Encontré una pregunta desde aquí: enlace Pero no estoy seguro de cuál es su respuesta. Aquí está la pregunta y me pide que averigüe todas las entradas sospechosas:
Proto Local Address Foreign Address State
TCP 0.0.0.0:53 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5357 0.0.0.0:0 LISTENING
TCP 192.168.1.4:53 91.198.117.247:443 CLOSE_WAIT
TCP 192.168.1.4:59393 74.125.224.39:443 ESTABLISHED
TCP 192.168.1.4:59515 208.50.77.89:80 ESTABLISHED
TCP 192.168.1.4:59518 69.171.227.67:443 ESTABLISHED
TCP 192.168.1.4:59522 96.16.53.227:443 ESTABLISHED
TCP 192.168.1.4:59523 96.16.53.227:443 ESTABLISHED
TCP 192.168.1.4:53 208.71.44.30:80 ESTABLISHED
TCP 192.168.1.4:59538 74.125.224.98:80 ESTABLISHED
TCP 192.168.1.4:59539 74.125.224.98:80 ESTABLISHED
Hasta ahora, he descubierto que las primeras 4 entradas no deberían ser un problema. Puerto 53 (DNS), 135 (rpc), 445 (SMB), 5357 (servicio de algunas ventanas) Y esta entrada debe ser sospechosa ya que el servicio DNS se conecta al servicio HTTP
TCP 192.168.1.4:53 208.71.44.30:80 ESTABLISHED
¿Alguien puede decirme si hay alguna otra entrada sospechosa o si me olvido de algo importante? En realidad, veo que hay varias conexiones a la misma dirección IP en el puerto 80 (y 443). ¿Es normal?
Gracias.