PDA

Visualizza versione completa : Outpost, Svchost e connessioni


Angels@reInHR
17-09-2008, 08.45.35
Ciao gente, il problema che mi sono posto è questo: non avrò troppe connessioni aperte ? Attualmente sono circa 6500, con tre reali applicazioni online (FF,WLM,SVCHOST), e 48 porte in uso. FF e WLM, hanno dalle 2 alle 4 connessioni a testa, mentre SVCHOST, fa la parte del leone con le restanti 6000.
Tenete conto che Outpost l' ho impostato per l' auto creazione delle regole per le applicazioni note e che il mio pc è il principale in una lan con un altro pc, il quale allo stato delle connessioni attuali non ha nesun altro programma diverso dal mio online(FF escluso.)

Cosa c'è che non va ?

http://img440.imageshack.us/img440/7285/statstx0.th.jpg (http://img440.imageshack.us/my.php?image=statstx0.jpg)
http://img440.imageshack.us/img440/5835/attivitreteyi2.th.jpg (http://img440.imageshack.us/my.php?image=attivitreteyi2.jpg)
http://img371.imageshack.us/img371/4651/usedportsix2.th.jpg (http://img371.imageshack.us/my.php?image=usedportsix2.jpg)

LoryOne
17-09-2008, 09.45.57
Sei sicuro che Outpost visualizzi le connessioni aperte in real-time ?
Non è che per caso mostra le connessioni aperte sommandole fino al momento in cui te le mostra ?
usa netstat e controlla

Angels@reInHR
17-09-2008, 10.52.01
Ah questo che dici te non lo so. Come faccio ad usare netstat ?
Grazie.

Losko
17-09-2008, 11.11.04
Apri il prompt dei comandi e digita "netstat ?" (senza virgolette) per avere la lista delle opzioni associabili al comando netstat.

Angels@reInHR
17-09-2008, 23.10.52
Ecco nestat, ora però le connessioni sono solo 2000 circa

http://img98.imageshack.us/img98/4056/netstatej4.th.jpg (http://img98.imageshack.us/my.php?image=netstatej4.jpg)

LoryOne
18-09-2008, 08.13.53
Benissimo, svelato l'arcano mistero.
Avrai capito anche tu che le connessioni mostrate da OutPost includono non solo quelle in stato established, ma anche quelle in time-wait in procinto di essere chiuse.
Ne deduco che il numero di connessioni mostrate non tiene conto dello stato in cui le stesse si trovano.

renarelli74
22-09-2008, 17.10.13
Se temi di essere monitorato da qualche trojan, con Netstat osservi le connessioni in esecuzione e l'origine, puoi installare un port scanner in locale (per es. "local port scanner") che in background ti rileva lo stato continuo delle porte in uso da malintenzionati e non autorizzate ed altresì con l'ottimo "Outpost" le blocchi creando le regole assistite. Chiaro?

LoryOne
23-09-2008, 13.46.40
Chiaro de che ?
Io vedo chiaro solo con uno sniffer in caso. netstat era solo per accertarsi che le porte fossero effettivamente 6000 e passa e, sebbene sia utile anche per visionare quale processo abbia aperto o meno la connessione, non è sufficiente a garantire che quel svchost sia effettivamente un componente del S.O., così come persino Outpost può non esserne sicuro.
A proposito: Qualcuno sa fornire indicazioni per identificare quale servizio legittimo, se di servizio di Windows si tratta, utilizza svchost ? :)

renarelli74
23-09-2008, 13.57.47
Il programma "Local port scanner" nella fattispecie, contiene al suo interno una lista di tutti i trojan aggiornabili e durante la scansione in background monitorizza la connessione confrontando la sua lista con le connessioni attive e quindi i tentativi di attacchi. Soltanto dopo aver riconosciuto eventuali connessioni estranee, subentra la configurazione di un firewall, nell'esempio l'Outpost, bloccando quegli attacchi e creando manualmente delle regole. E' chiaro ora? :)
E' anche uno sniffer, per quanto lo sniffer viene usato per ben altri scopi!

LoryOne
23-09-2008, 14.02.36
Si mi è chiaro.
A proposito: Qualcuno sa fornire indicazioni per identificare quale servizio legittimo, se di servizio di Windows si tratta, utilizza svchost ?

renarelli74
23-09-2008, 14.06.46
Il servizio "Svchost" è un processo di sistema normale nei Windows":
Generic Host Process for Win32 Services.
Fornisce funzionalità di avvio per i servizi "DCOM". Se vuoi entro nel dettaglio, ma ti annoierebbe

LoryOne
23-09-2008, 14.09.23
Io annoiarmi ? Ma scherzi.
ci passo il pomeriggio a leggere. Vai pure col DCOM :)

renarelli74
23-09-2008, 14.23.23
Mi fa piacere che non ti annoio..
Il file svchost.exe serve a caricare diversi servizi di sistema (non a caso è un "host process"), e infatti generalmente ne vengono eseguite + istanze (come potrai notare dal task manager di Windows).

Cmq non devi chiudere la porta 135 o bloccare svchost.exe. In passato il servizio DCOM è stato oggetto di attacchi a causa di un bug al suo interno poi corretto. Il programma "Harden it" per es. blocca questo.
Esiste pure un programma del noto esperto di sicurezza "Steve Gibson", DCOMbobulato 2.01 che effettua un test sulla vulnerabilità a tali attacchi.
Comunque il servizio DCOM è utile in quanto permette di avviare altri servizi importanti per il corretto funzionamento di Windows, tra cui "Rpc locator", ed altri.
Spesso viene utilizzato come porta aperta agli aggiornamenti della Microsoft, la suddetta porta 135; conoscendo ciò si può stare tranquilli, tranne in casi di possibili attacchi (exploit, synflood per citarne alcuni..).
Sono info che puoi reperire anche su internet ormai
Io vado a fare la pappa, spero di aver appagato un minimo le tue curiosità.
Ciao e alla prox

LoryOne
23-09-2008, 14.37.24
Sicuramente utile.
Buon appetito

renarelli74
23-09-2008, 15.08.58
Grazie e mi auguro che tu abbia rettificato la tua opinione su di me, solo perchè uno sprovveduto qualsiasi mi ha additato senza un motivo intelligente di essere un competitore via internet, o altro pur non conoscendomi invece di pensare a se ..

LoryOne
23-09-2008, 15.36.54
Renarelli ... a me sinceramente interessa solo cosa scrivi.

renarelli74
23-09-2008, 17.20.13
Renarelli ... a me sinceramente interessa solo cosa scrivi.

ok, mi fa piacere, ti ringrazio