Warum lauscht das System auf Port 8000?

13

Ich habe heute aus Versehen festgestellt, dass ein unbekannter Webserver Port 8000 abhört. Wenn ich http: // localhost: 8000 öffne, wird nur 404 zurückgegeben, sodass ich keinen Hinweis darauf bekomme, was genau dort abhört.

Ich habe netstat -anoherausgefunden, dass der Prozess mit PID 4 diesen Port überwacht. PID 4 ist der Systemprozess. Warum hört mein System diesen Port ab, ohne dass ich einen Server starte? Oder wie kann ich herausfinden, was genau dort zuhört?

Ich habe die zugehörigen Fragen zu Port 80 und Port 443 gelesen , aber keiner der dort genannten Dienste wurde auf meinem System ausgeführt. Und die anderen Vorschläge dort haben auch nicht funktioniert.

bearbeiten:

Die HTTP-Antwort des Servers wird Microsoft-HTTPAPI/2.0als Server aufgeführt.

edit2:

Wie von Shadok angefordert, sind hier die Einträge von TCPView mit 8000 als Port. Aber ich bezweifle, dass es überhaupt nützlich ist ...

TCPView-Ergebnisse

windows-7 windows port Sack
quelle

Antworten:

17

IIRC: Bei jedem Programm, das die HTTP-Server-API zum Ausführen eines HTTP-Servers unter Windows verwendet, wird dieser Dienst dem Systemprozess in Rechnung gestellt, da er über den Kernelserver ausgeführt wird http.sys.

Sie können die registrierten URLs sehen , indem Sie den folgenden Befehl ausführen: netsh http show servicestate. Dies beinhaltet auch die Portnummer.

netstat -ab kann auch anzeigen, welche Dienste einen bestimmten Port abgehört haben.

afrazier
quelle
Vielen Dank! Ich hätte das wirklich selbst überlegen müssen ... Ich fand heraus, dass VAIO Care (ein Sony-Dienstprogramm) den Dienst (VCAgent.exe) gestartet hat. Aber anscheinend wird dieser Service nicht wirklich benötigt. Ich habe einen Netzwerk-Sniffer geöffnet, um zu überprüfen, ob beim Klicken im Programm Anforderungen an den Server vorliegen, aber es ist nichts wirklich passiert (die normale Anforderung im Webbrowser ist aufgetreten). Wie auch immer, ich habe es aus dem Autostart entfernt, daher sollte dies jetzt behoben sein. Obwohl es ziemlich dumm ist, dass die gesamte Server-API immer den Systemprozess verwendet.
22.11.11
+1 fürnetstat -ab
Kevin Kibler
Schade, dass mein netstat -absagt "
Besitzinformationen können nicht abgerufen werden
1
Als Referenz ist mein Fall, dass Free Video Maker den Port benutzt. Ich habe einen Angular JS-Tutorial-Server-Konflikt festgestellt, daher muss ich ihn beheben.
Simongcc
1
(Falls dies verloren geht, habe ich auch eine Antwort hinzugefügt.) Versuchen Sie auch: netsh http show servicestate view = requestq
Nick Westgate
4

Ein bisschen spät vielleicht, aber dieser Thread tauchte bei meiner Google-Suche ganz oben auf und schien am relevantesten zu sein, obwohl ich diese letzte Information, die ich nützlich fand, nicht hatte.

Sie können die (dynamisch) registrierten URLs anzeigen, indem Sie den folgenden Befehl ausführen: netsh http show servicestate

PiBa-NL
quelle
1

Ein bisschen googeln zeigt WCF-Beispielanwendungen mit 8000 und Intel Remote Desktop Interface. Ich würde nicht erwarten, dass diese als System ausgeführt werden.

Es gibt einige Trojaner / Backdoors, die 8000 verwenden. Daher ist es möglicherweise eine gute Idee, eine Antiviren-Festplatte zu booten und einen vollständigen Scan durchzuführen.

Paul
quelle
1

Sie könnten TCPView verwenden , um viel mehr Informationen zu diesem Prozess zu erhalten, als Sie über netstat finden können.
Wenn Sie immer noch nicht wissen, was die Anwendung wirklich ist, veröffentlichen Sie einen Screenshot der Zeile, in der Port 8000 erwähnt wird, und wir werden es für Sie herausfinden.

Shadok
quelle
TCPView zeigt nicht mehr als netstat an (weshalb ich nicht einmal erwähnt habe, dass ich es ausprobiert habe). Aber sicher, ich habe meiner Frage einen Screenshot der Port-8000-Zeilen hinzugefügt.
22.11.11
1

System-Sockets (PID 4) können http.sys sein. In diesem Fall können Sie den von PiBa-NL angegebenen netsh-Befehl verwenden.

Beachten Sie jedoch, dass es einige Parameter gibt. Die Standardeinstellungen entsprechen anscheinend:

netsh http show servicestate view=session verbose=yes

Die Sitzungsansicht hat in meinem Fall nicht geholfen, aber dies zeigte die PID:

netsh http show servicestate view=requestq
Nick Westgate
quelle
Vielen Dank! Die PID war der Schlüssel für mich.
duct_tape_coder
0

In meinem Fall wurde Port 8000 von Treibern für die Sound BlasterX AE-5 -Soundkarte übernommen. Der Prozess Creative.AudPosServicein C:\Program Files (x86)\Creative\Connection Servicehat diesen Port verwendet.

Zum Glück ist es möglich, diesen Port zu ändern. Öffnen Creative.AudPosService.exe.configund ändern Sie die Leitung, in der sich die Portnummer befindet <add baseAddress="http://localhost:8000/"/>, <add baseAddress="http://localhost:9999/"/>oder ändern Sie die Leitung, wenn dies Ihre Arbeit nicht beeinträchtigt. Starten Sie den Computer neu und es sollte in Ordnung sein.

Vladimir Jovanović
quelle