Sobald der Server kompromitiert wurde, kann man netstat nutzen, um eine erste Analyse vorzunehmen.
Übersichtlicher und v.a. für die Anaylse besser geeignet (da beim Prozessnamen auch noch der Pfad dazugeliefert wird ist jedoch TCPView (von Mark Russinovich)
Aufruf
cmd als Admin starten.
netstat -ob
Um die PID zu identifizieren, die hinter den IP-Verbindungen stehen, muss man -o als Parameter wählen. Um die Prozessnamen aufzulisten, braucht man -b
Refenrenz für verschiedene Parameter: https://technet.microsoft.com/en-us/library/bb490947.aspx
Spalte: Lokale Adresse
127.0.0.1 diese Ports lauschen nur auf Verbindnungen vom Computer selbst -> hier kann keine Gefahr bestehen
0.0.0.0 —> hört an allen network interfaces (also Computer, Modem, Netzwerkkarte)
[::] —> bedeutet in IPv6 nichts anderes als 0.0.0.0
10.X.X.X (also die IP welche das Intranet für meinen Computer vergeben hat) —> hört / verbindet sich nur mit Adressen im Intranet
:* —> der Port ist noch nicht etabliert.
Quelle: http://stackoverflow.com/questions/20882/how-do-i-interpret-netstat-a-output
Status
http://stackoverflow.com/questions/20882/how-do-i-interpret-netstat-a-output