-aadressi mainet VirusTotalis või AbuseIPDB-s ja protsessi päritolu, kasutades Process Explorerit või faili omadusi.
2. Blokeeri IP-aadress Windowsi tulemüüristSeal saate luua uue väljamineva reegli ja valida, kas soovite blokeerida programmi või pordi järgi, et tarkvara ei saaks enam internetiga ühendust luua.
3. Tehke oma viirusetõrjetarkvaraga täielik süsteemiskannimine. (Windows Defender, Malwarebytes või mõni muu usaldusväärne lahendus). Laske sel skannida kõiki draive ja pöörake erilist tähelepanu failidele, mis on seotud kahtlaseks peetud protsessiga.
4. Dokumenteeri, mis on juhtunudLisage tuvastamise kuupäev ja kellaaeg, IP-aadress, PID ja protsessi nimi, VirusTotali või AbuseIPDB tulemused ning teie tehtud toimingud (blokeerimine, kustutamine, karantiini paigutamine jne). See väike "intsidentide logi" on väga kasulik, kui sarnased sümptomid hiljem uuesti ilmnevad.

Pahatahtlikud protsessid, pahavara ja jõudlus: kui teie arvuti on aeglane

Kas Windows loob tõesti ühenduse kahtlaste serveritega? Tihti pole esimene märk sellest, et midagi on valesti, mitte veateade, vaid pigem see, et arvuti hakkab tavapärasest aeglasemalt töötama.

Enamikul juhtudel pole muretsemiseks põhjustTihti juhtub see seetõttu, et süsteem installib värskendusi, mitu ressursimahukat rakendust on samaaegselt avatud või internetiühendust kasutavad teised majapidamises viibijad. Kuid mõnikord võib jõudluse langus olla tingitud taustal töötavast pahavarast.

Siiski on tõsi, et Viirused ja muud tüüpi pahatahtlik kood võivad teie arvutit ära kasutada Krüptovaluutade kaevandamiseks, rämpsposti saatmiseks, hajusrünnakutes osalemiseks või teabe varastamiseks. Kõik see tarbib protsessorit, mälu ja ribalaiust ilma, et te seda isegi märkaksite.

Kuigi ajakohase viirusetõrje olemasolu vähendab oluliselt riski, pole ükski lahendus 100% lollikindel. Mõnikord võib viirus sisse lipsata, eriti kui installite piraattarkvara, avate kahtlaseid e-kirja manuseid või ühendate tundmatutest allikatest pärit USB-seadmeid. Seetõttu on see nii oluline. anomaalsete protsesside ja seoste tuvastamise oskusSee annab sulle viirusetõrje kõrval teise kaitsekihi.

Parimad tavad ohtlike ühenduste ohu vähendamiseks

Lisaks Windowsi ja selle draiverite värskendamisele on veel mitmeid harjumused mis vähendab drastiliselt teie ühenduste sattumise võimalust pahatahtlikele serveritele või et keegi võiks turvaauke ära kasutada.

• Olge kahtlaste meilide suhtes ettevaatlikKuldreegel: ärge avage tundmatute saatjate kirju ega laadige alla ootamatuid manuseid, isegi kui need näivad pärinevat seaduslikust allikast. Paljud rünnakud algavad lihtsast andmepüügimeilist.
• Kasutage iga teenuse jaoks tugevaid ja erinevaid parooleVäldi ilmse isikuandmete (sünnikuupäevad, telefoninumbrid, perekonnanimed) kasutamist ja vali pikad tähtede, numbrite ja sümbolite kombinatsioonid, mida on eelistatavalt võimalik paroolihalduriga hallata.
• Sirvi usaldusväärseid veebisaite ja väldi kahtlastelt saitidelt allalaadimistSee kehtib eriti tasuta programmide, pragude, piraatkoopiate või mitteametlike installiprogrammide kohta. Just seal maskeerib enamik pahavara end "kingituseks".
• Vältige avalikke või avatud WiFi-võrkeKohvikutes, lennujaamades või kaubanduskeskustes on kõige parem vältida pankadesse, ettevõtte e-posti aadressidesse või muudesse kriitilistesse teenustesse sisselogimist. Kui teil pole muud võimalust, kaaluge VPN-i kasutamist oma liikluse krüpteerimiseks ja teiste sama võrgu kasutajate jaoks teie ühenduste luuramise või manipuleerimise raskendamiseks.
• Vaadake regulaarselt üle oma Windowsi tulemüüri seaded. Veendumaks, et see on lubatud ja töötab. Kui pärast selle lubamist märkate, et mõned õigustatud rakendused (nt brauserid, mängukliendid või sõnumsiderakendused) ei loo ühendust, saate kogu tulemüüri keelamise asemel konkreetseid reegleid muuta, mis on turvalisuse seisukohast halb mõte.

Arvuti tegevuse mõistmine internetiga suhtlemisel See annab sulle väärtusliku kontrollitunde. Oma protsesside mõistmise, ühenduste jälgimise ja parimate tavade rakendamise abil saad minimeerida nii Windowsi ühenduse loomise ohtu tõeliselt ohtlike serveritega kui ka tarbetut paanikat tegevuste pärast, mis on küll lärmakad, aga täiesti normaalsed.