Verifique que el host reportado ejecute una aplicación legítima en el puerto.
Por ejemplo, el puerto 8080tcp es el puerto alternativo predeterminado para HTTP. Es utilizado por muchas aplicaciones legítimas.
Busque lo que se supone que el host de destino debe estar ejecutando en su base de datos de administración de configuración (usted tiene tiene un CMDB, ¿verdad?). Cuando se supone que se ejecuta, por ejemplo, un servidor de aplicaciones Apache Tomcat (que utiliza el puerto 8080), se trata de un comportamiento intencionado e inofensivo. Verifique que el servidor Tomcat esté funcionando. Cuando lo hace, significa que el puerto está en uso y no puede ser usado por ningún malware sin tener que detener el proceso de Tomcat, y eso causaría que quien lo necesite se queje. Agregue una regla de filtro a su sistema de informes para evitar que aparezcan más informes sobre ese servidor y el puerto 8080. Dichas reglas de filtro son importantes porque los falsos positivos que aparecen en sus informes simplemente distraen de cualquier positivo real. También es posible que desee agregar una regla a su sistema de informes que genere una alerta cuando esa combinación de ip: port ya no aparezca ya . Significaría que el servidor está inactivo o que fue rediseñado para que ya no se ejecute esa aplicación y que necesita actualizar sus reglas de filtro y su CMDB.
Sin embargo, cuando encuentras que el puerto está abierto en un host que no debe ejecutar nada que pueda usar 8080, vale la pena investigar. Inicie sesión en el servidor, ejecute netstat y verifique qué aplicación abrió ese puerto. Luego use su propio juicio para decidir si es legítimo o no.