- TcpMonitor立ち上げたら不審な通信があって、この通信の根元が解らない
この「hosted~」ってホストと不定期にUDP通信してるんだけど、PID出ないから良く解らない
ブラウザ落としても不定期にUDP通信してるし、今まで見たことないホストでググっても情報殆どない
IP変更を両方(ルータ再起動でv4のIP変更、ipv6に変更)試したけど、UDP通信は止まらないちょくちょく通信やプロセスは見てるんだけど、今回のはあまりに不審だし見に覚えない…誰か助けて!
- 身に な?(´・ω・`)丿
- ブロックしろよ
- >>3
ブロックwwwwwwwww
馬鹿すぎ - 普通こちらか能動的なセッションが保たれていたらIP変えれば通信止まるもんね
でも、ipv4とv6両方試してIP変えたけどすぐhosted~のホストとUDP(UL)通信が始まるから、
もしかしてウイルスやら何か感染してるのかなってプロセス見ても、特別怪しそうなのなくて解らない…>>3
ブロックは出来るけども、もしウイルスとかだったら面倒くさいから根本を絶ちたい
でもウイルスにかかるような身におぼえないし、IP変えても通信してるからこっちから送ってるわけだよね
通信の挙動だけ見るとトロイっぽくて凄く怖い - 取り敢えずそのポートとIDをブロックリストにぶち込んどけ
- 社内seなら失格だな
初動がおかしい。
まずはLAN抜いて初期化するぜ - ↑みろ
- >>8
ゲームとかやってないしSteamとかも入ってないのに何だろこれ
ホストでググると16年前の記事で中華スパムとか出るけど記事が古すぎてなんとも… - >>8
誤爆した - ブロック馬鹿はほっといていいよ多分なんも知らないやつ
- >>10
この通信の根源を特定するにはどうしたらいいのか
バイナリ見ても良く解んないし… - edpかedr
- ってかプロセス番号確認してタスクマネージャでその番号のプロセス見ればプログラムの特定はできるだろ…
- >>15
TcpMonitorでPID出ないんだけどどうやって見れば良い?
画像の通りChromeとかはPID出てるけどhosted~は出てない - >>16
右クリックしてコピーからできるだろ - 通信が嫌ならホスト名なり何なりで塞いじゃえばいいし、
どうしても根本から止めたいけどプロセスわからない言うなら、消去法で他のプロセスどんどn止めていけば分かるんじゃないの - 無理か…
- 管理者で起動しろよマヌケすぎ
- ネットワーク監視の派遣やってたことあるが、何も考えずにアラート報告してただけだから、よくわからん
- 管理者権限のコマンドプロンプトでnetstat -anobやれば一発で特定できる
- >>24
PID特定できました、svchostでした
ググってみたらsvchostってトロイがよく寄生するらしい
なんか怖くなってきた - >>27
プロセスの実行ファイルの場所を確認しろそれが変な場所なら偽装プロセス
- >>28
特定できたと思ってたけど違ったっぽい
プロセスでちゃんと「使用され続けてるポート」じゃないとコマンドで出ないよね
たくさんtcpmonitorで観測できるポートを何度もnetstat -anobして調べたけど一致するポートが出てこない
一応念のため近いポートで使われてたsvchostは全部調べたけどディレクトリは全て正規の所だった
ちなみにtcpmonitorも管理者権限でやってみたけどPID出なかった - そういえばXPとかセブンの時はタスクマネージャでサービス追えなかったけど10だとどのサービスか簡単に出せるようになってるよね
- 全く関係ないけどWiresharkって一時期ダウンロードできなくなってた記憶があるんだけど俺の記憶違い?
- ブロック馬鹿にしてる人いるけどなんで?
そんなに変なことなの? - Microsoft Message Analyzerはもう消えた
- 通信する一瞬だけプロセス動いてすぐ死んでんのかな
今根気よくnetstat -anob連打してTCPMoniorと照合作業してるけどポートが全く合わない… - 困ったらとりまAPI Monitor使え
- うーむ、解らないからとりあえずsvchostの中見てみる…
- svchostの中身も怪しい物なかった、これはお手上げ
大人しくルータでipリジェクトしとくしかないか - こんなとこで聞いてまともな答え期待するのが間違ってるw
- セッションモニターのところにはどういう風に出てくるの?
- >>39
セッションはhosted関係は何も出ないよ、ずっと待って凝視してても出なかった
その間IP監視モニタにはhostedが載ってるんだけどね、セッションモニタを同時に見れないし…
そもそもhostedへの通信始めが必ずUDPだから、セッション確立せずに一方的にパケット送ってるだけの可能性がある - UDPだとそうなるのか
WIN10のリソースモニターとかでは見えないの?
ネットワークのタブで送信してるプロセスとか見れるけど - 見えないと思う多分、ローカルのICMP通信にPIDが出ないのと同じように、
管理者権限だろうと何だろうと出ないから、もう特定無理そうだからリジェクトするわ - どこでキャプチャしてどっち向けの通信なの?
- リジェクトする前にパケットキャプチャして何送ってるか確認したら?
- アスキーでデコードしてもなんも意味わからないバイナリなら分からんな
- 特定できそうな文字列とかパラメータがないから無理っぽい
どんなプロセスかも何送ってるかも解らないのにIP変更してもUDPでULし続けてる
ほんと怖い、マルウェアとかトロイ関連ならプロセス解るだろうし、ほんと意味不明 - まってまってまって、ちょっと怪しい事になってきた
やばいやばいやばい - なに
- netstat -anobかけたらsvchostがUDPでポート:1900使ってる
で、ググったら警視庁がSSDPリフレクション攻撃の警告PDF出してた
「 UDP を利用するプロトコルを悪用するリフレクター攻撃 」「ほとんどすべてが疑似ランダムの送信元ポートからの攻撃」って当てはまってるし、
「1900のUDPを遮断するとオンラインゲームに接続できなくなる可能性があります」って書いてあるけど、
hosted~~~~i3d.netの「i3d.net」ってオンラインゲーム用のサーバーらしいんだよねつまり、踏み台にされてるって事かもしれない、いやーまじかーやべえ
- だめだでも結局根本的な所が解らないから憶測でしかない
諦めてリジェクトする、はぁ…俺に技術と知識があればこんな事には…
くそったれ - ネットワーク板で聞きなよ
- とりあえず部屋の掃除だけはしておけよ…
- パケットキャプチャして何の通信か見ろ
- あああああああやっぱ踏み台だあああああああああああ
記事になってらあああああああああああああああああああ
ASCIIで5年前に記事になってら…SSDP攻撃の踏み台になってたマシンからーム業界の鯖を狙い撃ちしてるんだってよ
家庭用のマシンやルータ・プリンタがが踏み台にされて、
大手ゲーム業界の鯖にDDosかける攻撃に加担させられるらしい
i3d.netがゲームIP用の鯖って、まんまこれじゃん…あーあ犯罪に加担した事になるんかこれあー最悪
ネットワーク詳しい人助けて!!!!
VIP
コメント一覧