Porty - Opis i zagrożenia - zamykanie.pdf - poradniki - marco.marc

Internet & Windows & Hardware FORUM [Powered by Invision Power Board]

Page 1 of 17

Drukowana wersja tematu

Kliknij tu, aby zobaczyć temat w orginalnym formacie

Internet & Windows & Hardware FORUM _ Wirusy i Spyware Bezpieczeństwo

w sieci _ Odliczanie 60 sekund + Generic Host Process

Napisany przez: picasso 20/06/2003, 7:55

Robaki sieciowe / ataki DoS / Spam Posłańca

Objawy: Bardzo spowolniona sieć, trudności w ładowaniu stron www, a nawet całkowity zanik

internetu. MoŜliwe okoliczności towarzyszące to: charakterystyczny błąd 60 sekund odliczania i

wynikowo samoczynny reset komputera lub teŜ błąd "Generic Host Process.....",

zaobserwowaliśmy teŜ jako jeden ze znaków przebarwianie paska zadań na jakby "klasyczny".

Błędy 60 sekund zostały rozpoczęte przez bardzo juŜ archaiczne robaki Blaster Sasser i

obecnie mogą być generowane przez róŜne inne robaki i NIE TYLKO (teŜ rootkity a nawet

spyware) więc proszę się nie sugerować typem błędu. I uwaga: błąd 60 sec / Generic wcale

nie znaczy iŜ komputer jest juŜ zainfekowany, to moŜe świadczyć tylko o ataku na komputer

bez tworzenia plików robaków na dysku.

Usuwanie: Na samym początku naleŜy bezwzględnie zastosować opisany poniŜej Windows

Worms Doors Cleaner by zamknąć drogę ataku robaków i spamu Posłańca. W dalszej kolejności

udać się po pomoc podając na forum stosowne logi.

. Automatyczne zamykanie portów:

____ . Windows Worms Doors Cleaner

____ . Seconfig XP

. Prawidłowe instalowanie Windows 2000/XP/2003

. Błąd Generic Host Process for Win32 Services

Napisany przez: picasso 29/08/2003, 5:49

Firewall a całkowite zamykanie specyficznych portów

135, 137139, 445, 1900, 5000

Osobna zapora softwarowa (typu: ZoneAlarm / Kerio / Outpost etc.) nie jest rozwiązaniem

wystarczającym w tej materii, gdyŜ to czym się zajmuje firewall to nie całkowite zamykanie

omawianych tu portów lecz jedynie blokowanie do nich dostępu poprzez filtrowanie ruchu

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99&t=12532

09-10-13

. Porty Opis i zagroŜenia

Internet & Windows & Hardware FORUM [Powered by Invision Power Board]

Page 2 of 17

sieciowego. To oznacza iŜ komponenty, które korzystają z tych portów, są nadal uruchomione.

W takiej sytuacji firewall musi być cały czas aktywny by ochrona miała miejsce i jesteśmy od

tego faktu uzaleŜnieni (chwilowe wyłączenie zapory lub jej wyłoŜenie się na błędzie jest

ekspozycją na zagroŜenie). Ponadto zarówno komponenty Windows pracujące na tych portach

jak i firewall startują wspólnie podczas uruchamiania komputera, a które z nich zainicjuje się

pierwsze (czyli będzie mieć szansę na forsowanie własnych zadań) jest zagadką wynikającą z

masy czynników konfiguracyjnych.

PoniŜej przedstawiam skrócony opis kluczowych portów wraz z ręczną metodą ich zamykania,

która polega na przekonfigurowaniu komponentów Windows. Jest to zagadnienie dla waszej

orientacji co się dzieje w systemie. Tych edycji nie trzeba wykonywać ręcznie programy

Windows Worms Doors Cleaner i Seconfig XP przeprowadzają to automatycznie. To

wprowadzenie by zrozumieć dlaczego te porty są kluczowe i co te programy prowadzą w celu

rozwiązania problemu. Zamknięcie tych portów nie wpływa na szybkość pobierania w

programach P2P (eMule, torrent etc.) i proszę tego nie łączyć.

NetBIOS over TCP/IP NetBIOS przez TCP/IP

137139

Port 137 UDP Usługa NetBIOS Name / nazw NetBIOS. Odpowiada za łączenie adresów IP z

nazwami komputerów. Kojarzenie nazewnicze typowo odbywa się wg dwóch metod: serwer WINS

(Windows Internet Name Service) lub plik LMHOSTS (nie mylić z plikiem HOSTS!). DuŜa część

pakietów UDP blokowanych na firewallach nie ma związku z próbami ataku. ZagroŜenie:

* Pobór przez atakującego informacji o układzie sieci

* Robaki sieciowe szukające otwartych zasobów Windows (cel = port 139TCP)

Port 138 UDP Usługa NetBIOS Datagram. Komunikacja bezpołączeniowa w formie

http://pl.wikipedia.org/wiki/Datagram bez potwierdzenia ich dotarcia na miejsce, najczęściej

wykorzystywana w trybie rozgłaszania (broadcast). Obsługuje przesył informacji o sieci Windows.

Z tych właściwości korzysta usługa Computer Browser / Przeglądarka komputera, która buduje

listę komputerów wyświetlaną w Otoczeniu sieciowym. RównieŜ usługa Messenger / Posłaniec.

ZagroŜenie:

* Atakujący/haker poprzez zafałszowanie pakietów moŜe dodać swój komputer do sieci lokalnej co

implikuje iŜ zostanie zniwelowa róŜnica zabezpieczeń występująca między komputerami

internetowymi a lokalnymi.

* Spam usługi Messenger / Posłaniec.

Port 139 TCP Usługa NetBIOS Session / sesji NetBIOS (SMB przez NetBIOS). Komunikacja

połączeniowa w formie sesji. Odpowiada za właściwą wymianę danych i współdzielenie zasobów

plików / drukarek w sieci lokalnej oraz za tworzenie tzw. nullsession (mówiąc w skrócie logowanie

uŜytkownika bez nazwy i bez Ŝadnego hasła). ZagroŜenie:

* Port będący celem ataków hackerskich, często skanowany w poszukiwaniu zasobów. Popularna

metoda hackowania udostępnianie plików i drukarek to atak typu "brute force" / siłowy, polegający

na łamaniu haseł przez sprawdzanie jak największej liczby prawdopodobnych kombinacji.

* Jest to równieŜ port, z którego korzysta usługa Messenger / Posłaniec produkując bezpośredni

spam w popupach.

* Jedna z dróg transportu robaków sieciowych

Skutki uboczne wyłączenia portów NetBIOS (włącznie z 445 = patrz dalej): Przestanie działać

Otoczenie sieciowe i funkcja Udostępniania plików i drukarek w sieci oraz inne aspekty sieci

Microsoft Networks (nie mylić sobie tego z www, email i tego typu komunikacjami szaraków). W

LAN prawdopodobnie NetBIOS jest niezbędny ale zaleŜy to teŜ od tego w jaki sposób LAN

rozwiązano. Test bardzo prosty: jeśli po całkowitym zamknięciu portów 137139 (włącznie z 445) i

resecie komputera padnie całkowicie dostęp do internetu, NetBIOS jest wymagany.

Te trzy komunikacje NetBIOS stosunkowo łatwo wyłączyć (usługa Posłaniec = patrz dalej):

Panel sterowania >>> Połączenia sieciowe >>> prawy klik na dane połączenie >>>

Właściwości >>> podświetlić Protokół TCP / IP >>> Właściwości >>> Zaawansowane >>>

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99&t=12532

09-10-13

Internet & Windows & Hardware FORUM [Powered by Invision Power Board]

Page 3 of 17

zakładka WINS >>> Wyłącz system NetBIOS przez TCP/IP:

SMB over TCP/IP SMB przez TCP/IP

445

Port 445 słuŜy do poszerzonej komunikacji protokołu SMB bezpośrednio przez TCP/IP, z

pominięciem okręŜnej drogi "NetBIOS przez TCP/IP". Jest to dodatkowa droga współdzielenia

plików i drukarek sieciowych (patrz porty 137139), w związku z tym port 445 jest często

skanowany w poszukiwaniu otwartych zasobów sieciowych Windows. ZagroŜenia:

* Port silnie atakowany przez hakerów, robaki i rozproszone botnety.

* Spam wysyłany przez usługę Messenger / Posłaniec.

Skutki uboczne zamknięcia portu 445: UniemoŜliwione współdzielenie plików i drukarek w sieci o

ile nastąpi równocześnie zamknięcie portów NetBIOS 137139. Wynika to z faktu iŜ próba

komunikacji odbywa się "równolegle" w celu zachowania kompatybilności portów (445 jest portem

współdzielenia tylko na nowych Windows 2000 w górę). Jeśli jest włączone NetBIOS over TCP/IP,

zawsze jest równoczesna próba nawiązania połączenia na porcie 139 oraz 445, a w zaleŜności od

szybszej odpowiedzi (lub jej braku) sesja właściwa odbywa się przez port 139 lub 445. Jeśli

NetBIOS over TCP/IP jest wyłączone, nawiązywanie sesji jest forsowane tylko przez 445. Wniosek:

zamknięcie portu 445 przy pozostawieniu otwartych 137139 nie wpłynie na funkcjonowanie LAN.

Wyłączanie SMB przez TCP/IP (usługa Posłaniec = patrz dalej):

Start >>> Uruchom >>> regedit i w kluczu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters

W okienku po prawej stronie klikasz prawym >>> Nowy >>> Wartość DWORD >>> jako

nazwę wprowadź SmbDeviceEnabled . Kliknij podwójnie na nowo utworzoną wartość

SmbDeviceEnabled i wpisz liczbę 0 .

RPC over TCP/IP

135

Jest to port usługi DCOM / RPC Endpoint Mapper. W sposób współdzielony korzystają z niego takie

usługi jak Distributed Transaction Coordinator (MSDTC), Task Scheduler (Harmonogram zadań) a

takŜe Messenger (Posłaniec). Zamknięcie portu zalecane dla standardowych komputerów

domowych. W środowisku Microsoft Networks problematyczne gdyŜ RPC jest tam szeroko

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99&t=12532

09-10-13

Internet & Windows & Hardware FORUM [Powered by Invision Power Board]

Page 4 of 17

wykorzystywane, głównie w celach administracyjnych. ZagroŜenie:

* Spam wysyłany przez usługę Messenger / Posłaniec. Jak wspomniane wcześniej Posłaniec

korzysta z portów NetBIOS (137139) ale mimo ich zamknięcia nie ma 100% ochrony przed

spamem gdyŜ polecenie net send w przypadku "zatkania" tych portów obiera drogę alternatywną

właśnie przez port 135.

* Port silnie wykorzystywany przez robaki sieciowe i ataki hackerskie.

Skutki uboczne zamknięcia portu 135: Zamykanie portu 135 odbywa się stopniowo poprzez

wyłączanie kolejnych składników korzystających z tegoŜ portu. Wyłączenie samego DCOM nie

niesie negatywnych efektów na standardowym komputerze. Ale inaczej sprawa się ma z

Harmonogramem zadań. Po całkowitym zamknięciu portu 135 usługa Harmonogramu nie startuje

(dotyczy Windows XP i 2003, Windows 2000 nie ma takich problemów). Harmonogram jest

potrzebny na XP do działania wbudowanej funkcji Prefetch (szczegóły:

http://www.searchengines.pl/phpbb203/index.php * showtopic=5989) oraz innych planowanych

zadań. Z tym Ŝe tu moja uwaga własna: na moim XP SP2 całkowite zamknięcie 135 nie wpłynęło

na usługę Harmonogramu.....

Wyłączanie DCOM / RPC Mapper (usługa Posłaniec = patrz dalej):

Start >>> Uruchom >>> regedit i w kluczu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole

W okienku po prawej stronie kliknij dwukrotnie w EnableDCOM i wpisz literkę N .

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc

W okienku po prawej stronie kliknij dwukrotnie w DCOM Protocols i z okienka usuń

ncacn_ip_tcp.

Odpowiednikiem tych dwóch edycji rejestru jest następująca operacja via:

Start >>> Uruchom >>> dcomcnfg.exe >>> Usługi składowe >>> Komputery >>> z

prawokliku na Mój komputer wybierz Właściwości >>> w zakładce Właściwości domyślne usuń

ptaszek z opcji Włącz model obiektów rozproszonych COM na tym komputerze a w

zakładce Domyślne protokoły podświetl tam widniejący i Usuń:

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99&t=12532

09-10-13

Internet & Windows & Hardware FORUM [Powered by Invision Power Board]

Page 5 of 17

Usługa Messenger / Posłaniec

135, 137139, 445

Messenger (w polskim Windows: Posłaniec) to sieciowa usługa przesyłająca pomiędzy klientami a

serwerami komunikaty net send , słuŜące typowo administratorom sieci do informowania

uŜytkowników o róŜnych zdarzeniach (np. o resecie serwera etc.). Komunikacja Messengera

korzysta z wszystkich wyŜej wymienionych portów: 135,137,138 UDP oraz 135,139,445 TCP. Od

razu uściślenie: w angielskiej wersji językowej usługa ta nosi nazwę Messenger i to jest co innego

niŜ komunikator Messenger wbudowany w system! Omawiana tu usługa pracuje na pliku

C:\WINDOWS\system32\services.exe a komunikator jest zainstalowany w C:\Program

Files\Messenger\msmsgs.exe i ma ikonkę . Proszę tych dwóch rzeczy nie mylić! Na Windows XP

SP2 i 2003 usługa ta jest domyślnie wyłączona i nie stanowi problemu ... o ile nie nastąpiło

szkodliwe przekonfigurowanie domyślnych ustawień. ZagroŜenie:

* Droga roznoszenia wirusów / robaków sieciowych

* Produkcja spamu w postaci bezpośrednio wyskakujących popupów:

Start >>> Uruchom >>> services.msc

Na liście dwuklik na usługę Messenger / Posłaniec , wybrać opcję Zatrzymaj a Typ startowy

ustawić Wyłączona. Finałowo macie otrzymać:

Usługa Universal Plug and Play (UPnP)

1900, 5000

Universal Plug and play szczegółowo jest opisane w tym temacie:

http://www.searchengines.pl/phpbb203/index.php * showtopic=7723. W istocie grupuje dwie

składowe usługi: Usługa Odnajdywania SSDP (operuje na porcie 1900 UDP) + Host Uniwersalnego

urządzenia Plug and Play (operuje na portach: 2869, 5000 TCP). ZagroŜenie:

* PowaŜna luka zabezpieczeń umoŜliwiająca przejęcie kontroli nad komputerem

Start >>> Uruchom >>> services.msc

Na liście po kolei dwuklik na SSDP Discovery Service / Usługa odnajdywania SSDP oraz

Universal Plug and Play Device Host / Host Uniwersalnego urządzenia plug and play ,

wybrać opcję Zatrzymaj a Typ startowy ustawić Wyłączona. Finałowo macie otrzymać:

http://www.searchengines.pl/index.php?act=Print&client=printer&f=99&t=12532

09-10-13

Porty - Opis i zagrożenia - zamykanie.pdf

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: