Kuinka tunnistaa, muodostaako Windows yhteyden epäilyttäviin palvelimiin

Olet ehkä huomannut, että sinä Windows muodostaa yhteyden epäilyttäviin palvelimiin joita et tunnista ja olet miettinyt, onko tietokoneesi hakkeroitu. Näissä tapauksissa on normaalia olla huolissaan. Virustorjuntahälytysten, palomuurivaroitusten ja loputtomien yhteysluetteloiden keskellä on normaalia tuntea olonsa ylikuormitetuksi etkä tiedä, miten erottaa normaali vaarallisesta.

Todellisuus on, että Windows kommunikoi jatkuvasti internetin kanssa.Tarvitset yhteyksiä päivittääksesi, validoidaksesi lisenssejä, synkronoidaksesi tietoja tai yksinkertaisesti varmistaaksesi, että ohjelmasi toimivat oikein. Ongelma syntyy, kun tuntematon, väärin määritetty tai suorastaan ​​haitallinen sovellus alkaa muodostaa yhteyttä epäilyttäviin palvelimiin tietämättäsi. Tässä artikkelissa näytetään, miten tunnistat nämä yhteydet, miten määrität, ovatko ne aitoja, ja mitä tehdä tietokoneesi suojaamiseksi.

Miksi Windows näyttää muodostavan yhteyden niin moneen palvelimeen (eikä se ole aina huono asia)

Kun katsot ensimmäistä kertaa tietokoneesi yhteyksiä, se on melkoinen shokki: kymmeniä IP-osoitteita, outoja portteja ja prosesseja, joiden nimistä et ole koskaan kuullut. Looginen ajatus on: "Jotain outoa täällä tapahtuu", mutta... Suuri osa tästä toiminnasta on täysin laillista ja vaaratonta tietokoneellesi.

Windows ja monet sovellukset tarvitsevat muodostaa yhteyden luotettaviin palvelimiin Rutiinimaisimpiin tehtäviin: päivitysten lataamiseen, digitaalisten allekirjoitusten tarkistamiseen, tiedostojen synkronointiin, mainosten tai käyttötilastojen lataamiseen, lisenssien validointiin jne. Esimerkiksi Windows-päivitysSelaimesi, sähköpostiohjelmasi tai jopa yksinkertainen tekstieditori saattaa muodostaa yhteyttä taustalla.

On myös normaalia, että sama ohjelma avaa useita samanaikaisia ​​yhteyksiä.Esimerkiksi selain muodostaa eri yhteydet jokaiselle välilehdelle ja jokaiselle resurssille (kuvat, skriptit, tyylitiedostot jne.). Siksi useiden avointen yhteyksien näkeminen ei ole sama asia kuin tartunta.

Todellinen ongelma syntyy, kun Windows muodostaa yhteyden epäilyttäviin palvelimiin.Varsinkin jos se tekee niin jatkuvasti, kuluttaa paljon resursseja tai esiintyy epätavallisissa järjestelmäsijainneissa (väliaikaiset kansiot, väärin kirjoitetut sijainnit, epätavalliset hakemistot jne.). Siinä kohtaa sinun on tutkittava asiaa.

Aktiivisten yhteyksien tarkasteleminen Windowsissa netstatin ja muiden työkalujen avulla

Klassinen muoto Tarkista, mitkä yhteydet tietokoneellasi on auki Windowsissa Se käyttää konsolia komennolla netstatYhdistämällä sen muihin järjestelmätyökaluihin, kuten NirSoft-työkalut Voit selvittää tarkalleen, mikä ohjelma on kunkin yhteyden takana.

Jos suoritat komennon terminaalissa netstat -ano, saat yksityiskohtainen luettelo aktiivisista yhteyksistä, käytetyistä porteista, tilasta ja niihin liittyvästä PID:stä (prosessitunniste)Näet sekä saapuvat että lähtevät yhteydet ja pystyt nopeasti tunnistamaan, mitkä IP-osoitteet kommunikoivat tietokoneesi kanssa.

Seuraava askel on linkittää nuo PID:t tiettyihin ohjelmiinVoit tehdä tämän käyttämällä tasklist Konsolista itsestään tai Tehtävienhallinnasta. Näin tiedät, muodostaako selain, järjestelmäpalvelu, Windows Update vai tuntematon sovellus yhteyden.

Netstatin lisäksi Windows integroi Resurssien valvontaVerkko-välilehdellä näet, mitkä prosessit lähettävät ja vastaanottavat tietoja, mihin osoitteisiin ne muodostavat yhteyden ja kuinka paljon liikennettä ne kuluttavat. Jos haluat perehtyä asiaan tarkemmin, voit oppia, miten se tehdään. Hallitse Tehtävienhallinta tulkitsemaan tuota dataa paremmin.

Vielä syvällisempää analyysia varten, Sysinternals-prosessien hallinta (Microsoftin virallinen työkalu) antaa sinun nähdä, millä prosesseilla on avoimet internetyhteydet, kuka allekirjoitti suoritettavan tiedoston, mihin se on asennettu ja mitä muita tiedostoja tai rekisteriavaimia se käyttää. Hyvä resurssi sen selvittämiseen, yhdistääkö Windows epäilyttäviin palvelimiin.

Epäilyttävän yhteyden tai IP-osoitteen tunnistaminen

Kun olet löytänyt IP-osoitteen tai prosessin, jota et tunnista, tärkeintä on selvittääkseen, onko se todella jotain vaarallista tai yksinkertaisesti laillinen palvelu, josta et tiennyt. Tässä on seuraavat vaiheet:

1. Tutki IP-osoitteen mainettaKopioi IP-osoite, joka herätti huomiosi, ja tarkista sen tila alustoilla, kuten VirusTotal tai AbuseIPDB. Nämä verkkosivustot osoittavat, onko IP-osoite yhdistetty bottiverkkoihin, haittaohjelmapalvelimiin, tietojenkalasteluhyökkäyksiin tai vaarantuneisiin välityspalvelimiin.
2. Tarkista samanaikaisesti prosessi, joka käyttää kyseistä IP-osoitetta.Avaa Tehtävienhallinta netstatin tai Resource Monitorin näyttämän PID-tunnuksen avulla, siirry "Tiedot"-välilehdelle ja etsi tunniste. Tarkista suoritettavan tiedoston nimi ja sen polku levyllä ja avaa tarvittaessa "Ominaisuudet" nähdäksesi tietoja, kuten luontipäivämäärän tai digitaalisen allekirjoituksen.

Jos tiedosto sijaitsee epätavallisessa paikassa, sillä ei ole luotettavaa digitaalista allekirjoitusta. Jos huomaat sen liittyvän piraattiohjelmistoihin, crack-ohjelmiin, keygen-ohjelmiin tai epäilyttävistä lähteistä ladattuihin tiedostoihin, sinun kannattaa olla epäileväinen. Jos olet epävarma, voit etsiä suoritettavan tiedoston nimeä verkkosivustoilta, kuten File.net, jotka luetteloivat monia yleisiä prosesseja ja auttavat määrittämään, ovatko ne järjestelmäohjelmia vai eivät.

Tehtävienhallinnan käyttäminen haitallisten prosessien etsimiseen Windowsissa

Tehtävienhallinta on luultavasti Aliarvostetuin työkalu Windowsin epäilyttäviin palvelimiin yhdistämisen havaitsemiseenWindows sisältää sen oletuksena, ja oikein käytettynä se voi auttaa sinua selviytymään useammasta kuin yhdestä tiukasta tilanteesta.

Voit avata sen napsauttamalla Käynnistä-painiketta hiiren kakkospainikkeella ja valitsemalla "Tehtävienhallinta" tai käyttämällä pikanäppäintä Ctrl + Alt + Delete ja valitse se valikosta. Kun olet sisällä, "Prosessit"-välilehdellä näet, mitä reaaliajassa on käynnissä ja kuinka monta prosenttia suorittimen, muistin, levyn ja verkon resursseista kukin elementti käyttää.

Kun epäilet, että jokin on vialla (hidastuminen, jatkuvasti pyörivä tuuletin, hidas yhteys), Etsi prosesseja, joita et tunnista ja jotka kuluttavat paljon resursseja.Kysy itseltäsi: ”Tunnistanko tämän sovelluksen?” ja ”Onko järkevää, että se käyttää tällä hetkellä niin paljon prosessoritehoa tai verkkoa?”

• Jos havaitset oudon prosessin, napsauta sitä hiiren kakkospainikkeella ja siirry kohtaan "Ominaisuudet".Siellä näet tiedoston koko polun, valmistajan, version ja muita tietoja, jotka auttavat sinua päättämään, onko se luotettava. Jos sinulla on edelleen epäilyksiä, voit etsiä sen nimeä verkosta tai erikoistuneilta verkkosivustoilta tarkistaaksesi, onko se luokiteltu turvalliseksi vai haitalliseksi.
• Jos vahvistat, että kyseessä on haitallinen tai erittäin epäilyttävä prosessiVoit valita sen ja pysäyttää sen suorittamisen napsauttamalla "Lopeta tehtävä". Jos kyseessä todella oli haittaohjelma, suorituskyvyn pitäisi parantua, mutta tämä ei tarkoita, että ongelma on kokonaan poistunut: on tärkeää suorittaa täydellinen tarkistus virustorjuntaohjelmistolla heti sen jälkeen.

Prosessinhallinta macOS:ssä ja vaihtoehdot netstatille

Jos sinulla on myös Apple-laitteita, on hyödyllistä tietää, että macOS:ssä on vastaava työkalu prosessien ja yhteyksien hallintaan, vaikkakin käyttötapa on erilainen. Keskeinen työkalu tässä on ns. "Aktiviteettimonitori". Se auttaa meitä havaitsemaan, muodostaako Windows yhteyden epäilyttäviin palvelimiin.

Kun avaat Aktiviteettien valvonnan, näet luettelon kaikista käynnissä olevista sovelluksista ja prosesseista.Aivan kuten Windowsissa, monet nimistä eivät ehkä kuulosta tutuilta, mutta se ei automaattisesti tarkoita, että ne olisivat haitallisia. Voit napsauttaa mitä tahansa niistä ja sitten napsauttaa tietokuvaketta (ylhäällä oleva "i") nähdäksesi tietoja, kuten niiden levypolun tai käyttämän muistin prosenttiosuuden.

Teknisempää analyysia macOS-yhteyksistä vartenPääte on myös liittolaisesi. Komentoja, kuten lsof -i Ne näyttävät, mitkä prosessit käyttävät verkkoportteja ja minkä etäosoitteiden kanssa ne kommunikoivat, samalla tavalla kuin netstat Windowsissa.

Jos havaitset Macillasi epäilyttävän prosessin, voit valita sen Järjestelmän valvonnassa. ja napauta "X"-kuvaketta sulkeaksesi sen. Ja jos et kaikesta huolimatta löydä mitään epätavallista, mutta laite toimii edelleen virheellisesti, järjestelmä itse antaa sinun suorittaa diagnostiikan sovelluksen yläpalkissa olevasta rataskuvakkeesta.

Käytännön protokolla epäilyttävien IP-osoitteiden ja prosessien analysointiin

Kun hälytys soi, koska näet outo IP-osoite tai tuntematon prosessiPahinta, mitä voit tehdä, on toimia sokeasti. On paljon tehokkaampaa noudattaa lyhyttä, vaiheittaista protokollaa, jonka avulla voit tehdä tietoon perustuvia päätöksiä. Tässä se on:

1. Kerää tietoaKirjaa muistiin epäilyttävä IP-osoite, PID, prosessin nimi ja suoritettavan tiedoston polku. Tarkista näiden tietojen avulla IP-osoitteen maine VirusTotalissa tai AbuseIPDB:ssä ja prosessin alkuperä Process Explorerin tai tiedoston ominaisuuksien avulla.
2. Estä IP-osoite Windowsin palomuurin kauttaSiellä voit luoda uuden lähtevän liikenteen säännön ja valita, haluatko estää liikenteen ohjelman vai portin mukaan, jotta ohjelmisto ei enää voi muodostaa yhteyttä Internetiin.
3. Suorita täydellinen järjestelmän tarkistus virustorjuntaohjelmistollasi. (Windows Defender, Malwarebytes tai jokin muu luotettava ratkaisu). Anna sen skannata kaikki asemat ja kiinnitä erityistä huomiota tiedostoihin, jotka liittyvät epäilyttäväksi tunnistamaasi prosessiin.
4. Dokumentoi tapahtunutSisällytä tunnistuspäivämäärä ja -kellonaika, IP-osoite, PID ja prosessin nimi, VirusTotal- tai AbuseIPDB-tulokset sekä tekemäsi toimenpiteet (estäminen, poistaminen, karanteeniin asettaminen jne.). Tämä pieni "tapahtumaloki" on erittäin hyödyllinen, jos samanlaisia ​​oireita ilmenee myöhemmin uudelleen.

Haittaohjelmat, haittaohjelmat ja suorituskyky: kun tietokoneesi hidastuu

Yhdistääkö Windows todella epäilyttäviin palvelimiin? Usein ensimmäinen merkki siitä, että jokin on vialla, ei ole virheilmoitus, vaan pikemminkin se, että tietokone alkaa toimia tavallista hitaammin.

Useimmissa tapauksissa ei ole syytä huoleenUsein tämä tapahtuu, koska järjestelmä asentaa päivityksiä, useita resursseja kuluttavia sovelluksia on auki samanaikaisesti tai internetyhteyttä käyttävät muut talon asukkaat. Mutta joskus tämä suorituskyvyn lasku voi johtua taustalla toimivasta haittaohjelmasta.

On kuitenkin totta, että Virukset ja muut haitalliset koodit voivat hyödyntää tietokonettasi Kryptovaluuttojen louhimiseen, roskapostin lähettämiseen, hajautettuihin hyökkäyksiin osallistumiseen tai tietojen varastamiseen. Kaikki tämä kuluttaa prosessoria, muistia ja kaistanleveyttä jopa huomaamattasi.

Vaikka ajan tasalla oleva virustorjuntaohjelma vähentää riskiä huomattavasti, mikään ratkaisu ei ole 100 % varma. Joskus virus voi päästä läpi, varsinkin jos asennat laittomasti kopioituja ohjelmistoja, avaat epäilyttäviä sähköpostiliitteitä tai liität USB-laitteita tuntemattomista lähteistä. Siksi se on niin tärkeää. tietää, miten tunnistaa poikkeavat prosessit ja yhteydetSe antaa sinulle toisen puolustuskerroksen virustorjunnan lisäksi.

Parhaat käytännöt vaarallisten yhteyksien riskin vähentämiseksi

Windowsin ja sen ajureiden päivittämisen lisäksi on olemassa useita tavat mikä vähentää merkittävästi yhteyksiesi päätymisen todennäköisyyttä haitallisille palvelimille tai että joku saattaisi hyötyä tietoturva-aukoista.

• Varo epäilyttäviä sähköpostejaKultainen sääntö: Älä avaa tuntemattomilta lähettäjiltä tulevia viestejä tai lataa odottamattomia liitteitä, vaikka ne näyttäisivät olevan peräisin laillisesta lähteestä. Monet hyökkäykset alkavat yksinkertaisella tietojenkalasteluviestillä.
• Käytä vahvoja ja erilaisia ​​salasanoja jokaiselle palvelulleVältä ilmeisten henkilötietojen (syntymäajat, puhelinnumerot, sukunimet) käyttöä ja valitse pitkiä kirjainten, numeroiden ja symbolien yhdistelmiä, mieluiten salasananhallintaohjelmalla hallittuna.
• Selaa luotettavia verkkosivustoja ja vältä latauksia epäilyttäviltä sivustoiltaTämä pätee erityisesti ilmaisohjelmiin, crack-ohjelmiin, piraattisisältöön tai epävirallisiin asennusohjelmiin. Niissä useimmat haittaohjelmat naamioituvat "lahjaksi".
• Vältä julkisia tai avoimia WiFi-verkkojaKahviloissa, lentokentillä tai ostoskeskuksissa on parasta välttää kirjautumista pankkeihin, yrityssähköposteihin tai muihin kriittisiin palveluihin. Jos sinulla ei ole muuta vaihtoehtoa, harkitse VPN:n käyttöä liikenteesi salaamiseksi ja vaikeuttaaksesi muiden saman verkon käyttäjien vakoilua tai yhteyksiesi manipulointia.
• Tarkista Windowsin palomuuriasetukset säännöllisesti. Varmistaaksesi, että se on käytössä ja toimii. Jos huomaat sen käyttöönoton jälkeen, että jotkin lailliset sovellukset (kuten selaimet, peliohjelmat tai viestisovellukset) lakkaavat muodostamasta yhteyttä, voit muokata tiettyjä sääntöjä sen sijaan, että poistaisit käytöstä koko palomuurin, mikä on huono idea tietoturvan kannalta.

Ymmärrä, mitä tietokoneesi tekee "keskustellessaan" internetin kanssa Se antaa sinulle arvokkaan hallinnan tunteen. Ymmärtämällä prosessejasi, valvomalla yhteyksiä ja soveltamalla muutamia parhaita käytäntöjä voit minimoida sekä Windowsin yhteyden muodostamisen riskin aidosti vaarallisiin palvelimiin että tarpeettoman paniikin toiminnoista, jotka ovat meluisia, mutta täysin normaaleja.