Kaip nustatyti, ar „Windows“ jungiasi prie įtartinų serverių

Galbūt pastebėjote, kad jūs „Windows“ prisijungia prie įtartinų serverių kurių neatpažįstate ir svarstote, ar jūsų kompiuteris nebuvo nulaužtas. Tokiais atvejais normalu sunerimti. Tarp antivirusinių įspėjimų, užkardos įspėjimų ir nesibaigiančių ryšių sąrašų normalu jaustis prislėgtam ir nežinoti, kaip atskirti, kas normalu, nuo to, kas gali būti pavojinga.

Realybė tokia, kad „Windows“ nuolat bendrauja su internetu.Jums reikia ryšių, kad galėtumėte atnaujinti, patvirtinti licencijas, sinchronizuoti duomenis arba tiesiog užtikrinti, kad jūsų programos veiktų tinkamai. Problema kyla, kai nežinoma, netinkamai sukonfigūruota arba tiesiog kenkėjiška programa pradeda jungtis prie įtartinų serverių be jūsų žinios. Šiame straipsnyje parodysime, kaip atpažinti šiuos ryšius, kaip nustatyti, ar jie teisėti, ir ką daryti, kad apsaugotumėte savo kompiuterį.

Kodėl „Windows“ jungiasi prie tiek daug serverių (ir tai ne visada blogai)

Kai pirmą kartą pažvelgiate į savo kompiuterio ryšius, tai gana netikėta: dešimtys IP adresų, keisti prievadai ir procesai su pavadinimais, apie kuriuos niekada negirdėjote. Logiška būtų pagalvoti: „Čia vyksta kažkas keisto“, bet... Didelė dalis šios veiklos yra visiškai teisėta ir nekenksminga jūsų kompiuteriui.

„Windows“ ir daugeliui programų reikia prisijungti prie patikimų serverių Įprastiausioms užduotims atlikti: atnaujinimų atsisiuntimui, skaitmeninių parašų tikrinimui, failų sinchronizavimui, skelbimų ar naudojimo statistikos įkėlimui, licencijų patvirtinimui ir kt. Pavyzdžiui, „Windows“ naujinimasJūsų naršyklė, el. pašto programa ar net paprastas teksto redaktorius gali prisijungti fone.

Taip pat normalu, kad ta pati programa vienu metu gali atidaryti kelis ryšius.Pavyzdžiui, naršyklė kiekvienam skirtukui ir kiekvienam ištekliui (vaizdams, scenarijams, stilių lentelėms ir kt.) užmezga skirtingus ryšius. Todėl daug atvirų ryšių nėra infekcijos sinonimas.

Tikroji problema kyla, kai „Windows“ prisijungia prie įtartinų serverių.Ypač jei tai daroma nuolat, eikvoja daug išteklių arba atsiranda neįprastose sistemos vietose (laikinuose aplankuose, vietose su rašybos klaidomis, neįprastuose kataloguose ir pan.). Būtent čia reikia ištirti.

Kaip peržiūrėti aktyvius ryšius sistemoje „Windows“ naudojant „netstat“ ir kitus įrankius

Klasikinė forma Patikrinkite, kurios jungtys jūsų kompiuteryje yra atviros sistemoje „Windows“ Jis naudoja konsolę su komanda netstatDerinant su kitomis sistemos priemonėmis, tokiomis kaip NirSoft įrankiai Galite tiksliai sužinoti, kokia programa slypi už kiekvieno ryšio.

Jei paleisite komandą terminale netstat -ano, gausite išsamus aktyvių jungčių, naudojamų prievadų, būsenos ir susijusio PID (proceso identifikatoriaus) sąrašasMatysite tiek įeinančius, tiek išeinančius ryšius ir galėsite greitai nustatyti, kurie IP adresai bendrauja su jūsų kompiuteriu.

Kitas žingsnis yra susieti tuos PID su konkrečiomis programomisNorėdami tai padaryti, galite naudoti tasklist Iš pačios konsolės arba užduočių tvarkyklės. Tokiu būdu žinosite, ar ryšį užmezga jūsų naršyklė, sistemos tarnyba, „Windows Update“ ar nežinoma programa.

Be „netstat“, „Windows“ integruoja ir Išteklių monitoriuskur skirtuke „Tinklas“ galite matyti, kurie procesai siunčia ir gauna duomenis, prie kurių adresų jie jungiasi ir kiek srauto jie sunaudoja; jei reikia giliau pasidomėti, galite sužinoti, kaip tai padaryti Įvaldykite užduočių tvarkyklę kad geriau interpretuotų tuos duomenis.

Dar gilesnei analizei, „Sysinternals“ procesų naršyklė (oficialus „Microsoft“ įrankis) leidžia matyti, kurie procesai turi atvirus interneto ryšius, kas pasirašė vykdomąjį failą, kur jis įdiegtas ir kokius kitus failus ar registro raktus jis naudoja. Geras šaltinis norint sužinoti, ar „Windows“ jungiasi prie įtartinų serverių.

Nustatykite, ar ryšys ar IP adresas yra įtartinas

Radus IP adresą arba procesą, kurio neatpažįstate, svarbiausia yra tai, kad išsiaiškinti, ar tai tikrai kažkas pavojingo arba tiesiog teisėta paslauga, apie kurią nežinojote. Štai veiksmai, kurių reikia imtis:

1. Patikrinkite IP adreso reputacijąNukopijuokite IP adresą, kuris patraukė jūsų dėmesį, ir patikrinkite jo būseną tokiose platformose kaip „VirusTotal“ arba „AbuseIPDB“. Šios svetainės nurodo, ar tas IP adresas buvo susietas su botnetais, kenkėjiškų programų serveriais, sukčiavimo atakomis ar pažeistais tarpiniais serveriais.
2. Tuo pačiu metu peržiūrėkite procesą, kuris naudoja tą IP adresą.Naudodami „netstat“ arba „Resource Monitor“ rodomą PID, atidarykite užduočių tvarkytuvę, eikite į skirtuką „Išsami informacija“ ir suraskite tą identifikatorių. Patikrinkite vykdomojo failo pavadinimą, jo kelią diske ir, jei reikia, atidarykite „Ypatybės“, kad peržiūrėtumėte tokią informaciją kaip sukūrimo data arba skaitmeninis parašas.

Jei failas yra neįprastoje vietoje, jis neturi patikimo skaitmeninio parašo. Jei pastebėsite, kad tai susiję su piratine programine įranga, nulaužimais, kodų generatoriais ar atsisiuntimais iš abejotinų šaltinių, turėtumėte įtarti. Jei abejojate, galite ieškoti vykdomojo failo pavadinimo tokiose svetainėse kaip File.net, kuriose kataloguojami daugelis įprastų procesų ir padedama nustatyti, ar tai yra sistemos programos.

Naudojant užduočių tvarkytuvę kenkėjiškiems procesams sistemoje „Windows“ ieškoti

Užduočių tvarkyklė tikriausiai yra Labiausiai neįvertintas įrankis, skirtas aptikti, ar „Windows“ jungiasi prie įtartinų serverių„Windows“ jį įtraukia pagal numatytuosius nustatymus ir, tinkamai naudojant, gali padėti jums išsisukti iš ne vienos keblios padėties.

Norėdami jį atidaryti, galite dešiniuoju pelės mygtuku spustelėti mygtuką „Pradėti“ ir pasirinkti „Užduočių tvarkyklė“ arba naudoti sparčiuosius klavišus Ctrl + Alt + Delete ir pasirinkite jį iš meniu. Patekę į vidų, skirtuke „Procesai“ matysite, kas veikia realiuoju laiku ir kiek procentų procesoriaus, atminties, disko ir tinklo išteklių sunaudoja kiekvienas elementas.

Kai įtariate, kad kažkas negerai (sulėtėja, nuolat veikia ventiliatorius, lėtas ryšys), Ieškokite procesų, kurių neatpažįstate ir kurie eikvoja daug išteklių.Paklauskite savęs: „Ar atpažįstu šią programą?“ ir „Ar logiška, kad ji šiuo metu naudoja tiek daug procesoriaus ar tinklo resursų?“

• Jei pastebėjote keistą procesą, spustelėkite jį dešiniuoju pelės mygtuku ir eikite į „Ypatybės“.Ten matysite visą failo kelią, gamintoją, versiją ir kitą informaciją, kuri padės jums nuspręsti, ar jis patikimas. Jei vis dar abejojate, galite ieškoti jo pavadinimo internete arba specializuotose svetainėse, kad patikrintumėte, ar jis klasifikuojamas kaip saugus, ar kenkėjiškas.
• Jei patvirtinate, kad tai kenkėjiškas arba labai įtartinas procesasGalite jį pasirinkti ir spustelėti „Baigti užduotį“, kad sustabdytumėte jo vykdymą. Jei tai tikrai buvo kenkėjiška programa, turėtumėte pastebėti našumo pagerėjimą, tačiau tai nereiškia, kad problema visiškai išnyko: labai svarbu iš karto po to atlikti išsamų nuskaitymą naudojant antivirusinę programinę įrangą.

Procesų valdymas macOS sistemoje ir netstat alternatyvos

Jei ir jūs turite „Apple“ įrenginių, naudinga žinoti, kad „macOS“ turi lygiavertį įrankį procesams ir ryšiams valdyti, nors prieigos metodas skiriasi. Pagrindinis įrankis čia vadinamas „Veiklos monitorius“. Tai padės mums aptikti, ar „Windows“ prisijungia prie įtartinų serverių.

Atidarę „Activity Monitor“, pamatysite visų veikiančių programų ir procesų sąrašą.Kaip ir „Windows“ sistemoje, daugelis pavadinimų gali skambėti nepažįstamai, tačiau tai nebūtinai reiškia, kad jie yra kenkėjiški. Galite spustelėti bet kurį iš jų, o tada spustelėti informacijos piktogramą („i“ viršuje), kad pamatytumėte išsamią informaciją, pvz., jų disko kelią ar naudojamą atminties procentą.

Dėl išsamesnės techninės „macOS“ ryšių analizėsTerminalas taip pat yra jūsų sąjungininkas. Komandos, tokios kaip lsof -i Jie parodo, kurie procesai naudoja tinklo prievadus ir su kuriais nuotoliniais adresais jie bendrauja, panašiai kaip „netstat“ sistemoje „Windows“.

Jei „Mac“ kompiuteryje aptikote įtartiną procesą, galite jį pasirinkti Veiklos monitoriuje. ir palieskite piktogramą „X“, kad ją uždarytumėte. Jei nepaisant visko nerandate nieko neįprasto, bet įrenginys ir toliau veikia netinkamai, pati sistema leidžia paleisti diagnostiką iš krumpliaračio piktogramos, esančios programos viršutinėje juostoje.

Praktinis įtartinų IP adresų ir procesų analizės protokolas

Kai suskamba žadintuvas, nes matai keistas IP adresas arba nežinomas procesasBlogiausia, ką galite padaryti, tai elgtis aklai. Daug efektyviau yra laikytis trumpo, nuoseklaus protokolo, kuris leidžia priimti pagrįstus sprendimus. Štai jis:

1. Rinkti informacijąAtkreipkite dėmesį į įtartiną IP adresą, PID, proceso pavadinimą ir vykdomojo failo kelią. Turėdami šią informaciją, patikrinkite IP adreso reputaciją „VirusTotal“ arba „AbuseIPDB“ ir proceso kilmę naudodami „Process Explorer“ arba failo ypatybes.
2. Blokuoti IP adresą iš „Windows“ užkardosTen galite sukurti naują išeinančių duomenų taisyklę ir pasirinkti, ar norite blokuoti pagal programą, ar pagal prievadą, kad programinė įranga nebegalėtų prisijungti prie interneto.
3. Atlikite pilną sistemos nuskaitymą naudodami antivirusinę programinę įrangą. („Windows Defender“, „Malwarebytes“ arba kita patikima programa). Leiskite jai nuskaityti visus diskus ir atkreipkite ypatingą dėmesį į failus, susietus su procesu, kurį nustatėte kaip įtartiną.
4. Dokumentuokite, kas įvykoĮtraukite aptikimo datą ir laiką, IP adresą, PID ir proceso pavadinimą, „VirusTotal“ arba „AbuseIPDB“ rezultatus ir atliktus veiksmus (blokavimą, ištrynimą, karantinavimą ir kt.). Šis nedidelis „incidentų žurnalas“ yra labai naudingas, jei panašūs simptomai vėl pasireiškia vėliau.

Kenkėjiški procesai, kenkėjiška programa ir našumas: kai jūsų kompiuteris lėtėja

Ar „Windows“ tikrai jungiasi prie įtartinų serverių? Dažnai pirmas ženklas, kad kažkas negerai, yra ne klaidos pranešimas, o tai, kad kompiuteris pradeda veikti lėčiau nei įprastai.

Daugeliu atvejų nėra pagrindo nerimautiDažnai taip nutinka todėl, kad sistema diegia atnaujinimus, vienu metu atidarytos kelios daug išteklių reikalaujančios programos arba interneto ryšį naudoja kiti namuose esantys žmonės. Tačiau kartais šį našumo sumažėjimą gali lemti fone veikianti kenkėjiška programa.

Tačiau tiesa, kad Virusai ir kitokio tipo kenkėjiškas kodas gali pasinaudoti jūsų kompiuteriu Kasti kriptovaliutas, siųsti šlamštą, dalyvauti paskirstytose atakose arba vogti informaciją. Visa tai eikvoja procesoriaus našumą, atmintį ir pralaidumą, jums to net nesuvokiant.

Nors atnaujinta antivirusinė programa gerokai sumažina riziką, joks sprendimas nėra 100 % patikimas. Kartais virusas gali prasiskverbti, ypač jei įdiegiate piratinę programinę įrangą, atidarote įtartinus el. laiškų priedus arba prijungiate USB įrenginius iš nežinomų šaltinių. Štai kodėl tai taip svarbu. žinoti, kaip atpažinti anomalius procesus ir ryšiusTai suteikia antrą apsaugos sluoksnį, be antivirusinės programos.

Geriausios praktikos, kaip sumažinti pavojingų jungčių riziką

Be „Windows“ ir jos tvarkyklių atnaujinimo, yra ir nemažai kitų įpročiai o tai smarkiai sumažina tikimybę, kad jūsų ryšiai pateks į kenkėjiškus serverius arba kad kažkas gali pasinaudoti saugumo spragomis.

• Būkite atsargūs dėl įtartinų el. laiškųAuksinė taisyklė: neatidarykite laiškų iš nežinomų siuntėjų ir neatsisiųskite netikėtų priedų, net jei jie atrodo kaip iš teisėto šaltinio. Daugelis atakų prasideda nuo paprasto sukčiavimo el. laiško.
• Kiekvienai paslaugai naudokite stiprius ir skirtingus slaptažodžiusVenkite naudoti akivaizdžią asmeninę informaciją (gimimo datas, telefono numerius, pavardes) ir rinkitės ilgus raidžių, skaičių ir simbolių derinius, pageidautina, valdomus slaptažodžių tvarkykle.
• Naršykite patikimas svetaines ir venkite atsisiuntimų iš abejotinų svetainiųTai ypač pasakytina apie nemokamas programas, nulaužtas programas, piratinį turinį ar neoficialius diegimo įrankius. Būtent čia dauguma kenkėjiškų programų maskuojasi kaip „dovana“.
• Venkite viešųjų arba atvirų „Wi-Fi“ tinklųKavinėse, oro uostuose ar prekybos centruose geriausia vengti jungtis prie bankų, įmonės el. pašto ar kitų svarbių paslaugų. Jei neturite kitos išeities, apsvarstykite galimybę naudoti VPN, kad užšifruotumėte savo srautą ir kitiems to paties tinklo vartotojams būtų sunkiau šnipinėti ar manipuliuoti jūsų ryšiais.
• Reguliariai peržiūrėkite „Windows“ užkardos nustatymus. Kad įsitikintumėte, jog jis įjungtas ir veikia. Jei įjungę jį pastebėsite, kad kai kurios teisėtos programos (pvz., naršyklės, žaidimų klientai arba susirašinėjimo programėlės) nustoja prisijungti, galite pakoreguoti konkrečias taisykles, užuot išjungę visą užkardą, o tai saugumo požiūriu yra bloga mintis.

Suprasti, ką jūsų kompiuteris veikia, kai „bendrauja“ su internetu Tai suteikia vertingą kontrolės jausmą. Suprasdami savo procesus, stebėdami ryšius ir taikydami keletą geriausių praktikų, galite sumažinti riziką, kad „Windows“ prisijungs prie tikrai pavojingų serverių, ir nereikalingą paniką dėl veiklos, kuri, nors ir triukšminga, yra visiškai normali.