当访问eBay.com网站时,将运行一个脚本,该脚本对计算机执行本地端口扫描,以检测远程支持和远程访问应用程序。
这些端口中的许多都与远程访问/远程支持工具有关,例如Windows远程桌面,VNC,TeamViewer,Ammy Admin等。
了解了这一点之后,BleepingComputer进行了测试,可以确认eBay.com在访问站点时确实在对14个不同端口进行本地端口扫描。
扫描由eBay.com上的check.js脚本 [ 存档 ] 进行,该脚本尝试连接到以下端口:
下面列出了十四个不同的扫描端口及其关联的程序和eBay参考字符串。
| 程序 | 易趣名称 | 港口 |
|---|---|---|
| 未知 | 参考 | 63333 |
| VNC | VNC | 5900 |
| VNC | VNC | 5901 |
| VNC | VNC | 5902 |
| VNC | VNC | 5903 |
| 远程桌面协议 | RDP | 3389 |
| 航空管理员 | ARO | 5950 |
| Ammyy管理员 | 艾米 | 5931 |
| 团队查看器 | 电视0 | 5939 |
| 团队查看器 | 电视1 | 6039 |
| 团队查看器 | 电视2 | 5944 |
| 团队查看器 | 电视2 | 6040 |
| 随处控制 | 装甲运兵车 | 5279 |
| AnyDesk | 任何 | 7070 |
BleepingComputer无法识别端口63333上的目标程序。如果识别出该程序,请告知我们。
该脚本使用WebSockets执行这些扫描,以在指定端口上连接到本地计算机127.0.0.1。
根据首先报告端口扫描的Nullsweep所说,使用Linux浏览站点时不会发生这些扫描。
但是,一旦他们在Windows中进行测试,便会进行端口扫描。
这很有意义,因为要扫描的程序都是所有Windows远程访问工具。
可能检测到被黑客入侵的计算机
我们首先从DarkNetDiaries 的Jack Rhysider那里听说了eBay的端口扫描脚本,从理论上讲,它已经用于广告投放,指纹识别或欺诈保护。
由于端口扫描仅在寻找Windows远程访问程序,因此很可能会检查用于欺诈性eBay购买的受感染计算机。
2016年,有报道称,人们的计算机已通过TeamViewer接管,并被用来在eBay上进行欺诈性购买。
由于许多eBay用户使用cookie来自动登录该站点,因此攻击者能够远程控制计算机并访问eBay进行购买。
情况非常糟糕,一个人创建了一个电子表格来跟踪所有报告的攻击。如您所见,其中许多参考了eBay。
Dan Nemec的出色写作进一步证实了用于欺诈检测的脚本,他在脚本中 追溯到LexisNexis拥有的欺诈检测产品ThreatMetrix。
作为ThreatMetrix描述的一部分,他们讨论了如何检测和保护站点免受远程访问木马(RAT)的侵害。
“恶意软件防护 可免受恶意软件攻击(MITB),远程访问特洛伊木马(RAT),高速/频率漫游器攻击到模仿合法客户行为的低速和慢速攻击,勒索软件,键记录尝试,等等。” ThreatMetrix的 产品页面说明。
尽管扫描的程序都是合法的,但其中一些已被用作网络钓鱼活动中的RAT。
无论原因如何,像这样的端口扫描仍然是侵入性的,并不是许多用户在访问站点时希望发生的事情。
当我们联系eBay进行声明时,我们被告知:
“客户的隐私和数据仍然是重中之重。我们致力于在我们的网站和服务上创造安全,可靠和可信赖的体验。”
美国东部标准时间20年5月25日12:01:更新文章,并注明正确的来源。
东部标准时间20年5月25日12:28更新:更新了文章,其中包含Dan Nemec博客文章中有关端口扫描的更多信息。
美国东部标准时间20年5月25日01:25更新:添加了ebay的声明。
*编译:Domino
*来自:bleepingcomputer