- 締切済み
ポート番号80について
netstat -anoで表示すると、 見知らぬIPアドレスが80番ポートでステータスがCLOSE_WAIT表示され続けます。プロセス名はsvchost.exeです。 数分ごとに違うIPで接続していきます。 また、実際にそのIPアドレスにIEからアクセスすると、海外のサイト等につながります。 これは何のプロセス(プログラム)なのでしょうか? 実際のプログラムは特定できるのでしょうか? Nortonとspybotでは何も検出されませんでした。 OSはWindowsXP SP3です。 宜しくお願い致します。
- tunedcar
- お礼率62% (5/8)
- Windows系OS
- 回答数5
- ありがとう数5
- みんなの回答 (5)
- 専門家の回答
みんなの回答
- junkUser
- ベストアンサー率56% (218/384)
そのPIDがランダムなポートxxxxでLISTENしています。 3389 ではないですか? リモートデスクトップを公開していたりしませんかね。 複数ユーザーでログオンできるような設定をしていたりしませんか?
- junkUser
- ベストアンサー率56% (218/384)
説明が不足していました。 netstat -nab で出た不審なPIDと tasklist /svc で出るPIDを比較してみて下さい。 どのサービスが接続を試みているかわかると思います。
- jjon-com
- ベストアンサー率61% (1599/2592)
svchost.exe だけではプロセスの実体は分かりません。 http://gigazine.net/index.php?/news/comments/20061009_svchost/ 上記ページ中に掲載されているURLは古いようで Process Explorerのダウンロードページに到達できません。こちらからどうぞ。 http://okwave.jp/qa3983394.html の私の過去の回答 ANo.3
お礼
ご回答ありがとございます。 svchost.exeのpropertiesから rpcss.dllとtermsrv.dllが表示されました。
アドウェアの類かと思われますが‥‥ http://www.moongift.jp/2008/03/procx/ この辺でプロセスの実体を確認できますでしょうか。
お礼
迅速な対応ありがとございました。 procxを使って確認してみました。 c:windows\system32のsvchost.exeになってました。 宜しくお願い致します。
- junkUser
- ベストアンサー率56% (218/384)
接続先のIPアドレスはわかりますか? netstat -nab で何か追加の情報が得られるかもしれません。
お礼
迅速な回答ありがとうございました。 IPは色々ですが、77.120.101.68 とかです。 netstat -nabでは以下のように出力されます。 C:\WINDOWS\System32\mswsock.dll c:\windows\system32\WS2_32.dll -- 不明なコンポーネント -- [svchost.exe] 宜しくお願い致します。
関連するQ&A
- ポート1900について
OutPostのAllowedを見るとUndefined RuleでSVCHOST.EXEが1900のポートで送受信しています。それなのに[netstat -an]で見ると1900番のForeign Addressは*:*となっています(UDPはつながっていてもForeign Address表示されないのですか?) ポート塞いだほうがいいでしょうか? ちなみにSVCHOST.EXEはすでにルール作ってあります。
- ベストアンサー
- ウィルス・マルウェア
- ポートをリスニングさせているプロセスからプログラムのフルパスを割り出す
netstat と tasklistで確認したところ、 alg.exe が TCP 1025、 svchost.exe が TCP 2869 をリスニングさせているのですが、これらは一般的なことでしょうか? また、ポートをリスニングさせているプロセスからプログラムのフルパスを割り出すことは可能でしょうか? Windows XP Pro SP2を使用しています。どうぞよろしくお願いいたします。
- ベストアンサー
- Windows系OS
- 開いてるポート、インターネットへの通信動作の謎
私はポートをどのプロセスが使用しているかを http://technet.microsoft.com/ja-jp/sysinternals/default.aspx のTcpViewというフリーソフトで見ていますが(コマンドプロンプトでnetstat.exeをつかっても見られます。)この時ブラウザで閲覧しているwebページと同じIPアドレスに [System Process]:0 というプロセスがアクセスしていますがなぜアクセスしているんですか? あと[System Process]:0は具体的にどのプログラムファイルなんですか? あとSystem:4 も具体的にどのプログラムファイルなのか分かりますか?
- ベストアンサー
- スパイウェア
- netstat と netstat-anoの表示結果の関係(理解の方法)
netstatとnetstat-anoコマンドとの関係について教えて下さい。例えば、自分のPCでnetstatコマンド実行後にESTABLISHEDが確認されたAと言うホストと、そのすぐ後にnetstat-anoコマンドを実行してESTABLISHEDが確認された111.222.333.444というIPアドレスとの関係はどのように理解したら良いのでしょうか?(ポートは同じです) 111.222.333.444というIPアドレスはホストAのアドレスということなのでしょうか、それとも111.222.333.444というIPアドレスのPCがホストAと接続が確立され、そのホストAとnetstatコマンドを実行した自分のPCが接続確立している(つまり、111.222.333.444のIPアドレスのPCと自分のPCがホストAで接続されている)という意味なのでしょうか? netstatコマンドを実行した自分のPCと接続がESTABLISHEDになっていたホストAと、netstst-anoコマンドを実行した時にESTABLISHEDが確認された111.222.333.444というIPアドレス、この3つの関係の理解のしかたを教えて下さい。宜しくお願いします。
- ベストアンサー
- その他(インターネット接続・通信)
- netstatでclose_waitのままの接続が消えない
はじめまして。 インターネットの接続を切ろうとすると時々「切断しますか」というダイアログが出るので、コマンドプロンプトでnetstatを取ってみると一つだけCLOSE_WAITのままの接続があり、それが接続を切ってもずっと消えずに残っています。これは何なんでしょうか? Foreign Addressはlocal host:1207でいつも同じ、Local Addressは毎回違うポート番号です。これが何か調べる方法はないでしょうか? パソコン初心者なのでもしかしたらとんちんかんな質問をしているかも知れませんが、盗聴ソフトのようなものが仕込まれているのではないかと不安です。 ノートンアンチウィルスや各スパイウェア検出ソフトで調べても何も検出されないのですが・・・。 教えていただけると嬉しいです。 よろしくお願いします。 ちなみに接続はフレッツISDN、OSはXP-home、ノートンインターネットセキュリティ2003が入っています。
- 締切済み
- ネットワーク
- ポート80が何に使われているのかが分かりません
Apacheを起動しようとしたところ「make_sock: could not bind to address 0.0.0.0:80」というエラーが出ました。ネットの記事を調べてみると、ポート80が他のアプリケーションで使われているために起こる問題で、以下の手順でポート80を使っているアプリケーションを特定し止めることができると書いてありました。 (1)コマンドプロンプトでnetstat -oanを実行 (2)0.0.0.0:80 を使用している [PID] を確認 (3)タスクマネージャ>プロセス を開き、表示>列の選択 で、「PID(プロセル ID)(P)」をチェックして表示。 (4)ステップ(2)で確認したPIDを使用しているアプリケーションを特定。 netstat-oanで調べたところポート80のPIDは1792(状態はLISTENING)でした。 しかしながらタスクマネージャーのプロセスにあるPID列にはこの1792が表示されませんでした。 なぜタスクマネージャーのプロセスに表示されないのでしょうか この場合、PID1792が何のアプリケーションなのかを知るにはどうしたらよいのでしょうか 教えてくださいますようお願いします
- ベストアンサー
- その他([技術者向] コンピューター)
- 通信ポートのリストの見方を教えてください
WinXP(sp2)を使用しています。 このPCで開いている通信ポートを netstat -anコマンドで調べましたら 下記のリストが表示されました。 見方がわからないので、ポートの解説してあるサイトがあれば紹介してください。 0.0.0.0:**** や 127.0.0.1:**** のポートがなぜあるのかわかりません。 (***.***.***.*** はこのPCのIPアドレスです) >netstat -an Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:7 0.0.0.0:0 LISTENING TCP 0.0.0.0:9 0.0.0.0:0 LISTENING TCP 0.0.0.0:13 0.0.0.0:0 LISTENING TCP 0.0.0.0:17 0.0.0.0:0 LISTENING TCP 0.0.0.0:19 0.0.0.0:0 LISTENING TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 0.0.0.0:445 0.0.0.0:0 LISTENING TCP 0.0.0.0:6515 0.0.0.0:0 LISTENING TCP 127.0.0.1:1026 0.0.0.0:0 LISTENING TCP 127.0.0.1:1120 127.0.0.1:1121 ESTABLISHED TCP 127.0.0.1:1121 127.0.0.1:1120 ESTABLISHED TCP 127.0.0.1:1122 127.0.0.1:1123 ESTABLISHED TCP 127.0.0.1:1123 127.0.0.1:1122 ESTABLISHED TCP ***.***.***.***:139 0.0.0.0:0 LISTENING TCP ***.***.***.***:1119 ***.***.***.17:3128 CLOSE_WAIT UDP 0.0.0.0:7 *:* UDP 0.0.0.0:9 *:* UDP 0.0.0.0:13 *:* UDP 0.0.0.0:17 *:* UDP 0.0.0.0:19 *:* UDP 0.0.0.0:445 *:* UDP 0.0.0.0:500 *:* UDP 0.0.0.0:1039 *:* UDP 0.0.0.0:1075 *:* UDP 0.0.0.0:4500 *:* UDP 0.0.0.0:6514 *:* UDP 0.0.0.0:6515 *:* UDP 0.0.0.0:6516 *:* UDP 0.0.0.0:12352 *:* UDP 127.0.0.1:123 *:* UDP 127.0.0.1:1036 *:* UDP 127.0.0.1:1900 *:* UDP ***.***.***.***:123 *:* UDP ***.***.***.***:137 *:* UDP ***.***.***.***:138 *:* UDP ***.***.***.***:520 *:* UDP ***.***.***.***:1900 *:*
- 締切済み
- ネットワーク
- Apacheのポート番号の変更のしかたをおしえて!
Apacheのポート番号の変更によって、グローバルIPが1個でも、wwwサーバーが複数公開できると 思って、確かめましたが、出来ません /etc/httpd/conf/httpd.confの249行の#ServerName new.host.name:80の80を1030などにしてもだめでした。ポート番号の検出のために、netstat -lnpでみても変わらず、実際、wanからの接続も出来ませんでした。この時、ルーターの設定は1030をあけて 待機したのですが。勿論80番では、接続できますが、wwwのポート番号の変更をしないことには、1個のグローバルIPでは不可能です。
- 締切済み
- オープンソース
- ログイン時に接続があるのですが
ログイン時すぐに C:\netstat -bv C:\taskilst を実行すると以下のログになります ------------------------------------- C:\netstat -bv Active Connections Proto Local Address Foreign Address State PID TCP home:1027 xxx.xxx.xxx.xx:http TIME_WAIT 0 TCP home:1036 xxx.xxx.xxx.xx:http TIME_WAIT 0 ------------------------------------- IPアドレスxxx.xxx.xxx.xxは大体固定でいくつかのIPアドレスが ローテーションのように(規則性はわかりませんが) いくつかの同じIPアドレスです。 ------------------------------------- C:\tasklist イメージ名 PID セッション名 セッション# ========================= ====== ================ ======== メモリ使用量 ============ System Idle Process 0 Console 0 16 K ------------------------------------- tasklistで PID 0のものはSystem Idle Processになっています。 これはハッキングでしょうか? ワームでしょうか? ウィルスでしょうか? インストールしたアプリからのものでしょうか? どうかよろしくお願いします(><;)
- ベストアンサー
- ネットワーク
- http://127.0.0.1:30000/をアドレスに打ち込むと変な画面が出る
コマンド プロンプトでnetstat -anoを打つと 127.0.0.1:30000というLocal Addressがあったので http://127.0.0.1:30000/を実行したら 表示→ソースで出てくるのと同じ変な画面が でたのですがこれは何なのでしょうか?
- 締切済み
- ウィルス・マルウェア
お礼
tasklist /svcの結果です。 DcomLaunch, TermService 追記 そのPIDがランダムなポートxxxxでLISTENしています。