Како да откриете дали Windows се поврзува со сомнителни сервери

Можеби сте забележале дека вие Windows се поврзува со сомнителни сервери што не ги препознавате и сте се прашувале дали вашиот компјутер е хакиран. Во тие случаи, нормално е да бидете вознемирени. Помеѓу антивирусните предупредувања, предупредувањата од заштитен ѕид и бескрајните листи на врски, нормално е да се чувствувате преоптоварени и да не знаете како да разликувате што е нормално од она што може да биде опасно.

Реалноста е дека Windows постојано комуницира со Интернет.Потребни ви се врски за ажурирање, валидација на лиценци, синхронизација на податоци или едноставно за да се осигурате дека вашите програми функционираат правилно. Проблемот се јавува кога непозната, погрешно конфигурирана или целосно злонамерна апликација почнува да се поврзува со сомнителни сервери без ваше знаење. Оваа статија ќе ви покаже како да ги идентификувате овие врски, како да утврдите дали се легитимни и што да направите за да го заштитите вашиот компјутер.

Зошто Windows се поврзува со толку многу сервери (а тоа не е секогаш лошо)

Кога првпат ќе ги погледнете конекциите на вашиот компјутер, тоа е вистински шок: десетици IP адреси, чудни порти и процеси со имиња за кои никогаш не сте слушнале. Логично е да се помисли: „Нешто чудно се случува овде“, но Голем дел од таа активност е целосно легитимна и безопасна за вашиот компјутер.

Windows и многу апликации имаат потреба поврзете се со доверливи сервери За најрутинските задачи: преземање ажурирања, проверка на дигитални потписи, синхронизирање датотеки, прикачување реклами или статистика за користење, валидација на лиценци итн. На пример, Windows UpdateВашиот прелистувач, вашиот клиент за е-пошта или дури и едноставен уредувач на текст може да се поврзуваат во позадина.

Исто така е нормално истата програма да отвори неколку истовремени конекции.На пример, прелистувачот воспоставува различни врски за секој таб и за секој ресурс (слики, скрипти, стилски листови итн.). Затоа, гледањето многу отворени врски не е синоним за инфекција.

Вистинскиот проблем се јавува кога Windows се поврзува со сомнителни сервери.Особено ако тоа го прави постојано, троши многу ресурси или се појавува на необични системски локации (привремени папки, погрешно напишани локации, невообичаени директориуми итн.). Тука треба да истражите.

Како да ги видите активните врски во Windows користејќи netstat и други алатки

Класичната форма на Проверете кои конекции се отворени на вашиот компјутер во Windows Ја користи конзолата со командата netstatКомбинирајќи го со други системски алатки како што се Алатки од NirSoft Можете точно да откриете која програма стои зад секоја врска.

Ако ја извршите командата во терминалот netstat -ano, ќе добиете детална листа на активни конекции, користени порти, статус и поврзан PID (идентификатор на процес)Ќе ги видите и дојдовните и појдовните конекции и ќе можете брзо да идентификувате кои IP адреси комуницираат со вашиот компјутер.

Следниот чекор е да ги поврзете тие PID-а со специфични програмиЗа да го направите ова, можете да користите tasklist Од самата конзола или од менаџерот на задачи. На овој начин ќе знаете дали поврзувањето се воспоставува преку вашиот прелистувач, системска услуга, Windows Update или непозната апликација.

Покрај netstat, Windows го интегрира и Монитор на ресурсикаде, во табулаторот Мрежа, можете да видите кои процеси испраќаат и примаат податоци, на кои адреси се поврзуваат и колку сообраќај трошат; ако треба подлабоко да навлезете, можете да научите како да Совладајте го менаџерот на задачи за подобро да ги протолкуваат тие податоци.

За уште подлабока анализа, Истражувач на процеси на Sysinternals (Официјалната алатка на Microsoft) ви овозможува да видите кои процеси имаат отворени интернет конекции, кој ја потпишал извршната датотека, каде е инсталирана и кои други датотеки или регистарски клучеви ги користи. Добар ресурс за откривање дали Windows се поврзува со сомнителни сервери.

Идентификувајте дали врската или IP адресата се сомнителни

Откако ќе пронајдете IP адреса или процес што не го препознавате, важно е за да се открие дали е навистина нешто опасно или едноставно легитимна услуга за која не сте биле свесни. Еве ги чекорите што треба да ги следите:

1. Испитајте ја репутацијата на IP адресатаКопирајте ја IP-адресата што ви го привлече вниманието и проверете го нејзиниот статус на платформи како VirusTotal или AbuseIPDB. Овие веб-страници покажуваат дали таа IP-адреса е поврзана со ботнети, сервери со малициозен софтвер, фишинг напади или компромитирани прокси-сервери.
2. Паралелно, прегледајте го процесот што ја користи таа IP адреса.Користејќи го PID-от прикажан од netstat или Resource Monitor, отворете го Task Manager, одете на табулаторот „Детали“ и пронајдете го тој идентификатор. Проверете го името на извршната датотека, нејзината патека на дискот и, доколку е потребно, отворете го „Својства“ за да видите информации како што се датумот на креирање или дигиталниот потпис.

Ако датотеката се наоѓа на необична локација, таа нема сигурен дигитален потпис. Ако откриете дека е поврзано со пиратски софтвер, кракови, генерирање клучеви или преземања од сомнителни извори, треба да бидете сомничави. Ако се сомневате, можете да го пребарате името на извршната датотека на веб-страници како File.net, кои каталогизираат многу вообичаени процеси и помагаат да се утврди дали се системски програми или не.

Користење на менаџерот на задачи за пребарување на малициозни процеси во Windows

Менаџерот на задачи е веројатно Најпотценетата алатка за откривање дали Windows се поврзува со сомнителни сервериWindows го вклучува по дифолт и, кога се користи правилно, може да ве извлече од повеќе од една тешка ситуација.

За да го отворите, можете да кликнете со десното копче на копчето „Старт“ и да изберете „Управувач со задачи“ или да ја користите кратенката на тастатурата. Ctrl + Alt + Избриши и изберете го од менито. Откако ќе влезете внатре, во табулаторот „Процеси“ ќе видите што работи во реално време и колкав процент од процесорот, меморијата, дискот и мрежата троши секој елемент.

Кога се сомневате дека нешто не е во ред (забавување, вентилаторот работи постојано, бавна конекција), Барајте процеси што не ги препознавате и кои трошат многу ресурси.Запрашајте се: „Дали ја препознавам оваа апликација?“ и „Дали има смисла што користи толку многу процесор или мрежа во моментов?“

• Ако идентификувате чуден процес, кликнете со десното копче на глувчето и одете во „Својства“Таму ќе ја видите целосната патека на датотеката, производителот, верзијата и други информации што ќе ви помогнат да одлучите дали е доверлива. Ако сè уште имате сомнежи, можете да го пребарате нејзиното име на интернет или на специјализирани веб-страници за да проверите дали е класифицирана како безбедна или злонамерна.
• Ако потврдите дека станува збор за злонамерен или многу сомнителен процесМожете да го изберете и да кликнете на „Заврши задача“ за да го запрете неговото извршување. Ако навистина станува збор за малициозен софтвер, треба да забележите подобрување на перформансите, но тоа не значи дека проблемот е целосно исчезнат: важно е веднаш потоа да извршите целосно скенирање со вашиот антивирусен софтвер.

Контрола на процеси во macOS и алтернативи на netstat

Доколку имате и Apple уреди, корисно е да знаете дека macOS има еквивалентна алатка за контролирање на процесите и врските, иако методот на пристап е различен. Клучната алатка овде се нарекува „Монитор на активности“. Тоа е оној што ќе ни помогне да откриеме дали Windows се поврзува со сомнителни сервери.

Кога ќе го отворите Activity Monitor, ќе видите список на сите апликации и процеси што работатИсто како и во Windows, многу од имињата можеби не ви звучат познато, но тоа не значи автоматски дека се злонамерни. Можете да кликнете на кое било од нив, а потоа да кликнете на иконата за информации („i“ на врвот) за да видите детали како што се нивната патека на дискот или процентот на меморија што ја користат.

За подетална анализа на врските во macOSТерминалот е исто така ваш сојузник. Команди како lsof -i Тие ви покажуваат кои процеси користат мрежни порти и со кои далечински адреси комуницираат, слично на netstat во Windows.

Ако откриете сомнителен процес на вашиот Mac, можете да го изберете во Activity Monitor. и допрете ја иконата „X“ за да ја затворите. И, ако и покрај сè не најдете ништо необично, но уредот продолжува да работи неправилно, самиот систем ви овозможува да извршите дијагностика од иконата за запчаник што се наоѓа во горната лента на апликацијата.

Практичен протокол за анализа на сомнителни IP адреси и процеси

Кога алармот ќе се вклучи затоа што гледате чудна IP адреса или непознат процесНајлошото нешто што можете да го направите е да дејствувате слепо. Многу е поефикасно да следите краток, чекор-по-чекор протокол што ви овозможува да донесувате информирани одлуки. Еве го:

1. Собери информацииЗабележете ја сомнителната IP адреса, PID, името на процесот и патеката до извршната датотека. Со овие информации, проверете ја репутацијата на IP адресата на VirusTotal или AbuseIPDB и потеклото на процесот користејќи го Process Explorer или својствата на датотеката.
2. Блокирај IP адреса од Windows FirewallТаму можете да креирате ново правило за излез и да изберете дали сакате да блокирате по програма или по порт, така што софтверот повеќе не може да се поврзе на Интернет.
3. Извршете целосно скенирање на системот со вашиот антивирусен софтвер. (Windows Defender, Malwarebytes или друго доверливо решение). Дозволете му да ги скенира сите дискови и обрнете посебно внимание на датотеките поврзани со процесот што сте го идентификувале како сомнителен.
4. Документирајте што се случилоВклучете го датумот и времето на откривање, IP адресата, PID и името на процесот, резултатите од VirusTotal или AbuseIPDB и дејствијата што сте ги презеле (блокирање, бришење, ставање во карантин итн.). Овој мал „дневник на инциденти“ е многу корисен ако слични симптоми се појават повторно подоцна.

Малициозни процеси, малициозен софтвер и перформанси: кога вашиот компјутер забавува

Дали Windows навистина се поврзува со сомнителни сервери? Честопати, првиот знак дека нешто не е во ред не е порака за грешка, туку дека компјутерот почнува да работи побавно од вообичаеното.

Во повеќето случаи, нема причина за загриженостЧестопати, ова се случува затоа што системот инсталира ажурирања, неколку апликации што трошат многу ресурси се отворени истовремено или интернет-врската ја користат други луѓе во куќата. Но, понекогаш, ова намалување на перформансите може да се должи на малициозен софтвер што работи во позадина.

Сепак, вистина е дека Вирусите и другите видови на малициозен код можат да го искористат вашиот компјутер За рударење криптовалути, испраќање спам, учество во дистрибуирани напади или кражба на информации. Сето ова троши процесор, меморија и пропусен опсег без вие дури и да го сфатите тоа.

Иако поседувањето ажуриран антивирус значително го намалува ризикот, ниедно решение не е 100% сигурно. Повремено, може да се протне вирус, особено ако инсталирате пиратски софтвер, отворате сомнителни прилози во е-пошта или поврзувате USB уреди од непознати извори. Затоа е толку важно. знаење како да се идентификуваат аномални процеси и врскиВи дава втор слој на одбрана покрај антивирусот.

Најдобри практики за намалување на ризикот од опасни врски

Покрај ажурирањето на Windows и неговите драјвери, постојат голем број на навики што драстично ги намалува шансите вашите врски да завршат на злонамерни сервери или дека некој би можел да ги искористи безбедносните пропусти.

• Бидете внимателни со сомнителни е-поракиЗлатно правило: Не отворајте пораки од непознати испраќачи или не преземајте неочекувани прилози, дури и ако изгледаат како да се од легитимен извор. Многу напади започнуваат со едноставна фишинг е-пошта.
• Користете силни и различни лозинки за секоја услугаИзбегнувајте користење очигледни лични информации (датуми на раѓање, телефонски броеви, семејни имиња) и одлучете се за долги комбинации од букви, броеви и симболи, по можност управувани со менаџер за лозинки.
• Прелистувајте доверливи веб-страници и избегнувајте преземања од сомнителни странициОва е особено точно кога станува збор за бесплатни програми, кракови, пиратска содржина или неофицијални инсталатери. Тука повеќето малициозни програми се маскираат како „подарок“.
• Избегнувајте јавни или отворени WiFi мрежиВо кафулиња, аеродроми или трговски центри, најдобро е да избегнувате најавување во банки, корпоративна е-пошта или други критични услуги. Доколку немате друга опција, размислете за користење на VPN за шифрирање на вашиот сообраќај и отежнување на другите корисници на истата мрежа да ги шпионираат или манипулираат вашите врски.
• Редовно проверувајте ги поставките на вашиот Windows Firewall. За да се осигурате дека е овозможено и работи. Ако, откако ќе го овозможите, забележите дека некои легитимни апликации (како што се прелистувачи, клиенти за игри или апликации за пораки) престанат да се поврзуваат, можете да прилагодите одредени правила наместо да го оневозможите целиот заштитен ѕид, што е лоша идеја од безбедносна гледна точка.

Разбирање што прави вашиот компјутер кога „комуницира“ со интернет Ви дава вредно чувство на контрола. Со разбирање на вашите процеси, следење на врските и примена на неколку најдобри практики, можете да го минимизирате и ризикот од поврзување на Windows со навистина опасни сервери и непотребната паника поради активности кои, иако се бучни, се сосема нормални.