我被委派帮助安全部门填补一些漏洞。他们正在招聘一名专职网络人员,但目前,我是他们最接近的人选。他们已经关闭了 Skype 和 IM,他们刚刚听说了 TeamViewer,担心有人通过这种方式进入并访问我们的电脑。
显然,只要办公室里没有人使用它,我们就是安全的,但如果无法检测到,这条规则就毫无意义。我们应该在哪里查看,我们应该寻找什么来知道是否有人安装了它,或者(因为您也可以在不安装的情况下使用它)目前正在使用或过去曾经使用过它?由于电视使用端口 80,这种事情会显示在 Web 请求日志中吗?
答案1
这TeamViewer 网站指出,TCP 端口 5938 可能被使用,并且当 TeamViewer 运行时,该端口似乎在我的本地机器上是打开的。
尝试运行端口扫描,查找在端口 5938 上打开的机器。
我还注意到 TeamViewer 内置的 Web 服务器回复“此站点正在运行 TeamViewer。”,因此也对端口 80 进行端口扫描并检查结果。Nmap 是一款不错的端口扫描工具。
答案2
尝试命令:
avahi-browse -t -r _teamviewer._tcp
您将获得一个 IP 地址列表:
eth0 IPv4 850808873 _teamviewer._tcp local
hostname = [xxxxxx.local]
address = [172.16.0.81]
port = [2020]
txt = ["UUID=bd5064d1-5ec8-496c-93cd-c273ec37faa7" "Token=nHLKXaM19dWptBDw" "DyngateID=850808873"]
答案3
恐怕你是本末倒置了——阻止特定事物就像跑步只是为了静止不动。相反,阻止一切默认情况下,只有经过验证既必要又安全的特定事物才会被允许。这称为“白名单”。