990/tcp open ftps <- jakieś połączenie Secure FTP - to już sobie musisz "netstat odpalić z parametrami -a -b i zobaczyć, co za proces tworzy połączenie FTPS na porcie 990
- 1025/tcp do 1029/tcp - NFS-IIS itp. na razie zostawiam, myślę że może to być jakiś system wymiany plików po sieci lokalnej (dokumenty udostępnione? OneDrive?) Windowsa 8.1, ale nie jestem pewien
- 990/tcp open ftps - usługę używającą mam WcesComm - szukałem info na ten temat, ale nie było za dużo info, głównie artykuły związane z bezpieczeństwem komputerowym, ale nic konkretnego, znalazłem za to artykuł, że był taki wirus “Sasser” (http://virus.wikidot.com/sasser) który używał LSASS buffer overflow vulnerability i coś może być na rzeczy bo po “netstat’cie -a -b” mam info że plik lsass.exe używa otwartego portu 1027 (czyli ten “IIS”), czy to może być to? Sasser był w 2004 roku, mamy 2016, a ja mam Windowsa 8.1, który jest up-to-date, dlatego mam wątpliwości.
EDIT: zrobiłem mały research i nie znalazłem plików które powinny się znaleźć w folderze Windowsa jeśli byłby to Sasser (m.in. avserve.exe, *_up.exe), co jednak jeśli to jakaś nowa wersja?
- 1060/tcp open polestar - nadal nie mam pojęcia co to jest, a Internet też nie ma praktycznie żadnych informacji na ten temat, jedyne linki jakie znalazłem są głównie na stronach typu IANA, SANS itp. gdzie jest tylko opis, że ten port jest używany właśnie przez polestar, ale nie jest nigdzie napisane co to konkretnie jest (np. https://www.grc.com/port_1060.htm , https://isc.sans.edu//port.html?port=1060 , https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xml); dodam jeszcze tylko, że polestar nie pokazuje nic w netstat -a -b (nie ma w ogóle tego portu pokazanego - jest za to 1062, który wyswietla “Can not obtain ownership information”)
- 5357/tcp open wsdapi - niby to Web Services on Devices API (WSDAPI) od Microsoftu (może znowu jakiś OneDrive?), ale teraz to też śmierdzi mi ta usługa
