|
| hvilken proces/service lytter på port Fra : Benny Andersen |
Dato : 18-07-05 21:24 |
|
Hej nyhedslæsere
I windows 2000 (service pack 4):
'netstat -an' viser hvilke porte der lyttes på, men hvordan finder
hvilken proces/service som lytter på en port.
Jeg har været plaget af en del uvedkommende nettrafik. Min
internetopkobling er lokalnet i boligblokken opkoblet til broadcom.dk.
Oprindeligt var vi nok bag noget NAT (lokalnet adresse), men nu får
min computer en IP adresse, som kan connectes udefra. (ipconfig
sammenholdt med REMOTE_ADDR fra phpinfo() i en remote php fil)
Jeg har klaret mig uden firewall indtil nu!
Mit første skridt var at anvende ip filtering. Testede vha. php fil og
simpel server, og det virkede oprindeligt.
Den uvedkommende trafik er nu tiltaget foruroligende. I skrivende
stund ca. 11 i minuttet:
200.121.87.241:15232 (client-200.121.87.241.speedy.net.pe)
min-ip:23927 (TCP)
Jeg kigger så vha. Ethereal og må konkludere at ting på min computer
tillader sig at stå agere server.
Checker med mcafee online og finder et par inficerede filer
(bugbear@MM virus), men det er vist ikke ophavet til besvarelsen af
suspekte requests.
Hvordan finder man processen som lytter til en port?
Eller, er det sådan at 'netværket' af sig responder på requests på
porte som ingen process/service har?
xpost:
dk.edb.programmering.dk,dk.edb.netvaerk.dk,dk.edb.system.ms-windows.dk
fut sat til: dk.edb.system.ms-windows
--
Mvh Benny Andersen
| |
Thomas G. Madsen (18-07-2005)
| Kommentar Fra : Thomas G. Madsen |
Dato : 18-07-05 21:29 |
|
Benny Andersen skrev:
> Hvordan finder man processen som lytter til en port?
Netstat -ano
O'et vil vise PID-nummeret, som du også kan få vist i joblisten ved
at gå i Vis > Vælg Kolonner > PID, eller noget i den stil.
Krydspostet til: dk.edb.system.ms-windows, dk.edb.programmering.dk
og dk.edb.netvaerk.
FUT til: dk.edb.system.ms-windows.
FUT?, se: < http://www.usenet.dk/ord/lokal.html#fut>.
--
Hilsen
Madsen
| |
Thomas G. Madsen (18-07-2005)
| Kommentar Fra : Thomas G. Madsen |
Dato : 18-07-05 21:33 |
|
Thomas G. Madsen skrev:
> Krydspostet til: dk.edb.system.ms-windows, dk.edb.programmering.dk
> og dk.edb.netvaerk.
Hov, den når vist ikke frem til dk.edb.programmering, men det er vel
heller ikke nødvendigt. :)
--
Hilsen
Madsen
| |
Benny Andersen (19-07-2005)
| Kommentar Fra : Benny Andersen |
Dato : 19-07-05 13:25 |
|
On Mon, 18 Jul 2005 22:33:05 +0200, "Thomas G. Madsen"
<nospam@madsen.tdcadsl.dk> wrote:
>Thomas G. Madsen skrev:
>
>> Krydspostet til: dk.edb.system.ms-windows, dk.edb.programmering.dk
>> og dk.edb.netvaerk.
>
>Hov, den når vist ikke frem til dk.edb.programmering, men det er vel
>heller ikke nødvendigt. :)
Nej det er det jo ikke!
Jeg fumlede også pludselig med .dk til slut - her første gang jeg
skulle skrive gruppenavne selv i free agent.
--
Mvh Benny Andersen
| |
Benny Andersen (19-07-2005)
| Kommentar Fra : Benny Andersen |
Dato : 19-07-05 13:23 |
|
"Thomas G. Madsen" <nospam@madsen.tdcadsl.dk> wrote:
>Netstat -ano
Mit system må være af lidt ældre dato
==========
E:\>netstat /?
Displays protocol statistics and current TCP/IP network connections.
NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [interval]
==========
Men det inspirede mig til at søge efter en nyere netstat og jeg fandt
denne
http://www.codeproject.com/internet/enetstatasp.asp
som ikke lister pid men kan dræbe processer identificeret ved port.
Såvel kildekode (VC++ ) som eksekverbar kan downloades.
Jeg er imidlertid krøbet over hvor gærdet er lavest og har installeret
mcafee firewall. Den ser ud til både at virke og lyste min ønsker om
hvilke apps der må hvad.
Jeg er dog stadig glad for jeg fik løst problemmet med indentifikation
af processer som lytter på porte, en ting som længe har været en gåde.
Tak for hjælpen til det.
>Krydspostet til: dk.edb.system.ms-windows, dk.edb.programmering.dk
>og dk.edb.netvaerk.
>FUT til: dk.edb.system.ms-windows.
>FUT?, se: < http://www.usenet.dk/ord/lokal.html#fut>.
OK - tak for det.
--
Mvh Benny Andersen
| |
Thomas G. Madsen (19-07-2005)
| Kommentar Fra : Thomas G. Madsen |
Dato : 19-07-05 13:41 |
|
Benny Andersen skrev:
> Mit system må være af lidt ældre dato
Jeg havde i første omgang ikke bemærket, at det drejede sig om
Win2000. Det må du undskylde.
Netstat i Win2000 har ikke -o parameteret, som du også selv har
opdaget. Det har WinXP derimod og i SP2 til WinXP er der kommet
et -b parameter, som direkte viser, hvilket program der er tale
om. Det gør jo så, at man ikke behøver at bruge joblisten sammen
med netstat for at finde frem til programmet eller processen.
> http://www.codeproject.com/internet/enetstatasp.asp
>
> som ikke lister pid men kan dræbe processer identificeret ved
> port. Såvel kildekode (VC++ ) som eksekverbar kan downloades.
Der er også TCPview fra Sysinternals. Den brugte jeg meget i
forbindelse med Win2000 og gør det stadig på WinXP, da den efter
min menig er hurtigere og mere overskuelig at bruge sammenlignet
med Netstat. < http://www.sysinternals.com/Utilities/TcpView.html>.
--
Hilsen
Madsen
| |
Henning Præstegaard (19-07-2005)
| Kommentar Fra : Henning Præstegaard |
Dato : 19-07-05 23:25 |
|
Thomas G. Madsen wrote:
> Netstat i Win2000 har ikke -o parameteret, som du også selv har
> opdaget. Det har WinXP derimod og i SP2 til WinXP er der kommet
> et -b parameter, som direkte viser, hvilket program der er tale
> om. Det gør jo så, at man ikke behøver at bruge joblisten sammen
> med netstat for at finde frem til programmet eller processen.
>
Hmm. Den oplysning har jeg savnet i ca 3 uger nu.
Men, mange mange tak. Rart at få et plaster til mavesåret.
mvh
Henning
| |
|
|