сканирование портов

[snejinka]

Есть такая прога Local Port Scanner, показывает все порты открытые и закрытые.

Пишет:

Service Ports Status Additional Information

Trojan 110 OPEN ProMail trojan

Trojan 135 Open Netbios Remote procedure call.

А также ТСР 445 открыта.

Firewall McAffee сообщает ,что с компьютера моего соседа по офису идут постоянно атаки на порты 138,137 Netbios Datagram, Netbios Name.Или это глюк?

Это как понять?

[Darhazer]

Если вы с соседом в локальной сети и в нее изпользуется NetBIOS (в болшенстве случаях если сеть сделана под Windows изпользуется NetBIOS) то постоянние заявки на порт 137 и 138, которие firewall регестрируеть как "атак" - нормальная вещ.

То что 135 откритий - под Windows тоже нормально.

Насчет 110 - это POP3 (пользуется для получение електронной поще). Если он откритий когда ти не пользуеш - тогда можеть бит и "ProMail Trojan"

445 - это DCOM. Рекоммендуется его отключить (но возможно чтоб некоторий софтуер его пользувал так что если отключиш провер работаеть ли все)

Я прорекомендую тебе две безплатних программ

Первая из них - SafeXP - позволяеть закрит много из уязвимостях Windows-а, включая DCOM.

Вторая - TCPView показиваеть все активние связи к интернету (т.е. все процеси, которие пользуют Интернет

[OGR]

Так у вас же локальная сеть, наверно. Если да, то возможно, что это какие то программы соседнего компьютера пытаются связаться с твоим. Спроси у соседа какие именно.

--------------------------------------------------

Пока писал, уже до меня ответили

Изменено 26 мая, 2005 пользователем OGR

[snejinka]

OGR Я ему показала ,что Фаерволл пишет " ой, а это что такое? ,написано,что твой компьютер" он посмотрел,как на дуру и сказал,что не знает.

Проблема вот еще в чем, есть такие тесты проверяют на прочность твой фаерволл (была про них топик ,посмотреть - http://www.firewallleaktester.com/tests.htm), так вот я до сих пор с одним не могу разобраться, который в рейтинге идет как самый средний РсAudit Leak test demo trojan, про него уже давно мне написал Darhazer..

Есть брешь в фаерволе не могу найти где. Уже изменила все настройки ,чтоб мне показывал все сообщения, когда программа требует выход в Интернет,нифига не показывает и постоянно проваливаю тест. Все проги заблокировала от соединения с Интернетом, оставила только Win Host 32 без него не подключишься и проги от McAffee. Или их тоже заблокировать?

Может второй фаерволл установить?Это не как 2 антивиря?

Darhazer

Сейчас попробую.

[Darhazer]

snejinka прислала мне лог из TCPView... IMHO очен много подключения и то не активние, а LISTENING / TIME_WAIT.

Вот част лога, IP адреса убрал:

[system Process]:0 TCP TIME_WAIT

[system Process]:0 TCP TIME_WAIT

[system Process]:0 TCP TIME_WAIT

[system Process]:0 TCP TIME_WAIT

[system Process]:0 TCP TIME_WAIT

[system Process]:0 TCP TIME_WAIT

[system Process]:0 TCP TIME_WAIT

[system Process]:0 TCP TIME_WAIT

[system Process]:0 TCP TIME_WAIT

System:4 TCP LISTENING

System:4 UDP  *:*

System:4 TCP  LISTENING

System:4 UDP  *:*

System:4 UDP  *:*

А у тебя нету на компютере service-и типа web/ftp сервера?

IMHO с двумя firewall-а не должно бит проблем, только трудно будеть правильно настроит их А вообщем - можеш попробувать отключить McAfeeи поставить другой Firewall.

Я пользую Kaspersky Antihacker. Если хочеш, установи его, включи режим Stealth, после определения программ, которие должи имет доступа к Интернет - включи режим High, и тогда провер количесвто подключения

[OGR]

Если Kaspersky Antihacker не поможет, хотя должен, потому что стоит у меня и я не жалуюсь, то попробуй установить Outpost Firewall. Это та ещё зануда, но по части безопасности на первом месте в мире. Тем более, в отличии от McAfee на русском языке.

[snejinka]

OGR, Darhazer

http://www.firewallleaktester.com/tests.htm

Вот там прекрасно обьясняется ,что как раз Kaspersky как Firewall, не очень.

Конечно макаффи тоже не очень,в общем смотрите сами.

Darhazer,спасибо

TCPView- классная прога с ее помощью я поняла,как тест проваливается.

Я ее запустила и посмотрела какие процессы отображаются,на предмет соединения с Интернетом:

svchost.exe:  844  TCP

System:4            TCP

System:4            TCP

svchost.exe:1008  UDP 

lsass.exe:632            UDP 

lsass.exe:632            UDP 

svchost.exe:1008  UDP 

System:4              UDP 

svchost.exe:1056  UDP

svchost.exe:884            UDP 

svchost.exe:884          UDP

svchost.exe:884          UDP 

svchost.exe:1056  UDP 

svchost.exe:884          UDP 

System:4            UDP 

System:4            UDP 

svchost.exe:1056 UDP

Рядом запустила троянский тест.И на момент,когда он начал искать выход в Интернет , я смотрела через какие проги в моем компе он это делает.

Вот с помощью этих программ он пытался выйти:

explorer.exe:2100 UDP 127.0.0.1:1229 *:* 

Ad-Aware.exe:2352 UDP 127.0.0.1:1231 *:* 

swdoctor.exe:2448 UDP 127.0.0.1:1233 *:* 

MpfTray.exe:2400 UDP 127.0.0.1:1235 *:* 

MpfAgent.exe:2724 UDP 127.0.0.1:1237 *:* 

Tcpview.exe:1616 UDP 127.0.0.1:1239 *:* 

WINWORD.EXE:3388 UDP 127.0.0.1:1241 *:* 

WinPatrol.exe:2384 UDP 127.0.0.1:1243 *:* 

mcagent.exe:2324 UDP 127.0.0.1:1245 *:* 

mcmnhdlr.exe:2376 UDP 127.0.0.1:1247 *:* 

McVSEscn.exe:2468 UDP 127.0.0.1:1249 *:* 

mcvsshld.exe:2316 UDP 127.0.0.1:1251 *:* 

ctfmon.exe:2440 UDP 127.0.0.1:1253 *:* 

InCD.exe:2344 UDP 127.0.0.1:1255 *:* 

SynTPEnh.exe:2208 UDP 127.0.0.1:1257 *:* 

SynTPLpr.exe:2200 UDP 127.0.0.1:1259 *:* 

firefox.exe:3872 UDP 127.0.0.1:1261 *:* 

ONETOUCH.EXE:2276 UDP 127.0.0.1:1263 *:*

Т.е половина антишпионских и антивирусных .Я их потом в фаерволе заблокировала и повторила ещё раз.Опять провалился, т.к были открыты 2 страницы в Интернете.Когда оставила только одну страницу с форумом,тест прошел удачно и похвалил за хороший фаерволл.Так что,если кому поможет мой опыт. От Макаффи не ожидала такой дерьмовой работы,ни одного сообщения не вышло.

Сейчас ещё другие тесты хочу попробовать.Потом напишу,как будут результаты