Επιστροφή στο Forum : Να ανοίξω την 135 ή να μην την ανοίξω ;
Χρόνια Πολλά !
Μία ερώτηση παιδιά. Εχω το Sygate. Αφού συνδεθω ζητάει άδεια να ανοίξει την 135.
File Description :Generic Host Process for Win32 Services (svchost.exe)
File Path :C:\WINDOWS\system32\svchost.exe
Process ID :0x338 (Heximal) 824 (Decimal)
Connection origin :remote initiated
Protocol :TCP
Local Port :135 (EPMAP - Location service - Dynamically assign ports for RPC)
Remote Name :
Remote Address : 62.99.82.228
Remote Port : 1174
Λέει ότι : Generic host process for win32 - svchost.exe - is being contacted from .... 62.99.82.228 και ζητάει την 135 [ EPMAP - Location service - Dynamically assighn ports for RPC].
Να την ανοίξω ή όχι ;
Όχι . Δεν υπάρχει κανένας λόγος για ένα απομακρυσμένο σύστημα να συνδεθεί εκεί στο 99% των περιπτώσεων.
port 135 = DCOM. Γενικώς άχρηστη υπηρεσία και τελευταία επικίνδυνη.
Δεν θα το συμβούλευα. Γιατί όμως το ζητάει; Μήπως "τσίμπησες" κάτι;
Δες αυτό:
http://grc.com/port_135.htm
Πάντως svchost.exe και port 135 θυμίζουν blaster
http://grc.com/dcom/
αυτό για περισσότερα
Εψαξα λίγο και βρήκα ότι αυτό τό πράγμα εδώ
www.ripe.net/ripencc/pub-services/db/copyright.html
είναι που ζητάει τήν σύνδεση.
Τι είναι το ripe ;
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html
netname: GEMAFUN
descr: 382 Patision
descr: 11441 Athens
country: GR
admin-c: GS2398-RIPE
tech-c: GS2398-RIPE
status: assigned PA
mnt-by: otenet-gr-mnt
changed: vasiak@otenet.gr 20040105
source: RIPE
descr: OTEnet
H otenet είναι ο πάροχός μου.
:?:
<span class="postbody">RIPE είναι ο οργανισμός που καταχωρεί τις IP</span> http://www.ripe.net/
Προφανώς έβαλες την παραπάνω IP <span class="postbody">62.99.82.228, σε κάποιο πρόγραμμα και το RIPE το έκοψε. Πρέπει να το κάνεις διαφορετικά. Τέλος πάντων το </span><span class="postbody">62.99.82.228 ανήκει στην </span><span class="postbody">EUSKALTEL, κάποιον ισπανικό provider, αλλά δεν σου χρειάζεται αυτή η γνώση.
Γιατί δεν βάζεις Zone Alarm που δεν ρωτά τίποτα, να ησυχάσεις;
</span>
Ευχαριστώ Λαζάρ.
Τό Zone μου παρουσίασε κάποια προβλήματα π.χ δεν μπορούσα να κάνω ping και πράγματι, όπως διάβασα σε πολλά φόρουμ, το Zone ενδεχομένως δυσκολεύεται με τις κάρτες δικτύου. Είναι δηλαδή γνωστη η δυσκολία, δεν είμαι η μόνη που την συναντώ.
Το Sygate έχω την εντύπωση πως είναι λίγο καλύτερο. Αλλά αυτά είναι λεπτομέρειες, για τις δικές μου τουλάχιστον μικρές απαιτήσεις.
Πάντως, σχετικά με την υπηρεσία svxost.exe των winxp pro, υπάρχουν πολλές αντικρουόμενες απόψεις. Πουθενά δεν βρήκα την βεβαιότητα της ακύρωσής της. Μάλλον, ίσως κλπ.
Εγώ, ακολουθώντας τις συμβουλές σας, την έκλεισα.
:)
Y.Γ (αργότερα)
Ψάχνοντας βρήκα αυτό :
Additional Information On the RPC DCOM Vulnerability
The vulnerability exists in the Windows Component Object Model (COM) subsystem, which is a critical service used by many Windows applications. The potential for remote exploitation arises from the fact that the Distributed COM (DCOM) service, which allows COM objects to communicate with one another across a network, is activated by default on Windows NT, 2000, XP, and 2003. DCOM allows an attacker to reach the vulnerability in COM over the network, using any of the following ports:
TCP and UDP ports 135 (Remote Procedure Call)
TCP ports 139 and 445 (NetBIOS)
TCP port 593 (RPC-over-HTTP)
Any IIS HTTP/HTTPS port if COM Internet Services are enabled
Although uncommon, this configuration would allow the vulnerable COM interface to be accessed over any port on which the IIS web service is running.
Administrators of affected machines should install the Hotfix provided by Microsoft immediately. Additionally, filtering the ports listed above and disabling DCOM and COM Internet Services (if enabled) will prevent exploitation of the vulnerability, but may cripple certain Windows services. Ports 135 and 593 can be filtered with very little chance of disrupting services in use on a network, but restricting Intranet traffic on ports 139 and 445 should be done cautiously, if at all.
Εδώ είναι το patch
To Eliminate Both the Microsoft RPC Heap Corruption and RPC DCOM Vulnerability From Your Systems
Microsoft has released a recent Hotfix that includes a patch for this vulnerability. The patch and security bulletin on this vulnerability can be found here:
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-039.asp
Note: This patch includes the fix released with security bulletin MS03-026.
Υ.Γ2 Στην διεύθυνση που βρήκα τα παραπάνω, πουλάνε το πρόγραμμά τους για δίκτυα από 1.000 έως 8.000 δολλάρια !
http://www.eeye.com/html/Research/Tools/RPCDCOM.html
@ ADSLgr.com All rights reserved.