「システム」プロセスはポート443でリッスンしていますが、これを引き起こしているサービスが見つかりません
私は走っていますWindows Server 2012 R2。
Process Explorerを(管理者として)実行すると、Systemプロセスがポート443でリッスンしていることがわかります。具体的には、次のように表示されます。
- プロトコル:TCPV6
- LocalAddress:[0:0:0:0:0:0:0:0]:443
- リモートアドレス:[0:0:0:0:0:0:0:0]:0
- 状態:リスニング
TCP 443、TCPV6のみ)のnoエントリがあります。
私の実行中のサービスでは、この問題に関する他の投稿で言及されているすべての通常の容疑者をチェックしました。以下に、このシステムで実行されているサービスの概要を示します。
Application Experience
Application Host Helper Service
Application Information
Background Intelligent Transfer Service
Background Tasks Infrastructure Service
Base Filtering Engine
ccmsetup
Certificate Propagation
COM+ Event System
Cryptographic Services
DCOM Server Process Launcher
Dell SupportAssist Service
Dell Update Service
DHCP Client
Diagnostic Policy Service
Diagnostics Tracking Service
Distributed Link Tracking Client
Distributed Transaction Coordinator
DNS Client
DSM Essentials DA Service
DSM Essentials Host Service
DSM Essentials Task Manager
DSM SA Connection Service
DSM SA Data Manager
DSM SA Event Manager
DSM SA Shared Services
File Server Resource Manager
Group Policy Client
IKE and AuthIP IPsec Keying Modules
IP Helper
IPsec Policy Agent
Local Session Manager
Microsoft iSCSI Initiator Service
Microsoft Software Shadow Copy Provider
Modular Disk Storage Manager Agent
Modular Disk Storage Manager Event Monitor
Netlogon
Network Connections
Network List Service
Network Location Awareness
Network Store Interface Service
Plug and Play
Power
Print Spooler
Remote Desktop Configuration
Remote Desktop Services
Remote Desktop Services UserMode Port Redirector
Remote Procedure Call (RPC)
RPC Endpoint Mapper
Security Accounts Manager
Server
Shell Hardware Detection
Smart Card Device Enumeration Service
SNMP Service
System Event Notification Service
System Events Broker
Task Scheduler
TCP/IP NetBIOS Helper
Themes
TSM Client Scheduler
User Access Logging Service
User Profile Service
Volume Shadow Copy
Windows Connection Manager
Windows Event Log
Windows Firewall
Windows Font Cache Service
Windows Management Instrumentation
Windows Modules Installer
Windows Remote Management (WS-Management)
Windows Sync Share
Windows Time
Windows Update
WinHTTP Web Proxy Auto-Discovery Service
Workstation
私が試した他の分析オプション:
- netstat -ao:これはProcessExplorerと同じ情報を表示します。
SystemはPID4で、ポート443でリッスンしています - wmicプロセス:PID4はシステムです...これ以上の情報はありません。
- ブラウザをlocalhost:443に開くか、生のPuTTYセッションが機能しません。
任意の提案を歓迎します...
「作業フォルダ」機能がインストールされていることがわかりました。これにより、次の2つのサービスの少なくとも1つが実行されました。
- ファイルサーバーストレージレポートマネージャー
- リモートレジストリ
したがって、この問題に直面している他の人もそれをチェックできます。そしてもちろん、「システム」プロセスがポート443でリッスンしているのはなぜですか?で説明されている他のすべてのサービス。
Windowsサービスが原因ではない場合(netstat -aoほぼ確実に明らかになります)、それはカーネルモジュールまたはそのポートをリッスンしているWindowsエグゼクティブ(カーネル)自体である可能性があります。その場合、それがウイルスである可能性はわずかに増加します。これは、カーネルが行うことはかなり珍しいことだからです。
Kernel Mode Drivers Manager をつかんで、内部を覗いてみてください。魚のように見えるものがないか確認してください。
よくわからない場合は、いくつかの一般的な戦術に次のようなものがあります。
- 問題のファイルを右クリックして[含むフォルダを開く]。正当なプログラムの一部である場合は、よく知られている製品の場所にあるProgramFilesまたはWindowsフォルダーのどこかにある可能性があります。 Windowsフォルダーにある場合は、名前をグーグルで検索して、ルートキットがファイル内に自分自身を埋め込んでそのファイルを攻撃しようとしたことがないことを確認し、MD5の合計を検索して、他の誰かがそのファイルを投稿していないかどうかを確認します。以前のMD5合計。
- または、わからない場合はVirusTotalにアップロードしてください。
- ファイルのメタデータを調べて、ドライバーリストの他の日付とは大きく異なるタイプミスや奇妙な作成/変更された日付を確認します。
また、複数のウイルススキャナーまたはルートキット検出プログラムを調べてみてください。すでにシステムにインストールしているものは、それを見逃している可能性があります。
それでもうまくいかない場合は、最後の手段として、ボックスの下流にハードウェアファイアウォールを配置し、ポート443でトラフィックをキャプチャするようにしてください。数日/週監視し、そこで何かが発生した場合に警告するようにプログラムします。 、理想的には。ポートを介して何も送受信されない場合、それはおそらくデバイスドライバの管理ポートにすぎません(ただし、がであっても、簡単にハッキングされる可能性のあるバックドアです。 )合法)そしてあなたができることはあまりありません。
インターネットインフォメーションサーバー(IIS)を実行していますか?上記のすべてで問題が解決せず、IISを実行している場合は、一時的にオフにして、症状が解消されるかどうかを確認してください。