MegaLab.it

Carissimi,

desidererei, gentilmente, un aiutino per capire meglio come sfruttare le info ( processo che accede ad internet, porta utilizzata, indirizzo IP etc) ricavate dal firewall.

In generale come si può sfruttare ad uso e consumo proprio l'IP ricavato per controllare che non ci siano in atto problemi di Privacy?

In particolare descrivo il seguente caso:

Analizzando il firewall ( Comodo ) ho visto che il processo svchost.exe punta verso il seguente indirizzo 77.109.168.74.
Da una indagine fatta ho ricavato che l'IP appartiene all'organizzazione Akamai Amsterdam.( posto la pagina che ho utilizzato per interrogare il database IP Whois http://whatismyipaddress.com/ip/77.109.168.74)

Adesso la domanda è:
come faccio a capire se questa connessione del processo di sistema svchost.exe è legitttima?
Che tipo di informazioni svchost trasmette verso l'IP 77.109.168.74?
In particolare quale servizio di quelli caricati in memoria da svchost.exe, punta verso l'IP in questione?
Se si tratta di un servizio indispensabile o di cui si può fare a meno?

Non ho ben capito di cosa si occupa questa società Akamai Amsterdam! ( sembrerebbe che offra soluzioni per monitorare le prestazioni di siti o comunque traffico web).
Probabilemte devo aver scaricato qualche software in precedenza che ha installato un servizio avente come scopo quello di comunicare informazioni relative al mio utilizzo della rete? Boh?

Che ne dite?





Pp

Pulcepiccola ha scritto:Akamai

Si occupa di un sacco di cose da quello che mi risulta. Tutte legittime (si spera).

come faccio a capire se questa connessione del processo di sistema svchost.exe è legitttima?

direi capendo quale programma la lancia.

Che tipo di informazioni svchost trasmette verso l'IP 77.109.168.74?

Qui andiamo sul difficile. Qualche sniffer di rete che legge i dati trasmessi?
(ma qui siamo fuori dal mio campo quindi non chiedermi come farlo)

In particolare quale servizio di quelli caricati in memoria da svchost.exe, punta verso l'IP in questione?

Direi che potresti provare con process explorer e current ports della nirsoft.

Ciao Crazy.cat,

grazie molto per le delucidazioni.

Quindi riepilogando le cose da fare sono due:

come faccio a capire se questa connessione del processo di sistema svchost.exe è legitttima?


direi capendo quale programma la lancia.

In riferimento a questo punto, se non ho capito male, dovrei indagare qual è il programma che lancia il processo svchost.exe?
Allora per trovare il processo svchost.exe ( considerando che sono diversi) comodo mi fornisce il PID e quindi ok!
Ma come si procede per identificare il programma che lancia quel particolare processo svchost.exe che a sua volta si occupa di caricare il servizio che punta a Akamai?

In particolare quale servizio di quelli caricati in memoria da svchost.exe, punta verso l'IP in questione?


Direi che potresti provare con process explorer e current ports della nirsoft.

La seconda cosa da fare potrebbe essere attraverso Svchost Viewer vedere i dettagli delle varie istanze del processo svchost.exe ( cioè scoprire il nome dei vari servizi caricati da quel particolare processo svchost.exe) poi andare su
Google oppure Andare in start > esegui…; Digitare services.msc e premere il tasto Invio; e poi cercare il nome del servizio e trovare informazioni sul servizio.
Poi con Process Explorer capire quali sono le ddl legate a quel particolare svchost.exe e indagare su Google ( con la speranza di trovare info relative alla funzione da esse svolta o postarle a Virustotal per capire se sono pulite)

Current ports mi dice il processo svchost.exe a quale sito punta e la relativa porta o fornisce anche altre info?

ancora



Pp

Pulcepiccola ha scritto:o fornisce anche altre info?

Non mi sembra dica molto altro, devi provare la combinazione dei programmi e confrontare i dati se riesci a capire qualcosa.
Fai prima a provare che a chiedere...magari quando hai i dati si può provare a capirci qualcosa.

crazy.cat ha scritto:

Pulcepiccola ha scritto:o fornisce anche altre info?

Non mi sembra dica molto altro, devi provare la combinazione dei programmi e confrontare i dati se riesci a capire qualcosa.
Fai prima a provare che a chiedere...magari quando hai i dati si può provare a capirci qualcosa.

Crazy.cat,

non appena faccio la prova ti faccio sapere.

per il momento grazie moltissimo

Ciao ciao

Pp

crazy.cat ha scritto:

Pulcepiccola ha scritto:Akamai

Si occupa di un sacco di cose da quello che mi risulta. Tutte legittime (si spera).

come faccio a capire se questa connessione del processo di sistema svchost.exe è legitttima?

direi capendo quale programma la lancia

.

Che tipo di informazioni svchost trasmette verso l'IP 77.109.168.74?

Qui andiamo sul difficile. Qualche sniffer di rete che legge i dati trasmessi?
(ma qui siamo fuori dal mio campo quindi non chiedermi come farlo)

In particolare quale servizio di quelli caricati in memoria da svchost.exe, punta verso l'IP in questione?

Direi che potresti provare con process explorer e current ports della nirsoft.

Ciao,
rispetto a questo quesito

]come faccio a capire se questa connessione del processo di sistema svchost.exe è legitttima

quando dici

direi capendo quale programma la lancia

ti riferisci al fatto che bisognerebbe, tramite Process Explorer, individuare quali sono le librerie dinamiche (DLL) ( che contengono servizi/funzionalità di sistema- ad esempio anche servizi che possono essere stati creati in occasione dell'installazione dei driver della stampante - Giusto?) che lanciano quella particolare istanza di svchost.exe? Giusto?

Analizzando i vari servizi, si può capire se il processo svchost.exe è legitimo?

Grazie mille

Ciao Ciao

Pp