eBay端口扫描访问者的计算机以查找远程访问程序

eBay端口扫描

当访问eBay.com网站时,将运行一个脚本,该脚本对计算机执行本地端口扫描,以检测远程支持和远程访问应用程序。

这些端口中的许多都与远程访问/远程支持工具有关,例如Windows远程桌面,VNC,TeamViewer,Ammy Admin等。 

了解了这一点之后,BleepingComputer进行了测试,可以确认eBay.com在访问站点时确实在对14个不同端口进行本地端口扫描。

eBay.com脚本执行端口扫描
eBay.com脚本执行端口扫描

扫描由eBay.com上的check.js脚本 [ 存档 ] 进行,该脚本尝试连接到以下端口:

正在扫描的端口
脚本扫描的端口

下面列出了十四个不同的扫描端口及其关联的程序和eBay参考字符串。

程序 易趣名称 港口
未知 参考 63333
VNC VNC 5900
VNC VNC 5901
VNC VNC 5902
VNC VNC 5903
远程桌面协议 RDP 3389
航空管理员 ARO 5950
Ammyy管理员 艾米 5931
团队查看器 电视0 5939
团队查看器 电视1 6039
团队查看器 电视2 5944
团队查看器 电视2 6040
随处控制 装甲运兵车 5279
AnyDesk 任何 7070

BleepingComputer无法识别端口63333上的目标程序。如果识别出该程序,请告知我们。

该脚本使用WebSockets执行这些扫描,以在指定端口上连接到本地计算机127.0.0.1。

使用websocket进行本地端口扫描的脚本
使用WebSockets执行本地端口扫描的脚本

根据首先报告端口扫描的Nullsweep所说,使用Linux浏览站点时不会发生这些扫描。

但是,一旦他们在Windows中进行测试,便会进行端口扫描。

这很有意义,因为要扫描的程序都是所有Windows远程访问工具。

可能检测到被黑客入侵的计算机

我们首先从DarkNetDiaries  的Jack Rhysider那里听说了eBay的端口扫描脚本,从理论上讲,它已经用于广告投放,指纹识别或欺诈保护。

由于端口扫描仅在寻找Windows远程访问程序,因此很可能会检查用于欺诈性eBay购买的受感染计算机。

2016年,有报道称,人们的计算机已通过TeamViewer接管,并被用来在eBay上进行欺诈性购买。

由于许多eBay用户使用cookie来自动登录该站点,因此攻击者能够远程控制计算机并访问eBay进行购买。

情况非常糟糕,一个人创建了一个电子表格来跟踪所有报告的攻击。如您所见,其中许多参考了eBay。

Dan Nemec的出色写作进一步证实了用于欺诈检测的脚本,他在脚本中   追溯到LexisNexis拥有的欺诈检测产品ThreatMetrix。

作为ThreatMetrix描述的一部分,他们讨论了如何检测和保护站点免受远程访问木马(RAT)的侵害。

“恶意软件防护 可免受恶意软件攻击(MITB),远程访问特洛伊木马(RAT),高速/频率漫游器攻击到模仿合法客户行为的低速和慢速攻击,勒索软件,键记录尝试,等等。” ThreatMetrix的  产品页面说明。

尽管扫描的程序都是合法的,但其中一些已被用作网络钓鱼活动中的RAT。

无论原因如何,像这样的端口扫描仍然是侵入性的,并不是许多用户在访问站点时希望发生的事情。

当我们联系eBay进行声明时,我们被告知:

“客户的隐私和数据仍然是重中之重。我们致力于在我们的网站和服务上创造安全,可靠和可信赖的体验。”

美国东部标准时间20年5月25日12:01:更新文章,并注明正确的来源。
东部标准时间20年5月25日12:28更新:更新了文章,其中包含Dan Nemec博客文章中有关端口扫描的更多信息。
美国东部标准时间20年5月25日01:25更新:添加了ebay的声明。

 

*编译:Domino

*来自:bleepingcomputer