Dlaczego system nasłuchuje na porcie 8000?

13

Dzisiaj przypadkowo zauważyłem, że jakiś nieznany serwer WWW nasłuchuje na porcie 8000. Otwarcie http: // localhost: 8000 po prostu zwraca 404, więc nie otrzymuję żadnej wskazówki, co tam dokładnie nasłuchuje.

Kiedyś dowiadywałem netstat -anosię, że proces z PID 4 nasłuchuje na tym porcie. PID 4 jest procesem systemowym. Dlaczego mój system nasłuchuje na tym porcie, bez uruchamiania serwera? Lub jak mogę dowiedzieć się, co dokładnie tam słucha?

Przeczytałem powiązane pytania dotyczące portu 80 i portu 443 , ale żadna z wymienionych tam usług nie działała w moim systemie. Inne sugestie też tam nie działały.

edytować:

Odpowiedź HTTP serwera podaje się Microsoft-HTTPAPI/2.0jako serwer.

edycja2:

Zgodnie z prośbą Shadoka, oto wpisy TCPView z portem 8000. Ale wątpię, czy to w ogóle przydatne…

Wyniki TCPView

windows-7 windows port szturchać
źródło

Odpowiedzi:

17

IIRC, każdy program, który korzysta z interfejsu API serwera HTTP do uruchamiania serwera HTTP w systemie Windows, będzie obciążał tę usługę procesem systemowym, ponieważ działa on przez http.sysserwer jądra .

Widać zarejestrowanych adresów, uruchamiając następującą komendę: netsh http show servicestate. Obejmuje to również numer portu.

netstat -ab może także ujawnić, które usługi zaczęły nasłuchiwać na danym porcie.

afrazier
źródło
Dziękuję Ci! Naprawdę powinienem o tym pomyśleć… Zorientowałem się, że to VAIO Care (narzędzie Sony) uruchomiło usługę (VCAgent.exe). Ale najwyraźniej ta usługa nie jest tak naprawdę potrzebna. Trzymałem otwarty sniffer sieciowy, aby sprawdzić, czy po kliknięciu w programie są jakieś żądania do serwera, ale tak naprawdę nic się nie wydarzyło (pojawiło się normalne żądanie w przeglądarce internetowej). W każdym razie usunąłem go z autostartu, więc to powinno zostać rozwiązane teraz. Chociaż to głupie, że wszystkie interfejsy API serwera zawsze korzystają z procesu Systemu.
poke
+1 zanetstat -ab
Kevin Kibler
Szkoda, netstat -abże mój mówi „Nie mogę uzyskać informacji o własności”, więc utknąłem, ale poza tym nadal przydatne polecenie
Tominator
1
Dla porównania, mój przypadek to Free Video Maker używał portu. Napotkałem konflikt serwera samouczka Angular JS, więc muszę go rozwiązać.
simongcc
1
(W przypadku, gdy się to zgubiłem, dodałem również odpowiedź.) Spróbuj także: netsh http show servicestate view = requestq
Nick Westgate
4

Może trochę za późno, ale ten wątek pojawił się dość wysoko podczas wyszukiwania w Google i wydawał się najbardziej odpowiedni, choć brakowało mi ostatniej informacji, którą uznałem za przydatną.

Możesz zobaczyć (dynamicznie) zarejestrowany adres URL, uruchamiając następujące polecenie: netsh http show servicestate

PiBa-NL
źródło
1

Trochę googlingu pokazuje przykładowe aplikacje WCF korzystające z 8000 oraz Intel Remote Desktop Interface. Nie spodziewałbym się, że będą działać jako system.

Istnieje kilka trojanów / backdoorów korzystających z 8000, więc być może dobrym pomysłem byłoby uruchomienie dysku antywirusowego i wykonanie pełnego skanowania.

Paweł
źródło
1

Możesz użyć TCPView, aby znaleźć o wiele więcej informacji na temat tego procesu niż to, co można znaleźć w netstat.
Jeśli po tym nie wiesz, czym naprawdę jest ta aplikacja, opublikuj zrzut ekranu linii z portem 8000, a my się dowiemy.

Shadok
źródło
TCPView nie pokazuje więcej niż netstat (dlatego nawet nie wspomniałem, że go wypróbowałem). Ale oczywiście dodałem zrzut ekranu z liniami portu 8000 do mojego pytania.
poke
1

Gniazdami systemowymi (PID 4) może być http.sys, w którym to przypadku można użyć polecenia netsh wydanego przez PiBa-NL.

Pamiętaj jednak, że istnieje kilka parametrów. Wygląda na to, że wartości domyślne są równoważne z:

netsh http show servicestate view=session verbose=yes

Widok sesji nie pomógł w moim przypadku, ale pokazał PID:

netsh http show servicestate view=requestq
Nick Westgate
źródło
Dzięki! PID był dla mnie kluczem.
duct_tape_coder
0

W moim przypadku port 8000 został przejęty przez sterowniki karty dźwiękowej Sound BlasterX AE-5 . Proces Creative.AudPosServiceznajdujący się w C:\Program Files (x86)\Creative\Connection Serviceużywa tego portu.

Na szczęście można zmienić ten port. Otwórz Creative.AudPosService.exe.configi zmień numer portu, gdzie linia znajduje się <add baseAddress="http://localhost:8000/"/>na <add baseAddress="http://localhost:9999/"/>lub cokolwiek innego, co nie zakłóca pracy. Uruchom ponownie komputer i powinno być w porządku.

Vladimir Jovanović
źródło