“系统”进程正在监听端口 443,我找不到导致此问题的服务

tag-icon tag-icon windows windows-server-2012 windows-server-2012-r2 windows-server
“系统”进程正在监听端口 443,我找不到导致此问题的服务

我在跑步Windows Server 2012 R2

当我运行 Process Explorer(以管理员身份)时,我可以看到该System进程正在监听端口 443。更具体地说,它显示以下内容:

  • 协议:TCPV6
  • 本地地址: [0:0:0:0:0:0:0:0]:443
  • 远程地址:[0:0:0:0:0:0:0:0]:0
  • 状态:正在收听

TCP 443 的条目,仅适用于 TCPV6。

在我正在运行的服务中,我检查了其他帖子中提到的有关此问题的所有常见嫌疑人。您可以在下面找到此系统上运行的服务的概述:

Application Experience
Application Host Helper Service
Application Information
Background Intelligent Transfer Service
Background Tasks Infrastructure Service
Base Filtering Engine
ccmsetup
Certificate Propagation
COM+ Event System
Cryptographic Services
DCOM Server Process Launcher
Dell SupportAssist Service
Dell Update Service
DHCP Client
Diagnostic Policy Service
Diagnostics Tracking Service
Distributed Link Tracking Client
Distributed Transaction Coordinator
DNS Client
DSM Essentials DA Service
DSM Essentials Host Service
DSM Essentials Task Manager
DSM SA Connection Service
DSM SA Data Manager
DSM SA Event Manager
DSM SA Shared Services
File Server Resource Manager
Group Policy Client
IKE and AuthIP IPsec Keying Modules
IP Helper
IPsec Policy Agent
Local Session Manager
Microsoft iSCSI Initiator Service
Microsoft Software Shadow Copy Provider
Modular Disk Storage Manager Agent
Modular Disk Storage Manager Event Monitor
Netlogon
Network Connections
Network List Service
Network Location Awareness
Network Store Interface Service
Plug and Play
Power
Print Spooler
Remote Desktop Configuration
Remote Desktop Services
Remote Desktop Services UserMode Port Redirector
Remote Procedure Call (RPC)
RPC Endpoint Mapper
Security Accounts Manager
Server
Shell Hardware Detection
Smart Card Device Enumeration Service
SNMP Service
System Event Notification Service
System Events Broker
Task Scheduler
TCP/IP NetBIOS Helper
Themes
TSM Client Scheduler
User Access Logging Service
User Profile Service
Volume Shadow Copy
Windows Connection Manager
Windows Event Log
Windows Firewall
Windows Font Cache Service
Windows Management Instrumentation
Windows Modules Installer
Windows Remote Management (WS-Management)
Windows Sync Share
Windows Time
Windows Update
WinHTTP Web Proxy Auto-Discovery Service
Workstation

我尝试过的其他分析选项:

  • netstat -ao:显示的信息与 Process Explorer 相同。PIDSystem为 4,正在监听端口 443
  • wmic 进程:PID 4 是系统...没有更多信息。
  • 打开浏览器访问 localhost:443,或者原始 PuTTY 会话不起作用。

欢迎任何建议...

答案1

事实证明我安装了“工作文件夹”功能。这导致以下两个服务中的至少一个运行:

  • 文件服务器存储报告管理器
  • 远程注册表

因此,遇到此问题的其他任何人都可以检查一下。当然,在为什么“系统”进程正在监听端口 443?

答案2

如果 Windows 服务不是罪魁祸首(这netstat -ao几乎肯定会被发现),那么它可能是内核模块或 Windows 执行程序(内核)本身正在监听该端口。在这种情况下,它是病毒的可能性会略有增加,因为这对于内核来说是一件相当不寻常的事情。

尝试抓取内核模式驱动程序管理器然后查看引擎盖下面。检查是否有任何可疑的东西。

如果你不确定,可以采用以下几种常见策略:

  • 右键单击相关文件并打开包含文件夹;如果它是合法程序的一部分,它可能位于 Program Files 中某个知名产品的位置,或位于 Windows 文件夹中。如果它在 Windows 文件夹中,您可能需要在 Google 上搜索它的名称,以确保 rootkit 从未试图通过将自身嵌入其中来攻击该文件,并搜索 MD5 和,看看是否有其他人之前发布过该 MD5 和。
  • 或者如果您不确定,请将其上传至 VirusTotal。
  • 检查文件元数据并检查是否存在拼写错误或奇怪的创建/修改日期,这些日期与驱动程序列表中其余日期有很大不同。

还可以尝试探索多个病毒扫描程序或 rootkit 检测程序。您系统上已安装的程序可能会漏掉它。

如果仍然没有运气,作为最后的手段,您可以尝试在盒子下游放置硬件防火墙,并让它捕获端口 443 上的流量。监控它几天/几周,并对其进行编程,以便在发生任何事情时提醒您,这是理想情况。如果端口上没有发送或接收任何内容,那么它可能只是某个设备驱动程序的管理端口(尽管可能是很容易被黑客入侵的后门,即使它合法),而且你能做的不多。

您是否正在运行 Internet Information Server (IIS)?如果以上所有方法都无法解决问题,并且您正在运行 IIS,请尝试暂时将其关闭,然后查看症状是否消失。

答案3

我不确定,但它可能是万维网或类似的东西。这些服务与 HTTP 和 HTTPS 协议相关。

相关内容