¿Desaparecen archivos o aparecen nuevos archivos de datos o directorios de origen desconocido? ¿Han aparecido programas residentes en memoria, desconocidos?
¿Ha disminuido el espacio de memoria en su disco sin usted haber instalado nuevo software?
Pues entonces quizás alguien debe de
estar controlando su PC de forma remota sin usted tener la menor idea de quién
es. Alguien puede tener acceso a un computador durante meses (incluso años),
sin que su propietario lo sepa. Conviene estar pendiente a posibles anomalías
en el comportamiento de nuestra computadora, como las mencionadas
anteriormente.
Vamos pues, al grano. Para
esto usaremos el comando de red netstat y tasklist. Estos combinados tienen una
gran utilidad.
Abra la consola de comandos de Windows, y ejecute el comando netstat con su prarámetro -o. Observe bajo el título de “Dirección remota” los nombres de los equipos. Usted debe saber cómo se llama su computador. Si ve un nombre diferente, debe estar pendiente.
.png)
Es importante saber que puertos (los puertos lógicos son puntos
de acceso entre equipos para el uso de servicios y flujo de datos entre ellos)
de nuestra computadora tienen conexion establecida, cuales estan a la escucha y más aún, que programas los está
abriendo.
Como podrá observar, en la
siguiente imagen, hay una direccion remota llamada cable190…, el cual, está en estado
ESTABLISHED (tiene conexión establecida) con el puerto 57494 de mi PC.
Quiere decir que alguien
tiene conexión establecida con mi PC mediante el puerto 57494, usando un programa que
tiene como PID el numero 5796.
Me generó curiosidad saber a qué programa pertenece ese PID. Es ahí donde entra en acción el comando Tasklist. Sabiendo que el PID del programa con el cual están teniendo acceso a nuestra PC es 5796, buscaremos ese número en la lista que nos despliega el comando tasklist.
Me generó curiosidad saber a qué programa pertenece ese PID. Es ahí donde entra en acción el comando Tasklist. Sabiendo que el PID del programa con el cual están teniendo acceso a nuestra PC es 5796, buscaremos ese número en la lista que nos despliega el comando tasklist.
.png)
Bingo!! Ese PID pertenece al archivo firefox.exe, el cual se estaba ejecutando en el momento que usé el comando tasklist.
La conclusión es que la dirección remota Cable 196… tiene conexión establecida con mi PC mediante el puerto 57494, usando el archivo firefox.exe.
Afortunadamente para mí, esa direccion remota pertenece a la empresa que me presta el servicio de internet. Así que no debo preocuparme (Es obvio que quien te presta servicio de internet, puede tener acceso a tu computador).
Pero no siempre será así. Algún día quizás, algún lammer quiera controlar tu PC . Por tanto, debemos estar monitoreando el computador cada cierto lapso de tiempo, para estar al tanto de las conexiones que éste establece. Y algo más: Si usted no tiene programas habiertos, y ve que una direccion remota tiene conexion establecida con su PC, o que está a la escucha, es razón para mirar detenidamente cada archivo que se esta ejecutando, sabiendo su PID y buscándolo en la lista con Tasklist.
Saludos!!
¿Presenta conexiones raras tu PC? ¿Te pareció util?
No hay comentarios:
Publicar un comentario
Este Blog se alimenta de sus comentarios