O processo do sistema está escutando na porta 443, e não consigo encontrar qual serviço está causando isso [duplicado]

Navegue suas respostas
1

Estou executando Windows Server 2012 R2 .
Quando executo o Process Explorer (como Administrador), vejo que o processo System está escutando na porta 443. Mais especificamente, ele mostra o seguinte:

  • Protocol: TCPV6
  • LocalAddress: [0:0:0:0:0:0:0:0]:443
  • Remote Address: [0:0:0:0:0:0:0:0]:0
  • State: LISTENING

Não há nenhuma entrada para TCP 443, apenas para TCPV6.

Nos meus serviços de corrida, verifiquei todos os suspeitos usuais mencionados nos outros posts relativos a esta questão. Abaixo, você pode encontrar uma visão geral dos serviços em execução neste sistema: 

Application Experience
Application Host Helper Service
Application Information
Background Intelligent Transfer Service
Background Tasks Infrastructure Service
Base Filtering Engine
ccmsetup
Certificate Propagation
COM+ Event System
Cryptographic Services
DCOM Server Process Launcher
Dell SupportAssist Service
Dell Update Service
DHCP Client
Diagnostic Policy Service
Diagnostics Tracking Service
Distributed Link Tracking Client
Distributed Transaction Coordinator
DNS Client
DSM Essentials DA Service
DSM Essentials Host Service
DSM Essentials Task Manager
DSM SA Connection Service
DSM SA Data Manager
DSM SA Event Manager
DSM SA Shared Services
File Server Resource Manager
Group Policy Client
IKE and AuthIP IPsec Keying Modules
IP Helper
IPsec Policy Agent
Local Session Manager
Microsoft iSCSI Initiator Service
Microsoft Software Shadow Copy Provider
Modular Disk Storage Manager Agent
Modular Disk Storage Manager Event Monitor
Netlogon
Network Connections
Network List Service
Network Location Awareness
Network Store Interface Service
Plug and Play
Power
Print Spooler
Remote Desktop Configuration
Remote Desktop Services
Remote Desktop Services UserMode Port Redirector
Remote Procedure Call (RPC)
RPC Endpoint Mapper
Security Accounts Manager
Server
Shell Hardware Detection
Smart Card Device Enumeration Service
SNMP Service
System Event Notification Service
System Events Broker
Task Scheduler
TCP/IP NetBIOS Helper
Themes
TSM Client Scheduler
User Access Logging Service
User Profile Service
Volume Shadow Copy
Windows Connection Manager
Windows Event Log
Windows Firewall
Windows Font Cache Service
Windows Management Instrumentation
Windows Modules Installer
Windows Remote Management (WS-Management)
Windows Sync Share
Windows Time
Windows Update
WinHTTP Web Proxy Auto-Discovery Service
Workstation

Outras opções de análise que tentei:

  • netstat -ao: mostra as mesmas informações que o Process Explorer. System com PID 4, está escutando na porta 443
  • processo wmic: PID 4 é System ... sem mais informações.
  • Abrindo um navegador para localhost: 443, ou uma sessão PuTTY não funciona.

Qualquer sugestão será bem-vinda ...

    
por Wouter 14.03.2017 / 17:05

3 respostas

3

Acontece que eu tinha o recurso "Pastas de trabalho" instalado. Isso fez com que pelo menos um desses dois serviços fosse executado:

  • Gerenciador de relatórios de armazenamento do servidor de arquivos
  • Registro Remoto

Assim, qualquer pessoa que esteja enfrentando esse problema também pode verificar isso. E, claro, todos os outros serviços mencionados em Por que o processo do sistema ouvindo na porta 443?

Esta questão é uma duplicata, já que a solução "Pastas de Trabalho" também é mencionada nos comentários da outra questão (ainda, enterrada na pilha de respostas.)

Se alguém quiser, acho que valeria a pena juntar todas as respostas a essa pergunta, fornecendo uma visão geral dos recursos, serviços e aplicativos que podem causar esse problema.

    
por 14.03.2017 / 17:45
2

Se um serviço do Windows não é o culpado (o que o netstat -ao quase certamente teria revelado), poderia ser um módulo do kernel ou o próprio executivo do Windows (kernel) escutando nessa porta. Nesse caso, as chances de ser um vírus aumentam ligeiramente, já que isso é uma coisa bastante incomum para um kernel fazer.

Tente pegar gerenciador de drivers do modo de kernel e dê uma olhada nos bastidores. Verifique se há algo que pareça suspeito.

Se você não tiver certeza, algumas táticas comuns podem incluir:

  • Clique com o botão direito e abra a pasta de contenção no arquivo em questão; se for parte de um programa legítimo, provavelmente estará em algum lugar em Arquivos de programas no local de um produto conhecido ou na pasta do Windows. Se estiver na pasta Windows, talvez você queira pesquisar o nome do Google para garantir que os rootkits não tenham tentado atacar esse arquivo por meio da incorporação interna e procurar a soma MD5, para ver se alguém publicou esse arquivo. MD5 soma antes.
  • Ou faça o upload para o VirusTotal, se você não tiver certeza.
  • Inspecione os metadados do arquivo e verifique se há erros de digitação ou datas estranhas criadas / modificadas que sejam muito diferentes de outras datas no restante da sua lista de drivers.

Tente também explorar mais de um programa de detecção de vírus ou rootkit. O que você já instalou no seu sistema pode ter perdido.

Se você ainda não tiver sorte, como último recurso, você pode tentar colocar um downstream do firewall do hardware e obtê-lo para capturar o tráfego na porta 443. Monitore-o por alguns dias / semanas e programe-o para alertá-lo se qualquer coisa acontece lá, idealmente. Se nada for enviado ou recebido pela porta, provavelmente é apenas a porta de gerenciamento de algum driver de dispositivo (embora possivelmente um backdoor que pode ser facilmente hackeado, mesmo que seja legítimo) e não há muito o que fazer.

Você está executando o Internet Information Server (IIS)? Se todos os itens acima não esclarecerem o problema e você estiver executando o IIS, tente desativá-lo temporariamente e verifique se o sintoma desaparece.

    
por 14.03.2017 / 17:38
-3

Não tenho certeza, mas pode ser a World Wide Web ou similar. esses serviços estão relacionados ao protocolo http e https

    
por 14.03.2017 / 17:17

Tags

Definindo e obtendo variáveis com o Microsoft Word (sem VBA) Qual é a maneira melhor ou mais fácil de executar o script na solicitação http