Porte sospette...aperte o chiuse?

[manganese]

Visto che l'utility CURRPORTS e W.W.D.C. mi segnalano 2 porte aperte e "in
ascolto" da svchost (la tcp1025 e la tcp 5000) ho pensato di creare una
regola nel firewall (Outpost) per chiuderle...non sò cosa siano ma nel
dubbio...
Pensavo a quel punto che sparissero, invece CURRPORTS continua a segnalarle aperte e "in ascolto".
Come debbo interpretare il risultato?
Sono aperte e "in ascolto" ma nel caso di un tentativo di connessione
vengono fermate dal firewall?

[Peter_griffin]

svchost.exe è un normale processo di sistema.Cito da internet : "Il suo scopo è quello di fare da host per servizi che vengono eseguiti da librerie di collegamento dinamico (DLL)"
In ogni caso prova magari a fare una scansione con hijack this...

[manganese]

Ti confesso che il problema non è tanto capire se ho una infezione, ma quello di capire perchè nonostante le regole impostate in Outpost il sistema continua a segnalarmi quelle 2 porte aperte e in ascolto.

Ero un pò indeciso se postare nel news dedicato a outpost o quì

Invero speravo in un suggerimento per verificare l'effettivo stato della sicurezza.
Non posso scansionare con pcflank (o altro) perchè sono in una lan dietro un router-firewall

[xcdegasp]

Quote:

Originariamente inviato da manganese

Ti confesso che il problema non è tanto capire se ho una infezione, ma quello di capire perchè nonostante le regole impostate in Outpost il sistema continua a segnalarmi quelle 2 porte aperte e in ascolto.

Ero un pò indeciso se postare nel news dedicato a outpost o quì

Invero speravo in un suggerimento per verificare l'effettivo stato della sicurezza.
Non posso scansionare con pcflank (o altro) perchè sono in una lan dietro un router-firewall

prima di provare a chiuderle dovresti identificare il processo che le usa e operare su di esso con delle regole..
se tu avessi fatto così avresti detto anche il processo che le usava invece hai comunicato solo le porte, questo denota che:

_ devi aprire outpost e poi puoi clickare su "attività di rete" (qui vedi tutti i processi attivi con porte locali e remote usate) oppure clicki su "porte aperte" e hai il dettaglio delle porte in uso..

la TCP1025 è usata solitamente dal processo lsass.exe, mentre la TCP5000 e la TCP1900 è usata solitamente dal "upnp-evnt" ossia il servizio uPnP per trovare router e cose simili nella rete..

Come le puoi chiudere, sopratutto la TCP1900 e la TCP5000?
semplicemente spegnendo il servizio "uPnP-host" (e tutti i suoi simili) da services.msc

[manganese]

Quote:

Originariamente inviato da manganese

Visto che l'utility CURRPORTS e W.W.D.C. mi segnalano 2 porte aperte e "in
ascolto" da svchost (la tcp1025 e la tcp 5000)
cut

Infatti ho impostato in outpost una regola per negare le connessioni TCP alle porte 1025 e 5000 del processo svchost.exe
Cmq ribadisco che il discorso da chi o cosa vengano usate mi interessa relativamente poco.
Quello che vorrei capire è perchè, nonostante la regola impostata in outpost, quest'ultimo e le altre utility come currport o netstat continuano a darmi tali porte aperte.
Sbaglio qualcosa?
Sono aperte ma in realtà il firewall le blocca?(infatti il traffico è sempre 0)
Come posso verificare quest'ultima ipotes?

[xcdegasp]

Quote:

Originariamente inviato da manganese

Infatti ho impostato in outpost una regola per negare le connessioni TCP alle porte 1025 e 5000 del processo svchost.exe
Cmq ribadisco che il discorso da chi o cosa vengano usate mi interessa relativamente poco.
Quello che vorrei capire è perchè, nonostante la regola impostata in outpost, quest'ultimo e le altre utility come currport o netstat continuano a darmi tali porte aperte.
Sbaglio qualcosa?
Sono aperte ma in realtà il firewall le blocca?(infatti il traffico è sempre 0)
Come posso verificare quest'ultima ipotes?

come fa' a interessarti poco il discorso di identificare chi usa una porta??
in informatica una porta se non è utilizzata rimane chiusa, se è usata allora risulta aperta!

il fatto stesso di identificare chi usa una determinata porta ti porta come risultato diretto ad avere un sistema più snello, meno critico (i processi attivi sono quelli veramente indispensabili) quindi con meno possibilità di poter far veicolo per possibili malware, e a non dover assegnare tutte le responsabilità ad un programmino..

per quanto outpost-pro sia un ottimo firewall rimane sempre un bel "programmino" e come tale svolge la sua funzione al meglio..
ma se baipassi lui hai un "sistema spugna" ossia un pc che abbraccia affettuosamente qualasiasi malware

tra le altre cose, forse la tua superficialità non te lo fa' notare, ma perchè tieni attivi dei processi che non ti servono e che in estrema semplicità puoi stoppare?
perchè lasciare aperti processi, come quello che ti ho segnalato, che farebbero in modo che un qualsiasi malware possa aprire in autonomia porte in un firewall???

quello che ti voglio dire è che:
puoi avvolgere il gorgonzola tra mille strati di fogli di alluminio per cucina, ma rimane sempre gorgonzola

[ania]

Quote:

Originariamente inviato da manganese

Non posso scansionare con pcflank (o altro) perchè sono in una lan dietro un router-firewall

Mi piacerebbe molto se qualcuno pazientemente e gentilmente mi spiegasse i principi e le ragioni in base ai quali il fatto di essere in una lan dietro ad un router-firewall impedisce di eseguire test sulla sicurezza come ad es. quello di pcflank o altri, o comunque ne inficia e rende non attendibili gli eventuali risultati.

grazie mille
ciao!!!

[bReAkDoWn]

Quote:

Originariamente inviato da manganese

Infatti ho impostato in outpost una regola per negare le connessioni TCP alle porte 1025 e 5000 del processo svchost.exe
Cmq ribadisco che il discorso da chi o cosa vengano usate mi interessa relativamente poco.
Quello che vorrei capire è perchè, nonostante la regola impostata in outpost, quest'ultimo e le altre utility come currport o netstat continuano a darmi tali porte aperte.
Sbaglio qualcosa?
Sono aperte ma in realtà il firewall le blocca?(infatti il traffico è sempre 0)
Come posso verificare quest'ultima ipotes?

E' esattamente come hai ipotizzato tu. I servizi o processi in questione sono attivi ed in ascolto su quelle porte. Ma il firewall blocca gli eventuali tentativi di connessione prima che questi possano essere raccolti dai processi in ascolto. Nel tuo caso particolare, essendo dietro router che svolge la funzione di natp, puoi stare doppiamente tranquillo, perchè prima ancora del firewall, le eventuali connessioni entranti su quelle porte dall'esterno della tua lan, sarebbero bloccate dal router.

Ciao!

[xcdegasp]

Quote:

Originariamente inviato da bReAkDoWn

E' esattamente come hai ipotizzato tu. I servizi o processi in questione sono attivi ed in ascolto su quelle porte. Ma il firewall blocca gli eventuali tentativi di connessione prima che questi possano essere raccolti dai processi in ascolto. Nel tuo caso particolare, essendo dietro router che svolge la funzione di natp, puoi stare doppiamente tranquillo, perchè prima ancora del firewall, le eventuali connessioni entranti su quelle porte dall'esterno della tua lan, sarebbero bloccate dal router.

Ciao!

il problema non è se raggiungi la porta tcp5000, ma se attraverso quel servizio riesi ad aprire qualsiasi porta..
del resto il servizio uPnP-host serve proprio a questo



@ ania: perchè i pacchetti devono attraversare il ruoter il quale offre una funzione di natp quindi blocca le scansioni sulle porte che non hanno un regola definita..
dovresti prima "spegnere" il firewall del router e poi eseguire il test

[ania]

Quote:

Originariamente inviato da xcdegasp

@ ania:
perchè i pacchetti devono attraversare il ruoter il quale offre una funzione di natp quindi blocca le scansioni sulle porte che non hanno un regola definita..
dovresti prima "spegnere" il firewall del router e poi eseguire il test

@xcdegasp
Ok, stavo cercando -attraverso questo thread- di comprendere i principi generali e, poi di trovare delle correlazioni con quest'altro thread che mi aveva lasciato dei dubbi:
http://www.hwupgrade.it/forum/showthread.php?t=1459834
"Firewall con router Pirelli (Tiscali) "

ciao!!!

[xcdegasp]

Quote:

Originariamente inviato da ania

@xcdegasp
Ok, stavo cercando -attraverso questo thread- di comprendere i principi generali e, poi di trovare delle correlazioni con quest'altro thread che mi aveva lasciato dei dubbi:
http://www.hwupgrade.it/forum/showthread.php?t=1459834
"Firewall con router Pirelli (Tiscali) "

ciao!!!

effettivamente a molti sfugge il meccanismo con cui "vive" un pacchetto di dati, cioè quale sia il suo percorso vita..
su zeusnews tre anni fa' avevo letto una stupenda parodia di cappuccetto rosso che ai finbi didattici è un capolavoro, ti metto qui il link:
quel pacchetto di dati chiamato Cappuccetto Rosso

[wearethechampions]

Quote:

Originariamente inviato da xcdegasp

effettivamente a molti sfugge il meccanismo con cui "vive" un pacchetto di dati, cioè quale sia il suo percorso vita..
su zeusnews tre anni fa' avevo letto una stupenda parodia di cappuccetto rosso che ai finbi didattici è un capolavoro, ti metto qui il link:
quel pacchetto di dati chiamato Cappuccetto Rosso

ke storia simpatica....