Utilicé netstat y encontré una aplicación ESCUCHANDO en loopback con una dirección extranjera en 0.0.0.0
¿Significa esto que alguna aplicación es potencialmente un rootkit?
Gracias
NAME LOCAL ADRESS FOREIGN ADRESS STATE PID
TCP 127.0.0.1:27015 0.0.0.0:0 LISTENING 6796
Respuesta1
una dirección extranjera 0.0.0.0 significa que nadie se ha conectado <-- Tienes esto.
una dirección local 0.0.0.0 significa escuchar en todas las interfaces. <-- No tienes esto.
una dirección local 127.0.0.1 significa escuchar solo en 127.0.0.1, lo que significa que solo su computadora puede conectarse. <-- Tienes esto. Realmente creo que eso es bastante inofensivo. Incluso escuchar en 0.0.0.0 puede estar bien cuando tienes un firewall... (el enrutador +NAT ayuda), pero el tuyo es mucho más seguro que eso. Incluso otra computadora en su LAN no podría conectarse, ¡y mucho menos desde Internet!
ESCUCHANDO en lugar de ESTABLECIDO, por lo que significa que nadie está conectado.
Todas las conexiones de ESCUCHA tienen una dirección externa de 0.0.0.0 y creo que probablemente también viceversa, todas las direcciones externas de 0.0.0.0 aparecen como ESCUCHA. Entonces tiene sentido que tengas LISTENING y una dirección extranjera de 0.0.0.0. Eso es normal.
En tu caso, tu dirección extranjera es 0.0.0.0, por lo que nadie se ha conectado
Y en su caso, dado que la IP de la dirección local 127.0.0.1 a diferencia de una IP de LAN o 0.0.0.0, significa que solo 127.0.0.1 puede conectarse. Si fuera una dirección LAN, significa que cualquiera de su LAN puede conectarse, y si fuera 0.0.0.0, significa que cualquiera puede conectarse.
Una IP local de 127.0.0.1 ESCUCHAR suele ser la menor preocupación porque solo su computadora local puede conectarse a ella (¡su computadora se conecta a sí misma)! Como un cliente y un servidor ejecutándose... Y ahí es cuando ESTABLECIDO.
Una IP local de 0.0.0.0 LISTENING puede ser más un problema de seguridad, pero puede estar bien. Pero luego querrás ver si la dirección extranjera es de Internet y luego cuál es el PID. Y considere si desea que se conecten direcciones extranjeras de Internet o si desea bloquearlas con su firewall, y también tendrían que pasar por su enrutador NAT, pero esta no es su situación. Como su servidor o servicio está escuchando en 127.0.0.1.
Respuesta2
"0.0.0.0" significa que un servidor está escuchando en cada interfaz disponible con la IP correspondiente. Esto no tiene nada que ver con un kit de raíz, pero probablemente quieras comprobarlo de cualquier manera, tal vez algún juego quiera permitir que los jugadores se unan a través de LAN, o sea Windows Netbios. Si desea ayuda para identificarlo, comente el número de puerto.