Mi SIEM ha producido algo intrigante. Busqué conexiones SSH no autorizadas y busqué el protocolo SFTP por error. Encontré un servidor web de Windows que se conecta desde el puerto 80 a una dirección IP externa en el puerto 115.
Al investigar esto, descubrí RFC913: Protocolo simple de transferencia de archivos (SFTP) , un protocolo de transferencia de archivos propuesto que nunca fue ampliamente adoptado, se propuso que existiera entre TFTP y FTP, y se ejecutó en el puerto 115. IETF registra el puerto solo con fines históricos.
He ejecutado AV y un par de herramientas de rootkit contra el servidor y no he descubierto ninguna infección.
Mi pregunta es, ¿alguien está al tanto de cualquier malware, troyanos, etc. que aproveche la transferencia de archivos simple?