Cómo averiguar por qué tantos hosts están hablando con una IP que está en la lista negra

Navega tus respuestas
1

En mi herramienta SIEM, recibí varias alertas para la comunicación con sitios de malware desde el firewall de Palo Alto.
He visto muchas comunicaciones salientes desde IP internas hacia IP: 74.217.31.51 con nombre de host: match.basebanner.com que tiene muchos dominios en la lista negra a los que se está comunicando el host interno.

Referencia:
enlace
enlace

Ahora necesito averiguar por qué estas máquinas se comunican con estas IP. ¿Cómo rastrearlos y qué remediación adecuada debo recomendar a mi cliente para manejarlos?

    
pregunta santosh407 04.12.2015 - 18:33
fuente

2 respuestas

1

Dígale a su cliente que necesita ejecutar análisis de virus en las IP de origen e inspeccionar los navegadores de esas máquinas. También pueden ejecutar netstat en las máquinas con Windows:

netstat -a -o -p TCP

Eso les mostrará el proceso que inició cada conexión TCP.

Una vez que sepan qué está activando las conexiones, pueden planificar cómo abordar el problema.

    
respondido por el schroeder 04.12.2015 - 18:40
fuente
1

Si entiendo su infraestructura correcta, en el cliente, use: 

$ lsof | grep <blacklisted-IP>

Este comando mostrará una lista de todos los archivos abiertos. En su caso, abra sockets TCP. El grep descubrirá si está en el otro extremo del zócalo. Esto funciona en linux.

    
respondido por el sandyp 04.12.2015 - 18:45
fuente

Lea otras preguntas en las etiquetas

Aplicación que usa el token USB para asignar usuarios en un servidor En la práctica, ¿EK realmente descifra TPM SRK antes de descifrar sus claves secundarias?