Portas abertas (445 135 e 110)em scan dentro do proprio pc -

[bootazul]

Boa tarde a todos,


Sempre que procuro por portas abertas em minha máquina, usando dois portscans diferentes - dentro do meu próprio pc - três portas ficavam abertas : 445 , 135 e 110.

Pesquisando na internet consegui fechar as duas primeiras, restando somente a porta 110.

Após fechar as portas 445 e 135 pelo próprio windows - e não pelo firewall, aparecem apenas a porta 110 ao fazer o escaneamento de portas dentro do próprio pc.

Mas o que mais me chama atenção é o fato de realizar scan online pelo pcflank e Grc, e essas três portas não aparecem abertas, mostrando tudo invisivel.


E sempre que executei um escaneamento dentro do pc ou scan pela internet, não estava usando um cliente de email. Então me surgiu a seguinte dúvida:

O Porquê dessa porta 110 aberta sendo que não uso ela? Não tenho programa configurando pra receber nenhum email pelo outlook ou outro cliente. E muito menos sou um servidor de emaill.


Esses resultados são normais?


E aos moderadores/administradores desculpa se postei no lugar errado, pois não achei uma dubdivisão do fórum ISTF ideal para minha dúvida.


Obrigado

[mmachado]

Você provavelmente tem um anti-vírus rodando na sua máquina com a função de verificação de e-mails ativada. O que eles normalmente fazem é subirem um "servidor" POP local (127.0.0.1:110), que na verdade é um proxy, e encaminhar para ele as requisições que tentarem sair da sua máquina.

Experimente desativar esta opção (ou o anti-vírus todo) antes de fazer este check local de portas.

[]s, MM

[bootazul]

Olá MMmachado!

Segui o seu conselho - desabilitar a verificação de e-mails - e no check local não mais apareceu a porta 110 como aberta!

Vou chutar que minha máquina estava mesmo 100% Stealth nos testes online da GRC e PC Flanck, o que ocorre é que essas portas só aparecem por que foram feita dentro do próprio pc?


Se assim for, existe a necessiade de fazer um check pela internet ou é suficiente fazer um check local? Lembrando que só tenho um computador - pois penso que o check local seja de utilidade para computadores que estejam em rede local.


[ ] s

[ALIG_wicked]

Pra que usar scan ? use o netstat .

A opcao "-o" diz qual o processo relacionado. (PID)

Qualquer duvida netstat -h

[]
Andre

[mmachado]

Se assim for, existe a necessiade de fazer um check pela internet ou é suficiente fazer um check local? Lembrando que só tenho um computador - pois penso que o check local seja de utilidade para computadores que estejam em rede local.

Não confunda "check local" com check na rede local. Do ponto de vista do seu computador, local é tudo aquilo que ele acessa no próprio sistema, ou seja, os serviços que estão sendo "ouvidos" no endereço 127.0.0.1.

Na maioria dos casos, os acessos via Internet ou via outro computador na rede local devem ser considerados a mesma coisa. Alguns firewalls de estações, como o Zone Alarm, te permitem especificar que determinadas placas de rede estão plugadas em uma "zona confiável" e para esta zona alguns serviços são liberados (como o compartilhamento de pastas do Windows).

[]s, MM

[6_Bl4ck9_f0x6]

Velho, o André deu uma boa dica para voce cara, usa a opção -o , pega a PID e depois mata o processo com o taskkill, mas se voce quizer saber onde se encontra a aplicação e quizer saber mais informações sobre o tal processo como o nome da imagen e o PATH da aplicação que ta abrindo a tal porta, use o fport.



Obvio que voce nao pode depender de nenhum program EXTERNO, para ver as imagens dos processos pela PID retornada com o netstat, digite o comando tasklist. Depois remova o lixo do seu sistema. Olha nos itens de inicialização para saber se quem implantou é esperto, caso contrario quando voce fizer logon a parada vai voutar (Se a aplicação tiver criado um clone que sente fauta dela =), ai num vai adiantar nada. Tipo, existem 'muitos' metodos de inicialização, saca só ai apenas os que utilizam chaves:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnceEx\
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServicesOnce\
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunServices\
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunServicesOnce\
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce\
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnceEx\
C:\WINDOWS\win.ini

Fica de olho do autoexec.bat manoh, fiz isso

notepad \autoexec.bat

e depois da uma olhada, mas se quizer usar o sysedit tb vale (é mais bonito =). Nunca confie no msconfig, pois ali é exibida apenas tres metodos de inicialização ->

Startup -> Inicia apenas para o usuario que rodou a aplicação (C:\Documents and Settings\David\Menu Iniciar\Programas\Inicializar)

Common Startup -> Inicialização compartilhada. Todos os users. (C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar)

HKLM..... -> Apenas a chave principal

(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\Run\)

Atenção: Não encane com porta cara, existem muitas, mas como vc sabe -> apenas algumas dão acesso ao shell por default <-

Mais nada.

[bootazul]

Ola

ALIG_wicked uso um programa de scan porque achei q seria mais fácil e útil, mas já vi que não é por aí. :-)o. Mas já conhecia o comando netstat sim, e depois da sua dica estou usando mais ele e apredendo sobre suas funções.

mmachado, entendi, vlw novamente pela dica.


6_Bl4ck9_f0x6, vlw pela dica também. Adimito que demorei responde por não saber como comentar seu post! :-) Esses programas mesmo taskkill e fport, eu não conhecia.


Mas se eu entendi, você dá uma dica de como achar algo suspeito que abra alguma porta na máquina, sempre que o SO é carregado.

Vou me esforçar estudando para aprender mais sobre as formas de inicialização e ficar de olho em algo suspeito no SO, sem depender de um programa scan.




Vlw pessoal
[] s

[lend]

Tenho um windows 2000 pro

com muito trabalho fui desabilitando todos os serviços para deixa-lo fechado, até para imprimir eu tenho que iniciar o spooler... alem disso uso o zonealarm

C:\Documents and Settings\doom>netstat -an | find "LISTENING"

TCP 0.0.0.0:445 0.0.0.0:0 LISTENING <- Está aberto para todos os IPs se eu conectar na internet essa porta vai abrir pra internet tambem.

TCP 1.2.3.4:139 0.0.0.0:0 LISTENING <- Está aberta só para esse IP.

Outra coisa, vc tem que olhar nas opçoes da conexão e desmacar as safadezas de compartilhamento do ruindows. senão alem de abrir a porta pra internet tambem vai abrir + um processo e comer mais 2MB de ram...

[J.Augusto]

Coberto de razão... Inclusive, tenho um .Reg que retira os compartilhamentos administrativos sem precisar Dropar o Serviço Servidor do W2k, onde uso muito em máquinas daqui da rede com XP e 2000, Além de tb poder ser utilizado no Server depois que vc realizou o Admin Pack. pois não precisará ter mais esses acessos, utilizando assim o Remote Desktop.

[brunosolar]

Coberto de razão... Inclusive, tenho um .Reg que retira os compartilhamentos administrativos sem precisar Dropar o Serviço Servidor do W2k, onde uso muito em máquinas daqui da rede com XP e 2000, Além de tb poder ser utilizado no Server depois que vc realizou o Admin Pack. pois não precisará ter mais esses acessos, utilizando assim o Remote Desktop.

Bacana, aqui assim que migrar tudo pro AD (Active Directory) farei isso nas maquinas. Poderia passar a reg?

Abracos