1

Я использую Windows Server 2012 R2 .
Когда я запускаю Process Explorer (от имени администратора), я вижу, что System процесс прослушивает порт 443. Более конкретно, это показывает следующее:

  • Протокол: TCPV6
  • Локальный адрес: [0: 0: 0: 0: 0: 0: 0: 0]: 443
  • Удаленный адрес: [0: 0: 0: 0: 0: 0: 0: 0]: 0
  • Состояние: СЛУШАТЬ

Там нет записи для TCP 443, только для TCPV6.

В моих запущенных службах я проверил всех обычных подозреваемых, упомянутых в других сообщениях, касающихся этой проблемы. Ниже вы можете найти обзор служб, работающих в этой системе:

Application Experience
Application Host Helper Service
Application Information
Background Intelligent Transfer Service
Background Tasks Infrastructure Service
Base Filtering Engine
ccmsetup
Certificate Propagation
COM+ Event System
Cryptographic Services
DCOM Server Process Launcher
Dell SupportAssist Service
Dell Update Service
DHCP Client
Diagnostic Policy Service
Diagnostics Tracking Service
Distributed Link Tracking Client
Distributed Transaction Coordinator
DNS Client
DSM Essentials DA Service
DSM Essentials Host Service
DSM Essentials Task Manager
DSM SA Connection Service
DSM SA Data Manager
DSM SA Event Manager
DSM SA Shared Services
File Server Resource Manager
Group Policy Client
IKE and AuthIP IPsec Keying Modules
IP Helper
IPsec Policy Agent
Local Session Manager
Microsoft iSCSI Initiator Service
Microsoft Software Shadow Copy Provider
Modular Disk Storage Manager Agent
Modular Disk Storage Manager Event Monitor
Netlogon
Network Connections
Network List Service
Network Location Awareness
Network Store Interface Service
Plug and Play
Power
Print Spooler
Remote Desktop Configuration
Remote Desktop Services
Remote Desktop Services UserMode Port Redirector
Remote Procedure Call (RPC)
RPC Endpoint Mapper
Security Accounts Manager
Server
Shell Hardware Detection
Smart Card Device Enumeration Service
SNMP Service
System Event Notification Service
System Events Broker
Task Scheduler
TCP/IP NetBIOS Helper
Themes
TSM Client Scheduler
User Access Logging Service
User Profile Service
Volume Shadow Copy
Windows Connection Manager
Windows Event Log
Windows Firewall
Windows Font Cache Service
Windows Management Instrumentation
Windows Modules Installer
Windows Remote Management (WS-Management)
Windows Sync Share
Windows Time
Windows Update
WinHTTP Web Proxy Auto-Discovery Service
Workstation

Другие варианты анализа, которые я пробовал:

  • netstat -ao: показывает ту же информацию, что и Process Explorer. System с PID 4, прослушивает порт 443
  • wmic process: PID 4 является System ... никакой дополнительной информации.
  • Открытие браузера для localhost: 443, или необработанный сеанс PuTTY не работает.

Любые предложения приветствуются ...

3 ответа3

3

Оказывается, у меня была установлена функция "Рабочие папки". Это вызвало запуск хотя бы одного из этих двух сервисов:

  • Диспетчер отчетов хранилища файлового сервера
  • Удаленный реестр

Таким образом, любой, кто сталкивается с этой проблемой, также может проверить это. И, конечно же, все другие службы, упомянутые в разделе Почему процесс System прослушивает порт 443?

Этот вопрос является дубликатом, поскольку решение "Рабочие папки" также упоминается в комментариях к другому вопросу (но все же глубоко в куче ответов).

Если кто-то захочет, я думаю, что было бы целесообразно объединить все ответы на этот вопрос в один, предоставив обзор функций, служб и приложений, которые могут вызвать эту проблему.

2

Если служба Windows не является виновником (что почти наверняка обнаружил бы netstat -ao ), то это может быть модуль ядра или исполнительный орган (ядро) Windows, прослушивающий этот порт. В этом случае шансы на то, что это вирус, немного возрастут, поскольку ядру это довольно редко случается.

Попробуйте захватить диспетчер драйверов режима ядра и заглянуть под капот. Проверьте на все, что выглядит подозрительно.

Если вы не уверены, несколько распространенных тактик могут включать в себя:

  • Щелкните правой кнопкой мыши и откройте папку, содержащую файл, о котором идет речь; если это часть легальной программы, она, вероятно, будет где-то в Program Files в известном месте продукта или в папке Windows. Если он находится в папке Windows, вы можете указать его имя в Google, чтобы убедиться, что руткиты исторически не пытались атаковать этот файл, встраивая себя в него, и искать сумму в MD5, чтобы узнать, кто-нибудь еще опубликовал это. Сумма MD5 раньше.
  • Или загрузите его в VirusTotal, если вы не уверены.
  • Проверьте метаданные файла и проверьте на наличие опечаток или странных дат создания / изменения, которые сильно отличаются от других дат в остальной части списка драйверов.

Также попробуйте изучить более одного сканера вирусов или программу обнаружения руткитов. Тот, который вы уже установили в вашей системе, возможно, пропустил его.

Если вам все еще не повезло, в качестве крайней меры вы можете попробовать установить аппаратный брандмауэр ниже по течению от блока и заставить его захватывать трафик через порт 443. Контролируйте его в течение пары дней / недель и запрограммируйте так, чтобы он предупреждал вас, если что-то там происходит, в идеале Если ничего не будет отправлено или получено через порт, это, вероятно , только порт управления некоторым драйвера устройства (хотя , возможно , бэкдор , который может быть легко взломан, даже если это законно) , и там не так много вы можете сделать.

Вы используете Internet Information Server (IIS)? Если все вышеперечисленное на самом деле не помогает, и вы используете IIS, попробуйте временно отключить его и посмотреть, исчезнет ли симптом.

-3

Не уверен, но это может быть Всемирная паутина или подобное. эти сервисы связаны с протоколами http и https

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .