Sobald der Server kompromitiert wurde, kann man netstat nutzen, um eine erste Analyse vorzunehmen.

Übersichtlicher und v.a. für die Anaylse besser geeignet (da beim Prozessnamen auch noch der Pfad dazugeliefert wird ist jedoch TCPView (von Mark Russinovich)

Aufruf

cmd als Admin starten.

netstat -ob

Um die PID zu identifizieren, die hinter den IP-Verbindungen stehen, muss man -o als Parameter wählen. Um die Prozessnamen aufzulisten, braucht man -b

Refenrenz für verschiedene Parameter: https://technet.microsoft.com/en-us/library/bb490947.aspx

 

Spalte: Lokale Adresse

127.0.0.1  diese Ports lauschen nur auf Verbindnungen vom Computer selbst -> hier kann keine Gefahr bestehen

0.0.0.0  —>  hört an allen network interfaces (also Computer, Modem, Netzwerkkarte)

[::]   —>   bedeutet in IPv6 nichts anderes als 0.0.0.0

10.X.X.X (also die IP welche das Intranet für meinen Computer vergeben hat)   —>    hört / verbindet sich nur mit Adressen im Intranet

:*   —>   der Port ist noch nicht etabliert.

Quelle: http://stackoverflow.com/questions/20882/how-do-i-interpret-netstat-a-output

 

Status

http://stackoverflow.com/questions/20882/how-do-i-interpret-netstat-a-output