Visible ports 137-139

[ilidan]

Nikako ne razumem jednu stvar. Testirao sam firewall na sajtu www.pcflank.com. Kao firewall sam probao stari ZoneAlarm Pro 5.5, PC Tools firewall 5 i 6, Outpost Free i sa svima mi Quick Test pokazuje da su mi NetBIOS portovi vidljivi.
A stos je u tome sto mi Windows XP SP2 Firewall potpuno stealth-uje sve portove. Po ovome ispade da je MS jos pre 7 godina odradio bolji posao nego svi ostali danas.
Ima li ko ideju kako da steltujem 137-139?

[nighthawk]

Da li si to sada isprobavao na XP-u ili nekom drugom OS-u?

Nisam siguran za ZA i PC Tools, ali Outpost bi po defaultu trebalo da zatvara te portove za dolazeci saobracaj iz spoljne mreze, a u lokalnoj mrezi bi trebalo da budu otvoreni. Resenje je da podesis FW da blokira dolazni saobracaj od interneta (cekiraj "sve ip adrese" ili "bilo koja ip adresa"), a ako ti je kompjuter umrezen onda moras da proveris da li su ti portovi otvoreni u lokalu.

[ilidan]

OS je Windows XP Pro SP2, krpljen Autopatcher-om iz 2007. godine. Kompjuter nije umrezen.
Nisam strucan za podesavanje protokola i portova ali sam pokusao da blokiram TCP i UDP saobracaj, dolazni i odlazni, na ovim portovima u Outpost Free i nista. Portovi su zatvoreni ali ne i nevidljivi.
Probao sam i Shields Up online skeniranje i on javlja da su svi portovi nevidljivi. Ali zato ih Pcflank vidi.

[nighthawk]

Moguce je da postoji u podesavanjima FW-a i opcija koja otvara ove portove, pa se ona sukobljava sa tvojom blokadom. Pregledaj sva postojeca mrezna pravila (opcije) u podesavanjima.

Probaj da iskljucis netbios: http://www.petri.co.il/disable_netbi...2k_xp_2003.htm.

[ilidan]

Nope. Ni iskljucivanje NetBIOS-a preko TCP/UDP ne pomaze. Pcflank i dalje javlja da su portovi vidljivi. Ostaje mi da detaljno proucim predefinisana podesavanja u Outpost-u i ZAP-u jer ovako, na prvi pogled, nema nicega sto bi ucinilo vidljive ove portove, narocito u ZAP-u.
A i stvar je u tome sto portovi nisu otvoreni, ali nisu ni nevidljivi, vec zatvoreni. Znaci, ako ih "neko" detektuje, moze da pokusa napad.
Avast ne prijavljuje nista.

[nighthawk]

Posto pominjes i Outpost i ZA moram da te pitam - da nisi ti instalirao oba odjednom? Nije da sumnjam u tebe, ali samo da iskljucimo tu mogucnost.

[ilidan]

Uvek postoji ta mogucnost, ali nisam. Koristim Revo Uninstaler da uklonim jedan, restartujem komp, instaliram drugi pa opet restartujem.
Da nisam, mozda, zeznuo nesto u Windowsu kad sam ga zakrpio i nastimovao preko Autopatcher-a?! Pa sad ni FW ne mogu da zakrpe rupe.
Ne znam od kad je ovakva situacija ali ja nemam problema sa upadima i malware-om. Samo nelagodan osecaj.
Inace, FW-i su na default podesavanjima a ni stimovanje ne pomaze.

[nighthawk]

Kucaj netstat -bn, i zatim netstat -na u command promptu, pa postavi rezultate ovde. Pogledaj u firewallu da li je prikazana neka konekcija preko tog porta ili da li neki proces osluskuje taj port (listening).

Moguce je da je autopatcher napravio neki problem, mada bi trebalo da bude bas obrnuto, sigurnosne zakrpe obicno zatvaraju te portove. Jedino ako su ti fajlovi bili zarazeni necim. Za svaki slucaj odskeniraj sistem HJT-om i postavi log ovde (kao attachment), pre skena mu promeni ime.

[ilidan]

Malo kasnim ali evo netstat alalize. Hijackthis sam vec pokretao i online analiza log fajla kaze da je sve u redu, nista sumnjivo.

[nighthawk]

netstat -na pokazuje uspostavljene konekcije i portove preko kojih one idu. Otvoreni portovi su oni pored kojih pise LISTENING. Ovo su portovi koji bi bili otvoreni da nema firewalla, a FW blokira i to. Kao sto vidis kod tebe su netbios portovi zatvoreni, bar sto se OS-a tice, tako da bi trebalo da si bezbedan.

Ostaju samo nekoliko mogucnosti: mozda imas neki malware koji otvara te portove, mada bi HJT to trebalo da vidi i tada bi portovi bili potpuno otvoreni, a ne samo vidljivi, tako da je jako mala verovatnoca da je to. Mozda ti je to zbog rutera (ako imas ruter). Ili mozda samo pcflank dize uzbunu bez potrebe.

Moja preporuka ti je da lepo zaboravis na ovo, ili eventualno da zabranis pristup preko mreze svim korisnicima: start->run->gpedit.msc->Copmuter configuration->Windows Settings->Security Settings->Local Policies->User Rights Assigment i onda iz Acces this computer from the network izbacis sve korisnike/grupe. Ako nekak pozelis da umrezis komjuter dodaj ovde jedan korisnicki nalog (pozeljno je da ne bude administratorski) sa jakom sifrom.

[doctor]

Samo da kazem da trojanac BlackDream koristi port 139 za konekciju ako se ne varam Pri jednoj "upotrebi" sam morao da ga modifikujem (source) i saznao sam koji port koristi
Nego, pomozite, zar nije ovo i File Sharing port? Ili sta bese?

[nighthawk]

Broj virusa koji koriste port 139 je ogroman bas zato sto je ovaj port predstavlja sigurnosnu rupu (bolje reci rupetinu), a ni Microsoft DS (port 445) nije mnogo bezbedniji od starog netbios-a.

Za file sharing su potrebni portovi 135-139 i port 445 http://support.microsoft.com/kb/298804.

[ilidan]

Nemam ruter. Kao sto rekoh, nije problem jer nisam "popio" nikakvu infekciju.
Radicu ovih dana reinstalaciju pa cu opet da proverim. Uzgred, hvala ti na savetima, nighthawk.