El mes pasado he descargado algunas herramientas de hacking !!! Después de eso, tengo la fuerte sensación de que algún host intenta conectarse de nuevo a la aplicación (no sé si me han supervisado o no). ¿Hay alguna manera de comprobar esto?
La forma más rápida y sencilla sería verificar si hay procesos que mantienen un socket abierto para escuchar.
Necesita una utilidad como netstat (Unix, Mac y Windows). También hay utilidades GUI - me parece recordar tcpstat y wintcp para Windows. También Process Explorer por SysInternals y TCPView.
Estas utilidades le proporcionarán los puertos abiertos que se están utilizando y el ID de proceso del proceso propietario. Luego debe verificar si el proceso es legítimo o no, y puede buscar el número de puerto en Google.
Además, puede ejecutar un análisis antivirus / antimalware para ver si hay amenazas conocidas activas.
Y puede hacer algo rápido y sucio, como escanear el sistema en busca de archivos de cambios recientes (habrá muchos de ellos), revisar los cambios para determinar si son legítimos o no.
En, digamos, un sistema de Windows, archivos creados recientemente con extensiones ejecutables (.exe, .scr, .com, .dll, .pif, .lnk, .bat, .cmd, .ps1) son los principales sospechosos a menos que sabes que son inofensivos Los archivos como .htm, .html y .js que se encuentran fuera del directorio del navegador tampoco son confiables (a menos que sea un desarrollador web y esos sean los archivos su ). Los archivos modificados recientemente con las mismas características también son sospechosos: un virus lo suficientemente avanzado puede ocultar fácilmente dentro de otro ejecutable ( y probablemente también restablecería su modificación hora y fecha para que no note nada, por lo tanto, si bien un cambio es sospechoso, no detectar cambios es no una garantía a menos que tenga al menos un conjunto de archivos de confianza firmas de antemano, guardadas en un lugar de confianza y una forma confiable de verificarlas, por ejemplo, el CD de arranque de Tripwire o la llave USB. El sistema operativo generalmente proporciona cierto nivel de defensa, por ejemplo, Windows tiene SFC y Linux tiene AppArmor, pero están lejos de ser una bala de plata).
Finalmente, puede monitorear los cambios del sistema con su fecha (claves de registro, scripts de inicialización y tareas).
Estos son enfoques rápidos, relativamente fáciles y simples, y probablemente no detectarán amenazas más avanzadas, como rootkits y virus "ocultos". En ese caso, también hay utilidades de detección de rootkits (tanto de compañías antivirus como ESET, y de fuentes bien conocidas como Rootkit Revealer o rkhunter).
Todavía más amenazas avanzadas: los paquetes que saben y tratan de eludir activamente las estrategias de detección de rootkits existen, no son tan probables como un troyano directo de "zócalo abierto y al acecho", y requiere un considerable conocimiento para operar.
-
Y es por eso que no solo descarga y ejecuta 'aplicaciones de pirateo' en una máquina no desechable sin saber exactamente lo que está haciendo y / o cómo monitorear dicha máquina, o listo para atacar desde la órbita después, limpiarlo y volver a instalarlo todo (e incluso esto tiene una probabilidad muy pequeña: lo mismo de haber molestado a la NSA, el Mossad o tipos igualmente tranquilos) de no es suficiente. Debería ser un ataque personalizado, pero existe).
Lea otras preguntas en las etiquetas backdoor server monitoring