Port Scan: O que é "netvenuechat"?

Navegue suas respostas
3

Eu estava fazendo uma varredura de porta rápida no trabalho (Nmap 6, OS X 10.6.8), e notei que quase todos os computadores ao meu redor estavam executando um serviço chamado "netvenuechat" na porta 1023. Embora eu tenha Pesquisei através de vários posts do fórum e encontrei muitos outros executando o mesmo serviço, eu não encontrei uma resposta distinta quanto à validade deste serviço.

Este é um serviço de segundo plano normal, ou este serviço faz parte de algum malware?

    
por a10y 12.07.2012 / 08:38

2 respostas

1

Oficialmente, de acordo com a IANA (Autoridade de Atribuição de Números da Internet), a porta 1023 é "reservada", seja para TCP ou UDP.

Muitos sites afirmam listar os pacotes de software conhecidos (legit e malware) e protocolos conhecidos que usam várias portas, e é difícil saber em quem confiar. No entanto, esta listagem no SpeedGuide.net parece bastante legítima, e lista os seguintes usuários conhecidos:

  • Algumas variantes do malware "Sasser"
  • NetMeeting com H323
  • Notificação do Nortel NetVenue, bate-papo, intercomunicação
  • backend do Linux do Gateway GS-400 NAS

Se você não está ciente de pessoas em sua empresa executando o Nortel NetVenue ou o Microsoft NetMeeting (que costumava ser integrado ao Windows, acho), e se é provável que as pessoas ainda estejam executando o Windows XP ou o Windows 2000, elas poderia estar infectado com o malware "Sasser". Então, novamente, pode ser algum outro software que tenha usado essa porta.

    
por 12.07.2012 / 09:25
1

O Nmap não tem uma correspondência de descoberta de serviço para netvenuechat , de modo que o rótulo está sendo aplicado como uma pesquisa simples de 1023/tcp no arquivo nmap-services. Se você quiser descobrir o que está realmente sendo executado nessa porta, execute uma varredura de Serviço / Detecção de Versão com a opção -sV ou tente determinar qual processo está escutando, executando comandos na máquina de destino (todos eles requer privilégios de administrador / root):

Comandos do Windows: netstat -anb , SysInternals TCPView

Comandos do Linux: netstat -tanp , lsof -n -i

    
por 12.07.2012 / 16:31

Tags

linux: acessando milhares de arquivos em hash de diretórios Como obter o comportamento desejado da última guia do FireFox?