آموزش CSMON : چگونه ترافیک ورودی به سرور را شنود کنیم؟

اپلیکیشنی با نام CSMon.exe وجود دارد که اقدام به Listen (شنود) ترافیک های ورودی به سرور مذکور از طریق پورت 2969 می‌نماید. در مورد این نرم افزار موارد زیر قابل توجه است : این اپلیکیشن نام خاصی نداشته و توسعه دهنده آن نیز مشخص نیست و فاقد امضای دیجیتالی است. هرچند که تاکنون هیچ مورد هشدار دهندهای از این اپلیکیشن منتشر نشده است، اما اگر از وجود و یا نوع کارکرد آن بر روی سرور خود بی اطلاع هستید، بهتر است سرویس آن را متوقف کرده و آن را پاک نمایید.

ممکن است فرایند پردازش این اپلیکیشن، باعث بالا رفتن مصرف CPU و یا Memory شود. در این صورت به احتمال زیاد این اپلیکیشن آلوده به ویروس است. برای متوقف کردن فعالیت این اپلیکیشن ابتدا باید فرایند اجرایی آن را در پروسس ها متوقف کنیم و سپس آن را Uninstall کرده و با مراجعه به محل نصب و لیست استارت اپ و اتوران های سیستم، از پاک شدن ان مطمئن شد.

وب سایت توسینسو

این اپلیکیشن معمولا خود را در یکی از دونقطه زیر (و یا هر دو) از سیستم کپی میکند:

C:\Program Files\CiscoSecure ACS v4.2\bin\CSMon.exe Size:68819
C:\Program Files (x86)\CiscoSecure ACS v4.1\bin\CSMon.exe Size:67999

منابع

 http://www.runscanner.net/lib/csmon.exe.html
http://processchecker.com/file/CSMon.exe.html

نویسنده : احسان امجدی

منبع :انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

4 نظر
مهدی باقری

یعنی واقعا این موجود هیچ کاری جز شنود نمیکنه و با توجه به ساین نبودنش هیچ کدوم از ابزار های امنیتی تا حالا مچش رو نگرفتن ؟

احسان امجدی

مهدی جان از اونجایی که تا حالا هیچ موردی مبنی بر ویروس بودن اون گزارش نشده، قاعدتا در آپدیت های آنتی ویروس ها و فایروال ها فقط Detect میشه. ولی از طرفی چون هویت این نرم افزار و نوع کاری که میکنه کمی نا معلومه، توصیه شده که در صورتی که روی سرورهای شما وجود داره و علائم مشکوکی مثل بالا رفتن مصرف منابع سخت افزاری و غیره رو از خودش نشون میده، و یا بی دلیل روی سرور شما هست، حتما پاکش کنید چون به نوعی یک Sniffer هستش

مهدی باقری

جالب برام

روی اون پرت کار دیگه ای انجام نمیشه که مثلا اونو ببندیم

البته من ندارمش که امتحان کنم

احسان امجدی

این نرم افزار کمی ناشناخته هستش و هیچ اعتباری نیست که الزاما فقط روی اون پورت کار کنه. بنابراین فکر نمیکنم بستن اون پورت هم کار قطعی ای باشه.

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....