Por que o Sistema está ouvindo na porta 8000?

13

Hoje, notei por acidente que tenho um servidor da web desconhecido ouvindo na porta 8000. A abertura http: // localhost: 8000 retorna apenas 404, para que eu não tenha nenhuma dica do que exatamente está ouvindo lá.

Eu costumava netstat -anodescobrir que o processo com o PID 4 está escutando nessa porta. PID 4 é o processo do sistema. Por que meu sistema está escutando nessa porta, sem que eu realmente inicie um servidor? Ou como posso descobrir o que exatamente está ouvindo lá?

Eu li as perguntas relacionadas sobre as portas 80 e 443 , mas nenhum dos serviços mencionados estava em execução no meu sistema. E as outras sugestões também não funcionaram.

editar:

A resposta HTTP do servidor é listada Microsoft-HTTPAPI/2.0como o servidor.

edit2:

Conforme solicitado pelo Shadok, aqui estão as entradas do TCPView com 8000 como a porta. Mas duvido que seja útil ...

Resultados TCPView

windows-7 windows port cutucar
fonte

Respostas:

17

IIRC, qualquer programa que use a API do servidor HTTP para executar um servidor HTTP no Windows terá esse serviço cobrado no processo do sistema porque está sendo executado no http.sysservidor do kernel .

Você pode ver as URLs registradas executando o seguinte comando: netsh http show servicestate. Isso incluirá o número da porta também.

netstat -ab também pode revelar quais serviços começaram a escutar em uma determinada porta.

afrazier
fonte
Obrigado! Eu realmente deveria ter pensado nisso ... Eu descobri que foi o VAIO Care (um utilitário da Sony) quem iniciou o serviço (VCAgent.exe). Mas, aparentemente, esse serviço não é realmente necessário. Eu mantive um sniffer de rede aberto para verificar se há alguma solicitação para o servidor ao clicar no programa, mas nada realmente aconteceu (a solicitação normal no navegador da web apareceu). De qualquer forma, eu o removi da inicialização automática, então isso deve ser resolvido agora. Embora seja bastante estúpido que toda a API do servidor sempre use o processo do sistema.
cutuca
+1 paranetstat -ab
Kevin Kibler 04/04
Pena que o meu netstat -abdiz: "Não é possível obter informações de propriedade", então eu estou preso, mas por outro lado ainda um comando útil
Tominator
1
Para referência, meu caso é o Free Video Maker que usou a porta. Encontrei um conflito no servidor de tutorial do Angular JS, portanto, tenho que resolvê-lo.
simongcc
1
(No caso de este se perde Eu adicionei uma resposta também.) Pesquisas relacionadas: netsh http show de servicestate view = requestq
Nick Westgate
4

Um pouco tarde, talvez, mas esse tópico apareceu bastante na minha pesquisa no Google e parecia mais relevante, apesar de não ter a informação final que achei útil.

Você pode ver os URLs (dinamicamente) registrados executando o seguinte comando: netsh http show servicestate

PiBa-NL
fonte
1

Um pouco de pesquisa mostra exemplos de aplicativos WCF usando 8000 e a Intel Remote Desktop Interface. Eu não esperaria que eles estivessem rodando como sistema.

Existem alguns trojans / backdoors que usam o 8000, portanto, talvez inicializar um disco antivírus e fazer uma verificação completa seja uma boa idéia.

Paulo
fonte
1

Você pode usar o TCPView para descobrir muito mais informações sobre esse processo do que o que você pode encontrar através do netstat.
Se você ainda não sabe o que realmente é o aplicativo depois disso, poste uma captura de tela da linha mencionando a porta 8000 e descobriremos por você.

Shadok
fonte
O TCPView não está mostrando mais que o netstat (e é por isso que eu nem mencionei que tentei). Mas com certeza, adicionei uma captura de tela das linhas da porta 8000 à minha pergunta.
cutuca
1

Os soquetes do sistema (PID 4) podem ser http.sys; nesse caso, você pode usar o comando netsh fornecido pelo PiBa-NL.

Mas observe que existem alguns parâmetros. Parece que os padrões são equivalentes a:

netsh http show servicestate view=session verbose=yes

A exibição de sessões não ajudou no meu caso, mas isso mostrou o PID:

netsh http show servicestate view=requestq
Nick Westgate
fonte
Obrigado! O PID foi a chave para mim.
duct_tape_coder
0

No meu caso, a porta 8000 foi adquirida pelos drivers da placa de som Sound BlasterX AE-5 . O processo Creative.AudPosServicelocalizado em C:\Program Files (x86)\Creative\Connection Serviceestá usando esta porta.

Felizmente, é possível mudar essa porta. Abrir Creative.AudPosService.exe.confige mudança de linha onde o número da porta está localizado <add baseAddress="http://localhost:8000/"/>a <add baseAddress="http://localhost:9999/"/>ou qualquer outra coisa que não interfira com o seu trabalho. Reinicie o computador e tudo deve ficar bem.

Vladimir Jovanović
fonte