Mengapa System mendengarkan pada port 8000?

13

Saya perhatikan secara tidak sengaja hari ini bahwa saya memiliki beberapa server web yang tidak dikenal mendengarkan pada port 8000. Membuka http: // localhost: 8000 hanya mengembalikan 404, jadi saya tidak mendapatkan petunjuk apa sebenarnya yang mendengarkan di sana.

Saya sudah terbiasa netstat -anomencari tahu, bahwa proses dengan PID 4 mendengarkan pada port itu. PID 4 adalah proses Sistem. Mengapa sistem saya mendengarkan port itu, tanpa saya sebenarnya memulai server? Atau bagaimana saya bisa mengetahui apa yang sebenarnya mendengarkan di sana?

Saya telah membaca pertanyaan terkait tentang port 80 dan port 443 , tetapi tidak ada layanan yang disebutkan berjalan di sistem saya. Dan saran lain di sana juga tidak berhasil.

edit:

Respons HTTP dari daftar server Microsoft-HTTPAPI/2.0sebagai server.

edit2:

Seperti yang diminta oleh Shadok, berikut adalah entri TCPView dengan port 8000. Tapi saya ragu itu berguna sama sekali ...

Hasil TCPView

menyodok
sumber

Jawaban:

16

IIRC, program apa pun yang menggunakan API HTTP Server untuk menjalankan server HTTP pada Windows akan memiliki layanan yang dibebankan ke proses Sistem karena berjalan melalui http.sysserver kernel .

Anda dapat melihat URL yang terdaftar dengan menjalankan perintah berikut: netsh http show servicestate. Ini akan termasuk nomor port juga.

netstat -ab juga dapat mengungkapkan layanan mana yang mulai mendengarkan pada port yang diberikan.

lebih gila
sumber
Terima kasih! Saya benar-benar harus memikirkan itu sendiri ... Saya menemukan bahwa VAIO Care (utilitas Sony) yang memulai layanan (VCAgent.exe). Namun ternyata layanan itu tidak terlalu dibutuhkan. Saya membuat sniffer jaringan terbuka untuk memeriksa apakah ada permintaan ke server ketika mengklik di dalam program, tetapi tidak ada yang benar-benar terjadi (permintaan normal di browser web memang muncul). Lagi pula, saya menghapusnya dari autostart, jadi ini harus diselesaikan sekarang. Meskipun cukup bodoh bahwa semua API server selalu menggunakan proses Sistem.
colok
+1 untuknetstat -ab
Kevin Kibler
Sayang sekali netstat -abkata saya "Tidak dapat memperoleh informasi kepemilikan", jadi saya mandek, tetapi sebaliknya masih perintah yang berguna
Tominator
1
Sebagai referensi, kasing saya adalah Free Video Maker menggunakan porta. Saya mengalami konflik server tutorial Angular JS jadi saya harus mengatasinya.
simongcc
Anda pak, buat hari saya! itu adalah "Freemake Video Downloader Capture Service" menggunakan port ini
Master of Celebration
4

Sedikit terlambat mungkin tetapi utas ini muncul cukup tinggi di pencarian google saya, dan tampaknya paling relevan meskipun kurang informasi akhir yang saya temukan berguna.

Anda dapat melihat url yang terdaftar (secara dinamis) dengan menjalankan perintah berikut: netsh http show servicestate

PiBa-NL
sumber
1

Sedikit googling menunjukkan contoh aplikasi WCF menggunakan 8000, dan Intel Remote Desktop Interface. Saya tidak berharap ini berjalan sebagai sistem.

Ada beberapa trojan / backdoors yang menggunakan 8000, jadi mungkin mem-boot disk Antivirus dan melakukan pemindaian penuh akan menjadi ide yang baik.

Paul
sumber
1

Anda bisa menggunakan TCPView untuk mengetahui lebih banyak info tentang proses itu daripada apa yang dapat Anda temukan melalui netstat.
Jika Anda masih tidak tahu apa sebenarnya aplikasi itu setelah itu, pasang tangkapan layar dari garis yang menyebutkan port 8000 dan kami akan mengetahuinya untuk Anda.

Shadok
sumber
TCPView tidak menampilkan lebih dari netstat (itulah sebabnya saya bahkan tidak menyebutkan bahwa saya mencobanya). Tapi tentu saja, saya menambahkan tangkapan layar port 8000 baris ke pertanyaan saya.
colok
0

Soket sistem (PID 4) mungkin http.sys, dalam hal ini Anda dapat menggunakan perintah netsh yang diberikan oleh PiBa-NL.

Tetapi perhatikan ada beberapa parameter. Tampaknya standarnya setara dengan:

netsh http show servicestate view=session verbose=yes

Tampilan sesi tidak membantu dalam kasus saya, tetapi ini menunjukkan PID:

netsh http show servicestate view=requestq
Nick Westgate
sumber
0

Dalam kasus saya, port 8000 diambil alih oleh driver untuk kartu suara Sound BlasterX AE-5 . Proses yang Creative.AudPosServiceberlokasi di C:\Program Files (x86)\Creative\Connection Servicetelah menggunakan port ini.

Untungnya, dimungkinkan untuk mengubah port ini. Terbuka Creative.AudPosService.exe.configdan perubahan jalur di mana nomor port terletak <add baseAddress="http://localhost:8000/"/>untuk <add baseAddress="http://localhost:9999/"/>atau hal lain yang tidak mengganggu pekerjaan Anda. Nyalakan kembali komputer dan itu akan baik-baik saja.

Vladimir Jovanović
sumber