大家好，我是軒轅。

上周的某天早上，我剛到公司，旁邊的小伙伴就神神秘秘地告訴我：

“軒哥，你電腦是不是被種馬了？”

我一聽瞪大了眼睛，趕忙問什么情況。

“我在XXX上看到你的IP在大量請(qǐng)求公司其他人的電腦，有點(diǎn)像橫向移動(dòng)”

我腦子嗡了一下！

這里補(bǔ)充一下背景：

1、XXX是一款產(chǎn)品，用來分析網(wǎng)絡(luò)通信流量中的網(wǎng)絡(luò)攻擊行為。

2、橫向移動(dòng)是網(wǎng)絡(luò)攻擊的一個(gè)術(shù)語，攻擊者拿下一臺(tái)主機(jī)后，一般會(huì)進(jìn)一步探測(cè)目標(biāo)主機(jī)所處的網(wǎng)絡(luò)環(huán)境，然后嘗試入侵同局域網(wǎng)中更多的主機(jī)，稱之為橫向移動(dòng)。

我趕緊上XXX平臺(tái)看了一下，果不其然，發(fā)現(xiàn)了我的IP和同網(wǎng)段的其他主機(jī)的7680端口都建立過連接，幾乎把同網(wǎng)段的主機(jī)都連了一遍，而且就在發(fā)現(xiàn)的當(dāng)下，仍然還在不斷連接其他主機(jī)的7680端口。產(chǎn)品涉密，這里就不方便截圖了。

那一刻，說不慌是不可能的。

自己就是搞安全的，這要是出了這么大簍子，那日后可真沒臉見人了。

趕緊打開工具分析了起來，用抓包軟件看了一下，不僅我在連別人的7680端口，別人居然也在連我的7680端口。

先看下我本機(jī)上的7680端口是哪個(gè)進(jìn)程在監(jiān)聽：

圖片

用procexp這個(gè)工具看到進(jìn)程PID是5952：

圖片

定位到這個(gè)具體的進(jìn)程，竟然是一個(gè)svchost的進(jìn)程，心情更加郁悶了！因?yàn)閟vchost進(jìn)程是Windows上很多系統(tǒng)服務(wù)的軀殼進(jìn)程，Windows的很多系統(tǒng)服務(wù)都是通過這個(gè)svchost.exe來加載對(duì)應(yīng)的服務(wù)dll來運(yùn)行的。

因?yàn)閃indows系統(tǒng)服務(wù)眾多，所以你打開任務(wù)管理器可以看到一堆的svchost進(jìn)程。而很多病毒木馬也喜歡利用這一點(diǎn)，藏在svchost里面，這樣可以隱蔽自己，不容易被發(fā)現(xiàn)。

所以當(dāng)我看到是svchost的時(shí)候，心里更加慌了。

但我看進(jìn)程的命令行，又不像是個(gè)惡意的程序。別著急，既然是服務(wù)，那就可以看到具體的服務(wù)描述。切換到services服務(wù)tab頁下，看到了這個(gè)服務(wù)的描述信息：

執(zhí)行內(nèi)容傳遞優(yōu)化服務(wù)

圖片

這是個(gè)神馬玩意兒？

于是我搜了一下，在微軟官網(wǎng)找到了這個(gè)東西的介紹：

圖片

原來是Windows用來做更新用的，它可以通過局域網(wǎng)內(nèi)其他的Windows主機(jī)來獲取更新內(nèi)容，并且確實(shí)是使用的7680端口：

圖片

最后，我在系統(tǒng)設(shè)置里找到了這個(gè)家伙：

圖片

默認(rèn)情況下，系統(tǒng)是開啟了這個(gè)開關(guān)的，也就是說，你的Windows系統(tǒng)會(huì)在它認(rèn)為合適的時(shí)候，去主動(dòng)連接局域網(wǎng)的其他主機(jī)，向它們獲取更新信息。

微軟這波操作，也是醉了，這個(gè)行為實(shí)在是太像木馬了。咱就是說，今天這個(gè)新就必須更是嗎？

也許是我火星了，應(yīng)該好幾年前就引入了這個(gè)功能，只不過這幾年換到Mac后，沒怎么關(guān)注Windows，偶然被我發(fā)現(xiàn)了罷了。

關(guān)于Windows的更新，也算是圈內(nèi)一個(gè)梗了。一不小心想重啟一下，不好意思，等我更新完成，哪怕當(dāng)前情況再緊急，對(duì)不起，等我更新完成。

圖片

不過還好是虛驚一場(chǎng)，趕緊把這玩意兒給關(guān)了。

你有被Windows更新坑過的經(jīng)歷嗎？