我在“Oracle VM”上乱搞,并从某个网站下载了 Darkcomet。我在一台 VM 上使用 win7 ISO 下载了 Darkcomet,在另一台 VM 上使用 Kali Linux 使用内置函数检查 IP 和其他内容。我将 VM 连接到我的以太网驱动程序,我很确定它们是如何连接的。在我尝试使用 Darkcomet 后,它无法正常工作,我想我会在实际 PC 上检查我的 CMD,看看我下载的 Darkcomet 是否真的只是某人用来连接到我 PC 的病毒。我不太擅长“黑客攻击”,我不知道如何做大多数事情,但我正在努力学习。当我打开 CMD 时,我输入“netstat”以查看是否有人连接,它显示了这组内容 C:\Windows\system32>netstat
Active Connections
Proto Local Address Foreign Address State
TCP 10.0.0.15:53350 stackoverflow:https ESTABLISHED
TCP 10.0.0.15:53598 bay404-m:https ESTABLISHED
TCP 10.0.0.15:53600 65.55.223.31:40001 ESTABLISHED
TCP 10.0.0.15:53603 91.190.217.45:12350 ESTABLISHED
TCP 10.0.0.15:53609 msnbot-65-52-108-74:https ESTABLISHED
TCP 10.0.0.15:54139 40.122.209.195:https ESTABLISHED
TCP 10.0.0.15:54849 stackoverflow:https ESTABLISHED
TCP 10.0.0.15:54960 stackoverflow:https ESTABLISHED
TCP 10.0.0.15:54971 stackoverflow:https ESTABLISHED
TCP 10.0.0.15:55714 104.16.125.192:https ESTABLISHED
TCP 10.0.0.15:55757 ec2-23-21-73-17:https CLOSE_WAIT
TCP 10.0.0.15:55905 89-253-65-202:http TIME_WAIT
TCP 10.0.0.15:55908 87-92-39-181:https TIME_WAIT
TCP 10.0.0.15:55913 ip-176-199-254-241:http ESTABLISHED
TCP 10.0.0.15:55914 89-253-65-202:http ESTABLISHED
TCP 127.0.0.1:5354 lmlicenses:49156 ESTABLISHED
TCP 127.0.0.1:5354 lmlicenses:49157 ESTABLISHED
TCP 127.0.0.1:49156 lmlicenses:5354 ESTABLISHED
TCP 127.0.0.1:49157 lmlicenses:5354 ESTABLISHED
TCP [2601:8c:700:86e6:6c23:bd35:ca0:50ef]:55892 lga25s41-in-x0e:https TIM
E_WAIT
TCP [2601:8c:700:86e6:6c23:bd35:ca0:50ef]:55893 lga15s43-in-x0d:https TIM
E_WAIT
TCP [2601:8c:700:86e6:6c23:bd35:ca0:50ef]:55910 iad23s24-in-x0e:https EST
ABLISHED
TCP [2601:8c:700:86e6:6c23:bd35:ca0:50ef]:55911 iad23s43-in-x0d:https EST
ABLISHED
看到这个后,我拔掉了以太网线,进入我的网络,试图更改我的 ipv4,但我真的不知道该怎么做,还进入我的防火墙,阻止了所有入站和出站 TCP 和 UDP 端口,这使得我无法在重新插入以太网后使用除 YouTube 之外的互联网。当我阻止防火墙上的端口时,我再次检查了“netstat”,它只显示这些
TCP 127.0.0.1:5354 lmlicenses:49156 ESTABLISHED
TCP 127.0.0.1:5354 lmlicenses:49157 ESTABLISHED
TCP 127.0.0.1:49156 lmlicenses:5354 ESTABLISHED
TCP 127.0.0.1:49157 lmlicenses:5354 ESTABLISHED
所以我想知道这是否真的是有人在黑客攻击(很有可能),我有什么办法可以解决这个问题?我删除了我的 chrome 缓存,然后登录手机,检查了路由器登录信息,并检查了日志,但没有任何迹象。我还检查了手机上的“Wifi 检查器”,它没有显示任何连接到我的 wifi 的新设备,所以我认为这只是在我的 PC 上,而不是我的实际路由器上。
答案1
我怀疑你被“黑客”了,只是有点偏执。这些地址甚至可能来自简单的网页浏览,通常是已建立的 websocket。分解一下你列表上的每一项:
TCP 10.0.0.15:53350 stackoverflow:https ESTABLISHED
TCP 10.0.0.15:54849 stackoverflow:https ESTABLISHED
TCP 10.0.0.15:54960 stackoverflow:https ESTABLISHED
TCP 10.0.0.15:54971 stackoverflow:https ESTABLISHED
Stackoverflow。可能用于促进“推送”通知更新。
TCP 10.0.0.15:53609 msnbot-65-52-108-74:https ESTABLISHED
TCP 10.0.0.15:53598 bay404-m:https ESTABLISHED
TCP 10.0.0.15:53600 65.55.223.31:40001 ESTABLISHED
TCP 10.0.0.15:54139 40.122.209.195:https ESTABLISHED
TCP 10.0.0.15:53603 91.190.217.45:12350 ESTABLISHED
TCP 10.0.0.15:55714 104.16.125.192:https ESTABLISHED
波浪 超级用户网
TCP 10.0.0.15:55757 ec2-23-21-73-17:https CLOSE_WAIT
TCP 10.0.0.15:55905 89-253-65-202:http TIME_WAIT
TCP 10.0.0.15:55908 87-92-39-181:https TIME_WAIT
TCP 10.0.0.15:55913 ip-176-199-254-241:http ESTABLISHED
TCP 10.0.0.15:55914 89-253-65-202:http ESTABLISHED
这些比较难解决,其中一个看起来与网络聊天有关。怀疑它不是恶意软件。
TCP 127.0.0.1:5354 lmlicenses:49156 ESTABLISHED
TCP 127.0.0.1:5354 lmlicenses:49157 ESTABLISHED
TCP 127.0.0.1:49156 lmlicenses:5354 ESTABLISHED
TCP 127.0.0.1:49157 lmlicenses:5354 ESTABLISHED
TCP [2601:8c:700:86e6:6c23:bd35:ca0:50ef]:55892 lga25s41-in-x0e:https TIM
E_WAIT
TCP [2601:8c:700:86e6:6c23:bd35:ca0:50ef]:55893 lga15s43-in-x0d:https TIM
E_WAIT
TCP [2601:8c:700:86e6:6c23:bd35:ca0:50ef]:55910 iad23s24-in-x0e:https EST
ABLISHED
TCP [2601:8c:700:86e6:6c23:bd35:ca0:50ef]:55911 iad23s43-in-x0d:https EST
ABLISHED
列表中的内容没有任何恶意。如果有的话,我的netstat输出内容可能比这个多 4-5 倍。