易趣端口扫描访问者的计算机以查找远程访问程序

2020-05-25 19:49:18

访问eBay.com站点时,将运行一个脚本,该脚本将对您的计算机执行本地端口扫描,以检测远程支持和远程访问应用程序。

其中许多端口与远程访问/远程支持工具相关,如Windows远程桌面、VNC、TeamViewer、Ammy Admin等。

了解到这一点后,Bleepingcomputer进行了测试,可以确认eBay.com在访问该网站时确实在进行14个不同端口的本地端口扫描。

此扫描由eBay.com上的check.js脚本[存档]执行,该脚本尝试连接到以下端口:

下面列出了扫描的14个不同端口及其关联的程序和易趣参考字符串。

蜂鸣器计算机无法识别端口63333上的目标程序。如果您认得,请告诉我们。

该脚本使用WebSockets连接到指定端口上的本地计算机127.0.0.1来执行这些扫描。

根据最先报道端口扫描的NullSweep的说法,在使用Linux浏览网站时不会发生端口扫描。

这很有意义,因为要扫描的程序都是Windows远程访问工具。

由于端口扫描只查找远程访问程序,因此很可能是为了检查用于进行欺诈性易趣购买的受损计算机。

2016年,有大量报道称,人们的电脑通过TeamViewer被接管,并被用来在eBay上进行欺诈性购买。

由于许多eBay用户使用cookie自动登录该网站,攻击者能够远程控制计算机并访问eBay进行购买。

事情变得如此糟糕,以至于一个人创建了一个电子表格来跟踪所有报告的攻击。正如你所看到的,他们中的许多人都提到了eBay。

这些端口扫描仍然是侵入性的,并不是许多用户在访问站点时希望发生的事情。

Bleepingcomputer已就此端口扫描与eBay联系,但目前尚未收到回复。