Dużo otwartych portów - które są podejrzane?


(Jicociwaji) #1

Cześć, mam mały problem, właśnie przeskanowałem sobie porty na moim domowym PC i odkryłem, że ma dużo otwartych dziwnych portów.

 

Wklejam skan portów mojego Domowego PC. Do tego celu użyłem nmap'a uruchomionego na RaspberryPi działającego u mnie w NATcie: 

http://www.wklej.org/id/3009841/

 

Po uruchomieniu komendy TASKLIST /SVC w linii komend Windowsa (Domowy PC) wyskakuje mi lista uruchomionych procesów używających svc, oto lista:

http://www.wklej.org/id/3009848/
 

Dodam tylko, że używam VNC i SSH do połączeń z maliną, więc te porty są mi znane.

Domowy PC działa na Windows 8.1 

 

Czy powinienem się przejmować powyższymi portami (lub aplikacjami je używającymi)?

Nie rozpoznaję niektórych usług (np. NFS-or-IIS, LSA-or-nterm, ms-lsa lub polestar)


(Domker) #2
  • 135/tcp open msrpc <- zdalna pomoc Windows (wystarczy odhaczyć pole w oknie, gdzie jest m. in. zakładka menadżer urządzeń)

BTW pierwsze, co wyłączam po instalacji Windows :slight_smile:

139/tcp open netbios-ssn <- NetBios - jak nie udostępniasz drukarek to możesz w usługach wyłączyć

445/tcp open microsoft-ds <- http://www.speedguide.net/port.php?port=445

990/tcp open ftps <- jakieś połączenie Secure FTP - to już sobie musisz "netstat odpalić z parametrami -a -b i zobaczyć, co za proces tworzy połączenie FTPS na porcie 990

1025/tcp do 1029/tcp <- dynamicznie przydzielane porty w Windows (http://www.speedguide.net/port.php?port=1025

1060/tcp polestar <- http://www.adminsub.net/tcp-udp-port-finder/polestar

5357/tcp open wsdapi <- https://msdn.microsoft.com/en-us/library/windows/desktop/aa826001(v=vs.85).aspx


(Jicociwaji) #3

Ok, super, dzięki:)

 

Wyłączyłem wszystkie usługi używające:

  • 135/tcp open msrpc
  • 139/tcp open netbios-ssn
  • 445/tcp open microsoft-ds

 

Z resztą wyszło tak:

 

- 1025/tcp do 1029/tcp - NFS-IIS itp. na razie zostawiam, myślę że może to być jakiś system wymiany plików po sieci lokalnej (dokumenty udostępnione? OneDrive?) Windowsa 8.1, ale nie jestem pewien

 

- 990/tcp open ftps - usługę używającą mam WcesComm - szukałem info na ten temat, ale nie było za dużo info, głównie artykuły związane z bezpieczeństwem komputerowym, ale nic konkretnego, znalazłem za to artykuł, że był taki wirus “Sasser” (http://virus.wikidot.com/sasser) który używał LSASS buffer overflow vulnerability i coś może być na rzeczy bo po “netstat’cie -a -b” mam info że plik lsass.exe używa otwartego portu 1027 (czyli ten “IIS”), czy to może być to? Sasser był w 2004 roku, mamy 2016, a ja mam Windowsa 8.1, który jest up-to-date, dlatego mam wątpliwości.

EDIT: zrobiłem mały research i nie znalazłem plików które powinny się znaleźć w folderze Windowsa jeśli byłby to Sasser (m.in. avserve.exe, *_up.exe), co jednak jeśli to jakaś nowa wersja?

 

- 1060/tcp open polestar - nadal nie mam pojęcia co to jest, a Internet też nie ma praktycznie żadnych informacji na ten temat, jedyne linki jakie znalazłem są głównie na stronach typu IANA, SANS itp. gdzie jest tylko opis, że ten port jest używany właśnie przez polestar, ale nie jest nigdzie napisane co to konkretnie jest (np. https://www.grc.com/port_1060.htm , https://isc.sans.edu//port.html?port=1060 , https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xml); dodam jeszcze tylko, że polestar nie pokazuje nic w netstat -a -b (nie ma w ogóle tego portu pokazanego - jest za to 1062, który wyswietla “Can not obtain ownership information”)

 

- 5357/tcp open wsdapi - niby to Web Services on Devices API (WSDAPI) od Microsoftu (może znowu jakiś OneDrive?), ale teraz to też śmierdzi mi ta usługa

 

jakieś pomysły?