Amazon (AWS) zagent Ist es eine Malware / Remote?

1101
mr.infin8

Ich lief netstat Befehl und fand einige Amazon TCP-Verbindungen, die ich nicht kenne 

zagent1644.h-cdn.com 142.44.212.29  zagent1642.h-cdn.com 145.239.8.193  zagent859.h-cdn.com 217.182.138.56  zagent1678.h-cdn.com 54.37.85.231

Könnten sie wie eine API sein, die Befehle von einer RAT an die Spyware in meinem Computer sendet? Hast du eine Ahnung von ihnen?

-2
In welchem ​​Sinne glauben Sie, dass dies "amazon" TCP-Verbindungen sind? Wo sehen Sie das auch? Ist das ein PC oder ein Server? Michael - sqlbot vor 6 Jahren 0
Suchen Sie die IP-Adressen über http://whois.arin.net/ui/ und wenden Sie sich an Ihren Ansprechpartner, wenn Sie möchten. Pimp Juice IT vor 6 Jahren 0
Es ist mein PC, und ich weiß, dass Amazon sie besitzt, weil die Domäne h-cdn bei amazon registriert ist. Einige sagen, dass eine Malware-Fernbedienung in amazon gehostet werden kann, damit sie nicht erwischt wird mr.infin8 vor 6 Jahren 0

1 Antwort auf die Frage

2
Ivan

Nichts davon macht Sinn. Fangen wir von vorne an.

Whois h-cdn.com?

$ whois h-cdn.com Domain Name: H-CDN.COM Registry Domain ID: 1941013588_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.godaddy.com Registrar URL: http://www.godaddy.com Updated Date: 2017-05-11T05:47:51Z Creation Date: 2015-06-22T13:21:45Z Registry Expiry Date: 2019-06-22T13:21:45Z Registrar: GoDaddy.com, LLC Registrar IANA ID: 146 Registrar Abuse Contact Email: abuse@godaddy.com Registrar Abuse Contact Phone: 480-624-2505 Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited Domain Status: clientRenewProhibited https://icann.org/epp#clientRenewProhibited Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited Name Server: NS-1336.AWSDNS-39.ORG Name Server: NS-1696.AWSDNS-20.CO.UK Name Server: NS-421.AWSDNS-52.COM Name Server: NS-608.AWSDNS-12.NET

Es sieht so aus, als ob diese Domain von Amazon Nameservern bereitgestellt wird, es gibt jedoch keine Hinweise darauf, dass Amazon der Registrant ist. Die Tatsache, dass GoDaddy der Standesbeamte ist, ist verdächtig. Sie stellen keine Fragen zur Kundenidentität und sind schrecklich, wenn sie auf Missbrauchsbeschwerden reagieren, sodass sie bei Betrügern und Malware-Autoren beliebt sind.

Alle vier aufgeführten IP-Adressen werden OVH zugewiesen (ähnlich wie Amazon), unterscheiden sich jedoch insofern, als sie derzeit scheinbar kein legitimes Geschäft mehr haben als die Bereitstellung von Infrastrukturen für Botnets, Crawler / Scraper, Ad-Netzwerke und andere Schattierungen. Also gibt es das auch.

Was ich sonst noch von h-cdn gesehen habe, ist viel TCP-Verkehr für Subdomains von h-cdn.comPort 443, wobei dst IPs Leaseweb zugewiesen werden, einem anderen Internet-Vorbild von Integrität und Tugend.

Unsere Firewall schränkt den gesamten Datenverkehr ein, so dass ich keine Messdaten habe. Amazon hat damit nichts zu tun, und die restliche Infrastruktur, die hier involviert ist, hat eine saubere Vergangenheit, aber es gibt keine Hinweise darauf, dass wir Malware oder RATs untersuchen. Angesichts des Kontextes, in dem ich ähnlichen Datenverkehr im Zusammenhang mit diesen Ereignissen sehe, ist es wahrscheinlich, dass wir es mit einem Werbenetzwerk zu tun haben, das Websockets verwendet, um Verbindungen offen zu halten (um Benutzer zu spionieren / Verhaltensanalysen durchzuführen) netstat.

Verwandte Probleme