|
|
 | Port 12345 åben
Fra : Jacob Twisttmann Jør~ |
Dato : 18-06-02 13:52 |
|
Efter en portscanning fandt jeg ud af, at port 12345 på min pc står åben. Så
vidt jeg ved har jeg ikke inviteret nogen trojanere ind, og netstat viser
heller ikke, at der skulle være nogen forbindelse fra min pc og ud. Jeg
hælder derfor mest til, at jeg måske tidligere har haft noget installeret,
der har brugt netop denne port (min pc var tidligere i en
systemadministrators hænder).
Spørgsmålet er så, om man kan klappe lågen i uden en firewall? Jeg fandt på
et tidspunkt et lille program, der kunne lukke et af Windows typiske huller
(NetBios, port 139) - findes noget tilsvarende til port 12345?
Venlig hilsen
Jacob
| |
 Peter Brodersen (18-06-2002)
| Kommentar
Fra : Peter Brodersen |
Dato : 18-06-02 14:13 |
|
On Tue, 18 Jun 2002 15:52:29 +0300, Jacob Twisttmann Jørgensen
<Jacoben@luukku.com> wrote:
>Efter en portscanning fandt jeg ud af, at port 12345 på min pc står åben.
Det betyder, at du har et program til at lytte på den port.
Eller sagt på en anden måde: Konsekvensen af at et eller andet bestemt
program kører, er at det har åbnet port 12345. Det kan også være, det
gør mange andre ting.
>Spørgsmålet er så, om man kan klappe lågen i uden en firewall? Jeg fandt på
>et tidspunkt et lille program, der kunne lukke et af Windows typiske huller
>(NetBios, port 139) - findes noget tilsvarende til port 12345?
Du kan godt installere en eller anden lille hjemme-pap-firewall, der
kan sørge for at folk ikke kan connecte til den service.
Men det er måske blot én af konsekvenserne, du så har lukket af for.
Er du i virkeligheden ikke mest interesseret i at finde ud af hvilket
program, der er tale om, og hvad, det gør? Selvom du lukker for port
12345, kan det jo stadigvæk godt være, at programmet sender din nye
e-mail-adresse og dit nye telefonnummer til din ex-kæreste.
Udelukkende gættet ud fra portnummeret, kunne det godt tyde på at der
var tale om bagdørs-programmet NetBus. Men det kunne selvfølgelig også
være et NetBus-snyde-program (altså et program, der lader som om, der
kører en NetBus på systemet, for at se hvilke kommandoer, "angriberen"
så sender).
Siger antivirus-programmer eller antitrojan-programmer noget?
--
- Peter Brodersen
| |
Jacob Twisttmann Jør~ (18-06-2002)
| Kommentar
Fra : Jacob Twisttmann Jør~ |
Dato : 18-06-02 14:53 |
|
Peter Brodersen <usenet@ter.dk> wrote:
> Du kan godt installere en eller anden lille hjemme-pap-firewall, der
> kan sørge for at folk ikke kan connecte til den service.
Det har jeg faktisk allerede, men da jeg stadig er for grøn i firewalls
stoler jeg ikke helt på den (eller på min evne til at indstille den
ordentligt  ). Således scannede jeg uden firewall og fandt ud af, at 12345
stod åben. Det var dog kun Sygate, der gjorde mig opmærksom på det, ingen
andre scannere gjorde noget.
> Siger antivirus-programmer eller antitrojan-programmer noget?
Jeg kører til dagligt med AntiVir, men det har ikke givet lyd fra sig. Lige
nu forsøger jeg med Housecall, men indtil videre har heller ikke det fundet
noget.
Jacob
| |
 Jacob Twisttmann Jør~ (18-06-2002)
| Kommentar
Fra : Jacob Twisttmann Jør~ |
Dato : 18-06-02 15:26 |
|
Jacob Twisttmann Jørgensen <Jacoben@luukku.com> wrote:
> Det har jeg faktisk allerede, men da jeg stadig er for grøn i
> firewalls stoler jeg ikke helt på den (eller på min evne til at
> indstille den ordentligt ). Således scannede jeg uden firewall og
> fandt ud af, at 12345 stod åben. Det var dog kun Sygate, der gjorde
> mig opmærksom på det, ingen andre scannere gjorde noget.
Nu er jeg rigtig forvirret. For at være helt sikker på, at jeg ikke havde
taget fejl, og efter at have scannet for virus med Housecall, kørte jeg
scanningen igen. Denne gang fik jeg at vide, at 138 og 1900 var åbne, men
der var ikke noget i vejen med 12345, som nu var lukket. 1900 er til Plug
and Play, men det har jeg aldrig rodet med. Tidligere var jeg også blevet
fortalt, at 59 og 53 stod åbne, men dem var der heller intet i vejen med nu,
uden at jeg har pillet ved noget som helst i mellemtiden. Jeg begynder snart
at mistænke Sygate...
Jacob
| |
jacob_a@spamos.dk (19-06-2002)
| Kommentar
Fra : jacob_a@spamos.dk |
Dato : 19-06-02 08:57 |
|
Jacob Twisttmann Jørgensen <Jacoben@luukku.com> writes:
> Nu er jeg rigtig forvirret. For at være helt sikker på, at jeg ikke havde
> taget fejl, og efter at have scannet for virus med Housecall, kørte jeg
> scanningen igen. Denne gang fik jeg at vide, at 138 og 1900 var åbne, men
> der var ikke noget i vejen med 12345, som nu var lukket. 1900 er til Plug
> and Play, men det har jeg aldrig rodet med. Tidligere var jeg også blevet
> fortalt, at 59 og 53 stod åbne, men dem var der heller intet i vejen med nu,
> uden at jeg har pillet ved noget som helst i mellemtiden. Jeg begynder snart
> at mistænke Sygate...
Er du sikker på du scanner den samme konfiguration? Det lyder ret underligt,
at porte bare åbner og lukker sig på din maskine.
Port 138, er sjvj noget windows-fildelings halløj.
Du kan finde lister over portnumre rundt omkring på nettet, der fortæller,
hvad der _normalt_ kører på en given port.
Med venlig hilsen
- Jacob
| |
Jacob Twisttmann Jør~ (19-06-2002)
| Kommentar
Fra : Jacob Twisttmann Jør~ |
Dato : 19-06-02 10:13 |
|
jacob_a@spamos.dk wrote:
> Er du sikker på du scanner den samme konfiguration? Det lyder ret
> underligt, at porte bare åbner og lukker sig på din maskine.
Ja, jeg har ikke ændret på noget som helst. Og:
1. Sygates scanner er den eneste, der har brokket sig, og kun i går. I dag
finder den ikke noget. Alle porte er pænt lukkede når firewallen er nede,
men skjulte når den er oppe.
2. Jeg har ikke kunnet finde trojanske heste eller lignende med nogen
AV-programmer
3. Min firewall har på intet tidspunkt meddelt, at mistænksomme programmer
forsøger at åbne en forbindelse ud, så medmindre det er en trojaner, der
formår at omgå firewalls, tyder det heller ikke på noget mistænksomt.
4. For så vidt min færden på nettet, attachments og lignende er jeg tilpas
paranoid til ikke at køre, åbne eller downloade noget, jeg ikke har tillid
til.
Jeg hælder derfor til den konklusion, at Sygates scanner kunne have haft en
bug af en eller anden art. Jeg overvejer at rapportere det til dem eller i
hvert fald spørge, hvad der kunne have været galt.
Jacob
| |
Jacob Twisttmann Jør~ (19-06-2002)
| Kommentar
Fra : Jacob Twisttmann Jør~ |
Dato : 19-06-02 12:22 |
|
Jacob Twisttmann Jørgensen <Jacoben@luukku.com> wrote:
> Jeg hælder derfor til den konklusion, at Sygates scanner kunne have
> haft en bug af en eller anden art. Jeg overvejer at rapportere det
> til dem eller i hvert fald spørge, hvad der kunne have været galt.
Jeg tror, at jeg har fundet en mulig forklaring på fænomenet. Jeg prøvede at
scanne igen, nogle gange med MS Messenger slået til, andre gange med MS
Messenger slået fra. Hvis MSN er slået fra, er der tilsyneladende ingen
problemer, alle porte er lukkede. Hvis Messenger er slået til, giver
scanningen vekslende (upålidelige)resultater, uden at det egentlig hænger
sammen med, hvilke porte Messenger bruger, for resultatet kan ændres inden
for få sekunder. Et eksempel, Messenger slået til, firewall nede:
Første scanning: porte 79, 443, 110 og 1080 åbne, alle andre lukkede.
Anden scanning, foretaget få sekunder efter den første, uden nogen ændringer
i opsætning eller nedlukning af programmer, Messenger stadig slået til:
portene fra den første scanning nu lukkede, men til gengæld er 22, 54320 og
20034 åbne.
Tredje scanning, Messenger lukket: alle porte lukket. Resultatet fra hhv.
Symantec og Shields Up er det samme, alle porte lukket, uanset om Messenger
er slået til eller ej.
Således slutter scanningfarcen, men hvis andre støder på den samme
uregelmæssighed i forbindelse med Sygate-scanneren/MSN, vil jeg da gerne
høre om det.
Jacob
| |
Allan Olesen (20-06-2002)
| Kommentar
Fra : Allan Olesen |
Dato : 20-06-02 19:33 |
|
Jacob Twisttmann Jørgensen <Jacoben@luukku.com> wrote:
>Jeg hælder derfor til den konklusion, at Sygates scanner kunne have haft en
>bug af en eller anden art.
For en ordens skyld, selv om jeg har set, at du er ved at have
fundet andre forklaringer på fænomenet:
Det er meget forskelligt, hvilke porte, de forskellige
webscannings-services scanner, især når man kommer over port
1024.
Så at service A, B og C ikke finder noget på port 12345, mens
service D gør, kan også betyde, at kun service D har scannet port
12345.
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Thomas B. Maxe (19-06-2002)
| Kommentar
Fra : Thomas B. Maxe |
Dato : 19-06-02 08:59 |
|
"Jacob Twisttmann Jørgensen" skrev:
> > Det har jeg faktisk allerede, men da jeg stadig er for grøn i
> > firewalls stoler jeg ikke helt på den (eller på min evne til at
> > indstille den ordentligt ). Således scannede jeg uden firewall og
> > fandt ud af, at 12345 stod åben. Det var dog kun Sygate, der gjorde
> > mig opmærksom på det, ingen andre scannere gjorde noget.
>
> Nu er jeg rigtig forvirret. For at være helt sikker på, at jeg ikke
havde
> taget fejl, og efter at have scannet for virus med Housecall, kørte
jeg
> scanningen igen. Denne gang fik jeg at vide, at 138 og 1900 var åbne,
men
> der var ikke noget i vejen med 12345, som nu var lukket. 1900 er til
Plug
> and Play, men det har jeg aldrig rodet med. Tidligere var jeg også
blevet
> fortalt, at 59 og 53 stod åbne, men dem var der heller intet i vejen
med nu,
> uden at jeg har pillet ved noget som helst i mellemtiden. Jeg begynder
snart
> at mistænke Sygate...
>
Hvis du har haft besøg af en trojansk hest (det kunne det godt lugte
lidt af), er det ikke usandsynligt, at den lukker for port 12345 og i
stedet skifter til en anden port. Der er jo ikke så meget sjov i at dele
din pc med alle mulig andre hackere, vel?
Du kan ikke forvente, at HouseCall eller andre antivirusprogrammer skal
kunne finde en trojansk hest. Det er selvfølgelig et forsøg værd, men en
scanning uden resultat er ingen garanti for, at der _ikke_ findes
trojanere.
Principielt mener jeg, at du bør geninstallere din pc, når du ikke
længere har tillid til systemet. Men det skal selvfølgelig afhænge af
din egen vurdering.
Få evt. noget hjælp hos CERT/CC - "recovering from an incident":
http://www.cert.org/nav/recovering.html
Med venlig hilsen
Thomas B. Maxe
(som i denne forbindelse repræsenterer sig selv og ikke TDC Internet)
| |
Jesper Gaardbo Langh~ (18-06-2002)
| Kommentar
Fra : Jesper Gaardbo Langh~ |
Dato : 18-06-02 18:36 |
|
On Tue, 18 Jun 2002 15:52:29 +0300, Jacob Twisttmann Jørgensen
<Jacoben@luukku.com> wrote:
>Efter en portscanning fandt jeg ud af, at port 12345 på min pc står åben. Så
>vidt jeg ved har jeg ikke inviteret nogen trojanere ind, og netstat viser
>heller ikke, at der skulle være nogen forbindelse fra min pc og ud. Jeg
>hælder derfor mest til, at jeg måske tidligere har haft noget installeret,
>der har brugt netop denne port (min pc var tidligere i en
>systemadministrators hænder).
En Remote Access Trojan, ved navn NetBus, bruger port 12345. Med andre
ord er NetBus et program, der kan bruges til at få fuld kontrol over
din pc. Muligvis den der er på spil her.
>Spørgsmålet er så, om man kan klappe lågen i uden en firewall? Jeg fandt på
>et tidspunkt et lille program, der kunne lukke et af Windows typiske huller
>(NetBios, port 139) - findes noget tilsvarende til port 12345?
Der er masser af hjælp at finde på diverse websites. Søg på f.eks.
Google.
Med venlig hilsen
--
Jesper Gaardbo Langhoff
| |
Jacob Twisttmann Jør~ (19-06-2002)
| Kommentar
Fra : Jacob Twisttmann Jør~ |
Dato : 19-06-02 07:35 |
|
Jesper Gaardbo Langhoff <langhoff@it.dk> wrote:
> En Remote Access Trojan, ved navn NetBus, bruger port 12345. Med andre
> ord er NetBus et program, der kan bruges til at få fuld kontrol over
> din pc. Muligvis den der er på spil her.
Det var en mulighed, men forekommer ikke længere sandsynligt. Det var
snarere scanneren, der var noget i vejen med. Se mit tidligere indlæg.
> Der er masser af hjælp at finde på diverse websites. Søg på f.eks.
> Google.
Det gjorde jeg selvfølgelig før, jeg stillede mit spørgsmål i denne gruppe,
og jeg fandt ingen hjælp. En masse diskussioner af NetBus og anbefalinger af
diverse firewalls, men det var ikke i første omgang det, jeg havde brug for.
Jacob
| |
Jesper Gaardbo Langh~ (19-06-2002)
| Kommentar
Fra : Jesper Gaardbo Langh~ |
Dato : 19-06-02 16:23 |
|
On Wed, 19 Jun 2002 09:34:57 +0300, Jacob Twisttmann Jørgensen
<Jacoben@luukku.com> wrote:
>Det var en mulighed, men forekommer ikke længere sandsynligt. Det var
>snarere scanneren, der var noget i vejen med. Se mit tidligere indlæg.
Jeg har skam læst dine tidligere indlæg. Da jeg svarede dig, var der
ingen der havde fortalt dig, at der muligvis var tale om NetBus.
At NetBus ikke længere svarer på port 12345 når du scanner, betyder
ikke nødvendigvis, at alt er ok.
>Det gjorde jeg selvfølgelig før, jeg stillede mit spørgsmål i denne gruppe,
>og jeg fandt ingen hjælp. En masse diskussioner af NetBus og anbefalinger af
>diverse firewalls, men det var ikke i første omgang det, jeg havde brug for.
Du gav ikke udtryk for, at du var klar over, at NetBus eventuelt havde
inficeret din pc. I stedet for at blokere en port, ville en bedre
løsning da være at fjerne NetBus. Hvorfor spørger du efter en
lappeløsning, når du i forvejen havde søgt på nettet efter det?
I dit tilfælde ville jeg som Thomas B. Maxe anbefaler geninstallere
mit operativsystem.
--
Jesper Gaardbo Langhoff
| |
|
|