윈 도 우 혹시 내 컴퓨터도 좀비 PC?! 좀비 PC 확인법!!

저는 왜 5자리가 표시 되죠

============================================================

활성 연결

  프로토콜  로컬 주소                외부 주소               상태
  TCP    123.111.34.150:49165   120.143.249.36:https    CLOSE_WAIT
 [npnj5Agent.exe]
  TCP    123.111.34.150:49266   61.110.195.120:https    CLOSE_WAIT
 [YahooWidgets.exe]
  TCP    123.111.34.150:49267   61.110.195.120:https    CLOSE_WAIT
 [YahooWidgets.exe]
  TCP    123.111.34.150:49341   211.115.207.229:https   ESTABLISHED
 [iexplore.exe]

https://www.boho.or.kr 여기도 가보세요

8080 이나 8000 번 인터넷 포트 아닌가요?

포트표시와 같이 프로그램 명도 나오는것 같으니 확인하셔야 될것 같네요.

전 2851 달랑 1개 나오네요~~

음..저는..카스퍼땜시...오만? 몇 죽뜨네요 ㅎ.

웹서버도 8000 8080 포트 쓰는 경우 있습니다.

이 경우 좀비 아닙니다.

물론 자신의 컴이 좀비pc인지 걱정하는 수준의 네티즌이라면 '웹서버가 뭐야? 먹는거야?'하는 경우가 대부분이므로

이 경우 pc에 8000 8080 포트가 검색되면 100% 좀비입니다. 흐흐흐

https://www.boho.or.kr/pccheck/pcch_03.jsp?page_id=3

KISA에서 제공하는 악성봇 감염 확인 사이트입니다.

정확도야 세븐님이 소개한 방법보다 떨어지겠지만 나름...^^;

2000은 netstat -a 인가.....

다른 곳에서 8080이 좀비pc라고 소문이 무작정 막돌아서 도대체 왜 그런 소문이 퍼졌나했더니...

로컬의 포트번호 얘기였군요.

이래저래 와전되기 시작했네요. ㅋㅋㅋ

지금 8080만 얘기가 돌아서,

외부 어드레스에서 8080포트인 것도 좀비PC 아니냐며 패닉에 빠지는 곳도 있네요. ㅡ.ㅡ

혹시나 헷갈리실 분들을 위해서 간단히 개념을 설명해드리겠습니다.

로컬 주소(Local Address) : 현재 자기 컴퓨터의 주소

외부 주소(Foreign Address) : 자기 컴퓨터에서 접속한 외부에 있는 네트워크의 주소.

포트 번호(Port) : 네트워크로 연결할 때 각 연결마다 할당되는 번호(서버의 포트번호는 주로 고정, 클라이언트는 주로 랜덤)

여기서 문제가 된게 이 포트번호인데,

일반적으로 1~1024는 예약된 포트번호로서 랜덤할당이 되지 않습니다.

이 사이에 여러가지 기본적으로 규정된 기본 포트번호들이 필요한 곳에 쓰입니다.(주로 서버의 포트번호로 쓰입니다)

우리가 일반적으로 '인터넷 웹브라우저로 특정사이트에 연결한다'고 할때,

단순히 https://windowsforum.kr/ 혹은 https://211.115.207.229/ 이런식으로 입력해서 연결하는데 이는 사실 축약형입니다.

실제로는 https://windowsforum.kr:80/ 혹은 https://211.115.207.229:80/  이런 형태로 연결하게 됩니다.

즉 80번이란 포트번호는 https로 쓰인다는 기본 규정이 있기 때문에 생략이 가능합니다.(본문의 스샷에 외부주소에 포트번호 자리에 전부 https라고 쓰인게 80번임을 의미하는겁니다)

'서버 프로그램'이 돌면서 기본적으로 이 80번 포트를 쓰는데,

한 컴퓨터에서 또 다른 웹서비스를 제공해야할 필요가 있을때가 있는데 이미 80번 포트는 쓰고 있다면 어떻게 해야할까요?

규정된 사항은 아니지만, 임의로 80번 대신 8080,8000번이라는 포트번호를 설정해서 쓰게 됩니다. 그런식으로 하나의 아이피에서 다른 웹서비스 제공이 가능해지죠. 물론 1024번 이상의 번호라면 아무거나 써도 됩니다. 주로 https 웹서비스일 경우에 8080,8000을 써서 나름의 표시를 하는거죠.

그런데 말씀드렸다시피 80,8080,8000 이 번호들은 '서버'에서 쓸 포트번호들입니다.

'외부주소'에 이 번호들이 있는건 거의 문제가 되지 않습니다.

그런데 이 번호들이 자기 컴퓨터, 즉, '로컬주소'에서 할당되었다면요?

그건 바로 '내 컴퓨터가 누군가가 접속해서 쓰는 서버가 되었을 가능성이 높다'는 뜻이 됩니다.

랜덤으로 할당하는 범위는 1025~65535이므로 우연히 걸렸을 가능성은 거의 없습니다.

즉, 자기도 모르게 '내 컴을 서버로 활용하는 무언가가 존재한다'는 뜻이고,

결국 그게 지금 시끄러운 '좀비PC'입니다.

즉, netstat명령을 썼을때 왼쪽에 있는 목록(로컬주소목록)에서 80(https),8080,8000이 할당되어 있다면,

자기가 일부러 서버 돌리지 않는다면, 99% 의심할 상황이라는거죠.

그리고 로컬주소에 80,8080,8000번이 없다고 해서 무조건 안심하실 문제도 아닙니다.

말씀드렸다시피, 1025~65535의 범위내라면 아무거나 써도 됩니다.

어디서 쓰는지 정체모를 포트가 있다면 의심해봐야겠죠.

(다만, netstat -b로 확인할 경우 원래 정상적으로 할당되었으나 연결이 종료된 흔적이 남아서 프로그램에 묶이지 않고 표시될 수 있습니다.)

쓰고보니 제 설명이 간단하진 않네요. ㅡ.ㅡ

그냥 조금이라도 감을 잡으시길.ㅠㅠ