Ничего из этого не имеет никакого смысла. Давайте начнем с самого начала.
Кто такой h-cdn.com?
$ whois h-cdn.com Domain Name: H-CDN.COM Registry Domain ID: 1941013588_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.godaddy.com Registrar URL: http://www.godaddy.com Updated Date: 2017-05-11T05:47:51Z Creation Date: 2015-06-22T13:21:45Z Registry Expiry Date: 2019-06-22T13:21:45Z Registrar: GoDaddy.com, LLC Registrar IANA ID: 146 Registrar Abuse Contact Email: abuse@godaddy.com Registrar Abuse Contact Phone: 480-624-2505 Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited Domain Status: clientRenewProhibited https://icann.org/epp#clientRenewProhibited Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited Name Server: NS-1336.AWSDNS-39.ORG Name Server: NS-1696.AWSDNS-20.CO.UK Name Server: NS-421.AWSDNS-52.COM Name Server: NS-608.AWSDNS-12.NET
Похоже, этот домен обслуживается серверами имен Amazon, но нет никаких признаков того, что Amazon является регистрантом. Тот факт, что GoDaddy является регистратором, является подозрительным; они не задают вопросов об идентификации клиентов и ужасно реагируют на жалобы о злоупотреблениях, поэтому они популярны среди мошенников и авторов вредоносных программ.
Все четыре из перечисленных IP-адресов назначены OVH, аналогично Amazon, но отличаются тем, что в наши дни, похоже, они не имеют никакого законного бизнеса, кроме предоставления инфраструктуры для бот-сетей, сканеров / скребков, рекламных сетей и других сетей. Так что это тоже.
Что еще я видел в h-cdn, так это большое количество трафика TCP, связанного с поддоменами h-cdn.com
порта 443, с IP-адресами dst, назначенными Leaseweb, еще одному интернет-образцу целостности и добродетели.
Наш брандмауэр сбивает весь этот трафик, поэтому у меня нет метрик. Amazon не имеет к этому никакого отношения, и ни одна из остальной инфраструктуры, имеющей здесь отношение, не имеет чистой истории, но нет никаких доказательств того, что мы смотрим на вредоносные программы или RAT; учитывая контекст, в котором я вижу подобный трафик, окружающий эти события, я предполагаю, что мы имеем дело с рекламной сетью, использующей веб-сокеты, чтобы держать соединения открытыми (чтобы шпионить / «выполнять поведенческую аналитику» над пользователями), поэтому, почему вы видите это в NetStat.