web-dev-qa-db-ja.com

ポートスキャン:「netvenuechat」とは何ですか?

職場でクイックポートスキャン(Nmap 6、OS X 10.6.8)を実行していたところ、周囲のほぼすべてのコンピューターがポート1023で「netvenuechat」というサービスを実行していることに気付きました。フォーラムに投稿し、同じサービスを実行している他の多くの人を見つけましたが、このサービスの有効性に関して明確な答えは見つかりませんでした。

これは通常のバックグラウンドサービスですか、それともこのサービスはマルウェアの一部ですか?

networkingsecurityservicesportnmap
3
a10y

公式には、IANA(Internet Assigned Numbers Authority)によると、ポート1023は、TCPまたはUDPのどちらに使用されているかにかかわらず、「予約済み」です。

多くのサイトは、既知のソフトウェアパッケージ(レギットとマルウェア)とさまざまなポートを使用する既知のプロトコルをリストしていると主張しており、誰を信頼するかを知るのは困難です。ただし、 SpeedGuide.netのこのリスト はかなり正当なようで、次の既知のユーザーがリストされています。

  • 「Sasser」マルウェアのいくつかの亜種
  • H323を使用したNetMeeting
  • Nortel NetVenue通知、チャット、インターコム
  • Gateway GS-400NASのLinuxバックエンド

NortelNetVenueまたはMicrosoftNetMeeting(以前はWindowsに組み込まれていた)を実行している社内の人々を知らない場合、およびおそらくまだWindowsを実行している可能性がある場合XPまたはWindows2000の場合、「Sasser」マルウェアに感染している可能性があります。また、そのポートを使用したのは他のソフトウェアである可能性があります。

1
Spiff

Nmapにはnetvenuechatのサービス検出一致がないため、ラベルはnmap-servicesファイル内の1023/tcpの単純なルックアップとして適用されます。そのポートで実際に実行されているものを確認する場合は、-sVオプションを使用してサービス/バージョン検出スキャンを実行するか、ターゲットマシンでコマンドを実行してどのプロセスがリッスンしているかを確認します(すべてこれらのうち、管理者/ルート権限が必要になります):

Windowsコマンド:netstat -anb、SysInternals TCPView

Linuxコマンド:netstat -tanplsof -n -i

1
bonsaiviking