ポートスキャン:「netvenuechat」とは何ですか?

3

私は職場でクイックポートスキャンを行っていました(Nmap 6、OS X 10.6.8)。私の周りのコンピューターのほぼすべてが、ポート1023で「netvenuechat」と呼ばれるサービスを実行していることに気付きました。フォーラムに投稿し、同じサービスを実行している他の多くの人を見つけましたが、このサービスの有効性に関する明確な答えは見つかりませんでした。

これは通常のバックグラウンドサービスですか、またはこのサービスはマルウェアの一部ですか?

networking  security  services  port  nmap 
a10y
ソース

回答:

1

公式には、IANA(Internet Assigned Numbers Authority)によれば、TCPまたはUDPのどちらで使用されているかにかかわらず、ポート1023は「予約」されています。

多くのサイトは、さまざまなポートを使用する既知のソフトウェアパッケージ(合法およびマルウェア)およびよく知られているプロトコルをリストしていると主張しており、誰を信頼すべきかを知ることは困難です。ただし、SpeedGuide.netでのこのリストはかなり合法的なようで、次の既知のユーザーをリストしています。

  • 「Sasser」マルウェアのいくつかの亜種
  • H323を使用したNetMeeting
  • Nortel NetVenue通知、チャット、インターコム
  • Gateway GS-400 NASのLinuxバックエンド

社内でNortel NetVenueまたはMicrosoft NetMeeting(これはWindowsに組み込まれていました)を実行している人々を知らず、Windows XPまたはWindows 2000を実行している可能性が高い場合は、 「Sasser」マルウェアに感染しています。繰り返しになりますが、たまたまそのポートを使用しているソフトウェアが他にある可能性があります。

ぴかぴか
ソース
ありがとう!これは確かに私が持っていた質問を解決しました:)
a10y
1

Nmapにはのサービス検出一致がないnetvenuechatため、ラベルは1023/tcpnmap-servicesファイル内の単純な検索として適用されています。そのポートで実際に何が実行されているかを知りたい場合は、-sVオプションを使用してサービス/バージョン検出スキャンを実行するか、ターゲットマシンでコマンドを実行してリッスンしているプロセスを特定できます(これらはすべて管理者を必要とします/ root特権):

Windowsコマンド:netstat -anb、SysInternals TCPView

Linuxコマンド:netstat -tanplsof -n -i

盆栽
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.