出現大量7680端口的內網連接,百度未找到端口信息,需證明為系統服務,否則為蠕蟲
1、 確認端口對應進程PID
netstat -ano
7680端口對應pid:6128
2、 查找pid對應進程
tasklist | find "6128"
對應進程為svchost.exe ,為系統服務進程,是從動態鏈接庫 (DLL) 中運行的服務的通用主機進程名稱,許多服務通過注入到該程序中啟動,所以會有多個該文件的進程。說明進程是從服務啟動的,去找對應的服務。
3、 通過tasklist /svc 查找對應pid 6128的服務名稱:
tasklist /svc |find "6128"
服務名為:DoSvc ,進入“服務”查找該服務,但是你可能會找不到該服務,因為上面找到的是“服務名稱”,而管理工具“服務”里顯示的是“顯示名稱”,如下圖
4、 可以通過命令查找對應的“顯示名稱”
wmic service where name = "dosvc" get displayname
得到“顯示名稱”:Delivery Optimization
5、結束
微軟查詢得到Delivery Optimization為Windows10補丁更新的一種模式叫“傳遞優化”,內網主機可以從已經下載的主機里下載補丁,同時也就占用了你主機的網速,神坑
關閉該端口: “更新”-“高級選項”中-“傳遞優化”-“關閉允許從其他電腦下載”,或者直接結束該服務
許多后門也是利用“服務”來加載進程,造成進程里無法直接查看到主進程名