其乐融融的IT技术小站

微软Windows这波操作,着实把我吓了一跳!

大家好,我是轩辕。

上周的某天早上,我刚到公司,旁边的小伙伴就神神秘秘地告诉我:

“轩哥,你电脑是不是被种马了?”

我一听瞪大了眼睛,赶忙问什么情况。

“我在XXX上看到你的IP在大量请求公司其他人的电脑,有点像横向移动”

我脑子嗡了一下!

这里补充一下背景:

1、XXX是一款产品,用来分析网络通信流量中的网络攻击行为。

2、横向移动是网络攻击的一个术语,攻击者拿下一台主机后,一般会进一步探测目标主机所处的网络环境,然后尝试入侵同局域网中更多的主机,称之为横向移动。

我赶紧上XXX平台看了一下,果不其然,发现了我的IP和同网段的其他主机的7680端口都建立过连接,几乎把同网段的主机都连了一遍,而且就在发现的当下,仍然还在不断连接其他主机的7680端口。产品涉密,这里就不方便截图了。

那一刻,说不慌是不可能的。

自己就是搞安全的,这要是出了这么大篓子,那日后可真没脸见人了。

赶紧打开工具分析了起来,用抓包软件看了一下,不仅我在连别人的7680端口,别人居然也在连我的7680端口。

先看下我本机上的7680端口是哪个进程在监听:

图片图片

用procexp这个工具看到进程PID是5952:

图片图片

定位到这个具体的进程,竟然是一个svchost的进程,心情更加郁闷了!因为svchost进程是Windows上很多系统服务的躯壳进程,Windows的很多系统服务都是通过这个svchost.exe来加载对应的服务dll来运行的。

因为Windows系统服务众多,所以你打开任务管理器可以看到一堆的svchost进程。而很多病毒木马也喜欢利用这一点,藏在svchost里面,这样可以隐蔽自己,不容易被发现。

所以当我看到是svchost的时候,心里更加慌了。

但我看进程的命令行,又不像是个恶意的程序。别着急,既然是服务,那就可以看到具体的服务描述。切换到services服务tab页下,看到了这个服务的描述信息:

执行内容传递优化服务

图片图片

这是个神马玩意儿?

于是我搜了一下,在微软官网找到了这个东西的介绍:

图片图片

原来是Windows用来做更新用的,它可以通过局域网内其他的Windows主机来获取更新内容,并且确实是使用的7680端口:

图片图片

最后,我在系统设置里找到了这个家伙:

图片图片

默认情况下,系统是开启了这个开关的,也就是说,你的Windows系统会在它认为合适的时候,去主动连接局域网的其他主机,向它们获取更新信息。

微软这波操作,也是醉了,这个行为实在是太像木马了。咱就是说,今天这个新就必须更是吗?

也许是我火星了,应该好几年前就引入了这个功能,只不过这几年换到Mac后,没怎么关注Windows,偶然被我发现了罢了。

关于Windows的更新,也算是圈内一个梗了。一不小心想重启一下,不好意思,等我更新完成,哪怕当前情况再紧急,对不起,等我更新完成。

图片图片

不过还好是虚惊一场,赶紧把这玩意儿给关了。

你有被Windows更新坑过的经历吗?

赞 ()
分享到:更多 ()

相关推荐

内容页底部广告位3
留言与评论(共有 0 条评论)
   
验证码: