ネットワーク詳しい人助けて!!!!

1 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 20:56:22.022 ID:5Whi6YsB0
TcpMonitor立ち上げたら不審な通信があって、この通信の根元が解らない

レス1番の画像サムネイル

この「hosted~」ってホストと不定期にUDP通信してるんだけど、PID出ないから良く解らない
ブラウザ落としても不定期にUDP通信してるし、今まで見たことないホストでググっても情報殆どない
IP変更を両方(ルータ再起動でv4のIP変更、ipv6に変更)試したけど、UDP通信は止まらない

ちょくちょく通信やプロセスは見てるんだけど、今回のはあまりに不審だし見に覚えない…誰か助けて!

2 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 20:57:02.586 ID:mjj4eXKX0
身に な?(´・ω・`)丿
3 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 20:58:20.557 ID:WcTsxX2T0
ブロックしろよ
6 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 20:59:54.298 ID:mQ9doUpO0
>>3
ブロックwwwwwwwww
馬鹿すぎ
9 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 21:00:16.607 ID:5Whi6YsB0
普通こちらか能動的なセッションが保たれていたらIP変えれば通信止まるもんね
でも、ipv4とv6両方試してIP変えたけどすぐhosted~のホストとUDP(UL)通信が始まるから、
もしかしてウイルスやら何か感染してるのかなってプロセス見ても、特別怪しそうなのなくて解らない…

>>3
ブロックは出来るけども、もしウイルスとかだったら面倒くさいから根本を絶ちたい
でもウイルスにかかるような身におぼえないし、IP変えても通信してるからこっちから送ってるわけだよね
通信の挙動だけ見るとトロイっぽくて凄く怖い

4 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 20:59:30.895 ID:WcTsxX2T0
取り敢えずそのポートとIDをブロックリストにぶち込んどけ
7 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 20:59:56.729 ID:9V2s9R8I0
社内seなら失格だな
初動がおかしい。
まずはLAN抜いて初期化するぜ
8 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 20:59:59.347 ID:3xerQd6G0
↑みろ
11 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 21:02:23.200 ID:5Whi6YsB0
>>8
ゲームとかやってないしSteamとかも入ってないのに何だろこれ
ホストでググると16年前の記事で中華スパムとか出るけど記事が古すぎてなんとも…
13 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 21:02:32.466 ID:3xerQd6G0
>>8
誤爆した
10 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 21:01:15.719 ID:mQ9doUpO0
ブロック馬鹿はほっといていいよ多分なんも知らないやつ
14 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 21:04:26.066 ID:5Whi6YsB0
>>10
この通信の根源を特定するにはどうしたらいいのか
バイナリ見ても良く解んないし…
12 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 21:02:25.957 ID:SmJgIDE10
edpかedr
15 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 21:05:35.032 ID:3xerQd6G0
ってかプロセス番号確認してタスクマネージャでその番号のプロセス見ればプログラムの特定はできるだろ…
16 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 21:07:46.890 ID:5Whi6YsB0
>>15
TcpMonitorでPID出ないんだけどどうやって見れば良い?
画像の通りChromeとかはPID出てるけどhosted~は出てない
17 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 21:08:25.155 ID:3xerQd6G0
>>16
右クリックしてコピーからできるだろ
18 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 21:09:58.620 ID:vcM5/wWf0
通信が嫌ならホスト名なり何なりで塞いじゃえばいいし、
どうしても根本から止めたいけどプロセスわからない言うなら、消去法で他のプロセスどんどn止めていけば分かるんじゃないの
20 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 21:17:44.205 ID:5Whi6YsB0
無理か…
22 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 21:18:51.998 ID:kU4cP5VV0
管理者で起動しろよマヌケすぎ
23 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 21:20:20.352 ID:wt1Kz+WM0
ネットワーク監視の派遣やってたことあるが、何も考えずにアラート報告してただけだから、よくわからん
24 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 21:23:12.407 ID:3xerQd6G0
管理者権限のコマンドプロンプトでnetstat -anobやれば一発で特定できる
27 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 21:28:03.568 ID:5Whi6YsB0
>>24
PID特定できました、svchostでした
ググってみたらsvchostってトロイがよく寄生するらしい
なんか怖くなってきた
28 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 21:30:15.767 ID:3xerQd6G0
>>27
プロセスの実行ファイルの場所を確認しろ

それが変な場所なら偽装プロセス

31 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 21:43:15.127 ID:5Whi6YsB0
>>28
特定できたと思ってたけど違ったっぽい
プロセスでちゃんと「使用され続けてるポート」じゃないとコマンドで出ないよね
たくさんtcpmonitorで観測できるポートを何度もnetstat -anobして調べたけど一致するポートが出てこない
一応念のため近いポートで使われてたsvchostは全部調べたけどディレクトリは全て正規の所だった
ちなみにtcpmonitorも管理者権限でやってみたけどPID出なかった
29 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 21:31:19.372 ID:VIhNg0EI0
そういえばXPとかセブンの時はタスクマネージャでサービス追えなかったけど10だとどのサービスか簡単に出せるようになってるよね
30 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 21:36:13.263 ID:VIhNg0EI0
全く関係ないけどWiresharkって一時期ダウンロードできなくなってた記憶があるんだけど俺の記憶違い?
32 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 21:45:19.107 ID:rHLfmAR00
ブロック馬鹿にしてる人いるけどなんで?
そんなに変なことなの?
33 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 21:45:27.292 ID:kU4cP5VV0
Microsoft Message Analyzerはもう消えた
34 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 21:46:08.205 ID:5Whi6YsB0
通信する一瞬だけプロセス動いてすぐ死んでんのかな
今根気よくnetstat -anob連打してTCPMoniorと照合作業してるけどポートが全く合わない…
35 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 21:50:13.381 ID:kU4cP5VV0
困ったらとりまAPI Monitor使え
36 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 21:52:58.115 ID:5Whi6YsB0
うーむ、解らないからとりあえずsvchostの中見てみる…
37 名前:匿名のゴリラ 投稿日時:2020/02/01(土) 21:55:24.012 ID:5Whi6YsB0
svchostの中身も怪しい物なかった、これはお手上げ
大人しくルータでipリジェクトしとくしかないか

コメント一覧

タイトルとURLをコピーしました