Usei o netstat e encontrei algum aplicativo LISTENING em loopback com endereço estrangeiro em 0.0.0.0
Isso significa que algum aplicativo é potencialmente um rootkit?
Obrigado
NAME LOCAL ADRESS FOREIGN ADRESS STATE PID
TCP 127.0.0.1:27015 0.0.0.0:0 LISTENING 6796
Responder1
um endereço estrangeiro 0.0.0.0 significa que ninguém se conectou <- Você tem isso.
um endereço local 0.0.0.0 significa escutar em todas as interfaces. <-- Você não tem isso.
um endereço local 127.0.0.1 significa escutar apenas em 127.0.0.1, o que significa que apenas o seu computador pode se conectar. <-- Você tem isso. Eu acho que isso é bastante inofensivo, na verdade. Mesmo ouvir em 0.0.0.0 pode ser bom quando você tem um firewall. (+Roteador NAT ajuda), mas o seu é muito mais seguro que isso. Mesmo outro computador na sua LAN não conseguiria se conectar, muito menos na Internet!
ESCUTANDO em vez de ESTABELECIDO, então significa que ninguém está conectado.
Todas as conexões LISTENING têm endereço estrangeiro 0.0.0.0 e acho que provavelmente vice-versa também, todos os endereços estrangeiros 0.0.0.0 estão listados como LISTENING. Portanto, faz sentido que você tenha LISTENING e um endereço estrangeiro 0.0.0.0. Isso é normal.
No seu caso, seu endereço estrangeiro é 0.0.0.0, então ninguém se conectou
E no seu caso, como o IP do endereço local 127.0.0.1 em oposição a um IP da LAN ou 0.0.0.0, significa que apenas 127.0.0.1 tem permissão para se conectar. Se fosse um endereço LAN, significa que qualquer pessoa da sua LAN pode se conectar, e se for 0.0.0.0, significa que qualquer pessoa pode se conectar.
Um IP local de 127.0.0.1 LISTENING é normalmente a menor preocupação, porque apenas o seu computador local pode se conectar a ele (seu computador se conectando a si mesmo)! Como um cliente e servidor rodando.. E é aí que ESTABELECIDO.
Um IP local de 0.0.0.0 LISTENING pode ser mais uma preocupação de segurança, mas pode ser aceitável. Mas você gostaria de verificar se o endereço externo é da Internet e qual é o PID. E considere se você deseja que endereços estrangeiros da Internet se conectem ou se deseja bloqueá-los com seu firewall, e eles também teriam que passar pelo seu roteador NAT. Mas esta não é a sua situação. Como seu servidor ou serviço está escutando em 127.0.0.1.
Responder2
"0.0.0.0" significa que um servidor está escutando em todas as interfaces disponíveis com o IP correspondente. Isso não tem nada a ver com um root kit, mas você provavelmente vai querer verificar de qualquer maneira, talvez algum jogo queira permitir que os jogadores entrem via LAN ou seja o netbios do Windows. Se você quiser ajuda para identificá-lo, comente o número da porta.