我在工作时做了一个快速端口扫描(Nmap 6,OS X 10.6.8),我注意到我周围几乎所有的计算机都在端口 1023 上运行名为“netvenuechat”的服务。虽然我搜索了几个论坛帖子并发现许多其他人正在运行相同的服务,但我还没有找到关于这项服务有效性的明确答案。
这是一个正常的后台服务,还是该服务是某些恶意软件的一部分?
答案1
正式地,根据 IANA(互联网号码分配机构)的规定,端口 1023 是“保留的”,无论是用于 TCP 还是 UDP。
许多网站声称列出了已知的软件包(合法和恶意软件)和使用各种端口的知名协议,很难知道该相信谁。然而,SpeedGuide.net 上的此列表看起来非常合法,并列出了以下已知用户:
- “Sasser”恶意软件的几个变种
- 采用 H323 的 NetMeeting
- Nortel NetVenue 通知、聊天、对讲机
- Gateway GS-400 NAS 的 Linux 后端
如果您不知道公司中有人运行 Nortel NetVenue 或 Microsoft NetMeeting(我认为它们曾经内置于 Windows 中),并且如果人们可能仍在运行 Windows XP 或 Windows 2000,那么他们很可能感染了“Sasser”恶意软件。不过,也可能是其他软件恰好使用了该端口。
答案2
Nmap 没有匹配的服务发现netvenuechat,因此该标签被应用为1023/tcpnmap-services 文件中的简单查找。如果您想找出该端口上实际运行的内容,您可以使用该-sV选项执行服务/版本检测扫描,或者尝试通过在目标计算机上运行命令来确定正在监听的进程(所有这些都需要管理员/root 权限):
Windows 命令:netstat -anb、SysInternalsTCP查看器
Linux 命令netstat -tanp:lsof -n -i