Outpost, Svchost e connessioni

Angels@reInHR · 17-09-2008, 08.45.35

Ciao gente, il problema che mi sono posto è questo: non avrò troppe connessioni aperte ? Attualmente sono circa 6500, con tre reali applicazioni online (FF,WLM,SVCHOST), e 48 porte in uso. FF e WLM, hanno dalle 2 alle 4 connessioni a testa, mentre SVCHOST, fa la parte del leone con le restanti 6000.
Tenete conto che Outpost l' ho impostato per l' auto creazione delle regole per le applicazioni note e che il mio pc è il principale in una lan con un altro pc, il quale allo stato delle connessioni attuali non ha nesun altro programma diverso dal mio online(FF escluso.)

Cosa c'è che non va ?

LoryOne · 17-09-2008, 09.45.57

Sei sicuro che Outpost visualizzi le connessioni aperte in real-time ?
Non è che per caso mostra le connessioni aperte sommandole fino al momento in cui te le mostra ?
usa netstat e controlla

Angels@reInHR · 17-09-2008, 10.52.01

Ah questo che dici te non lo so. Come faccio ad usare netstat ?
Grazie.

Losko · 17-09-2008, 11.11.04

Apri il prompt dei comandi e digita "netstat ?" (senza virgolette) per avere la lista delle opzioni associabili al comando netstat.

Angels@reInHR · 17-09-2008, 23.10.52

Ecco nestat, ora però le connessioni sono solo 2000 circa

LoryOne · 18-09-2008, 08.13.53

Benissimo, svelato l'arcano mistero.
Avrai capito anche tu che le connessioni mostrate da OutPost includono non solo quelle in stato established, ma anche quelle in time-wait in procinto di essere chiuse.
Ne deduco che il numero di connessioni mostrate non tiene conto dello stato in cui le stesse si trovano.

renarelli74 · 22-09-2008, 17.10.13

Se temi di essere monitorato da qualche trojan, con Netstat osservi le connessioni in esecuzione e l'origine, puoi installare un port scanner in locale (per es. "local port scanner") che in background ti rileva lo stato continuo delle porte in uso da malintenzionati e non autorizzate ed altresì con l'ottimo "Outpost" le blocchi creando le regole assistite. Chiaro?

LoryOne · 23-09-2008, 13.46.40

Chiaro de che ?
Io vedo chiaro solo con uno sniffer in caso. netstat era solo per accertarsi che le porte fossero effettivamente 6000 e passa e, sebbene sia utile anche per visionare quale processo abbia aperto o meno la connessione, non è sufficiente a garantire che quel svchost sia effettivamente un componente del S.O., così come persino Outpost può non esserne sicuro.
A proposito: Qualcuno sa fornire indicazioni per identificare quale servizio legittimo, se di servizio di Windows si tratta, utilizza svchost ?

renarelli74 · 23-09-2008, 13.57.47

Il programma "Local port scanner" nella fattispecie, contiene al suo interno una lista di tutti i trojan aggiornabili e durante la scansione in background monitorizza la connessione confrontando la sua lista con le connessioni attive e quindi i tentativi di attacchi. Soltanto dopo aver riconosciuto eventuali connessioni estranee, subentra la configurazione di un firewall, nell'esempio l'Outpost, bloccando quegli attacchi e creando manualmente delle regole. E' chiaro ora?

E' anche uno sniffer, per quanto lo sniffer viene usato per ben altri scopi!

LoryOne · 23-09-2008, 14.02.36

Si mi è chiaro.
A proposito: Qualcuno sa fornire indicazioni per identificare quale servizio legittimo, se di servizio di Windows si tratta, utilizza svchost ?

renarelli74 · 23-09-2008, 14.06.46

Il servizio "Svchost" è un processo di sistema normale nei Windows":
Generic Host Process for Win32 Services.
Fornisce funzionalità di avvio per i servizi "DCOM". Se vuoi entro nel dettaglio, ma ti annoierebbe

LoryOne · 23-09-2008, 14.09.23

Io annoiarmi ? Ma scherzi.
ci passo il pomeriggio a leggere. Vai pure col DCOM

renarelli74 · 23-09-2008, 14.23.23

Mi fa piacere che non ti annoio..
Il file svchost.exe serve a caricare diversi servizi di sistema (non a caso è un "host process"), e infatti generalmente ne vengono eseguite + istanze (come potrai notare dal task manager di Windows).

Cmq non devi chiudere la porta 135 o bloccare svchost.exe. In passato il servizio DCOM è stato oggetto di attacchi a causa di un bug al suo interno poi corretto. Il programma "Harden it" per es. blocca questo.
Esiste pure un programma del noto esperto di sicurezza "Steve Gibson", DCOMbobulato 2.01 che effettua un test sulla vulnerabilità a tali attacchi.
Comunque il servizio DCOM è utile in quanto permette di avviare altri servizi importanti per il corretto funzionamento di Windows, tra cui "Rpc locator", ed altri.
Spesso viene utilizzato come porta aperta agli aggiornamenti della Microsoft, la suddetta porta 135; conoscendo ciò si può stare tranquilli, tranne in casi di possibili attacchi (exploit, synflood per citarne alcuni..).
Sono info che puoi reperire anche su internet ormai
Io vado a fare la pappa, spero di aver appagato un minimo le tue curiosità.
Ciao e alla prox

LoryOne · 23-09-2008, 14.37.24

Sicuramente utile.
Buon appetito

renarelli74 · 23-09-2008, 15.08.58

Grazie e mi auguro che tu abbia rettificato la tua opinione su di me, solo perchè uno sprovveduto qualsiasi mi ha additato senza un motivo intelligente di essere un competitore via internet, o altro pur non conoscendomi invece di pensare a se ..

17-09-2008, 08.45.35	#1
Angels@reInHR Junior Member Registrato: 09-08-2008 Messaggi: 100	Outpost, Svchost e connessioni Ciao gente, il problema che mi sono posto è questo: non avrò troppe connessioni aperte ? Attualmente sono circa 6500, con tre reali applicazioni online (FF,WLM,SVCHOST), e 48 porte in uso. FF e WLM, hanno dalle 2 alle 4 connessioni a testa, mentre SVCHOST, fa la parte del leone con le restanti 6000. Tenete conto che Outpost l' ho impostato per l' auto creazione delle regole per le applicazioni note e che il mio pc è il principale in una lan con un altro pc, il quale allo stato delle connessioni attuali non ha nesun altro programma diverso dal mio online(FF escluso.) Cosa c'è che non va ?

23-09-2008, 13.46.40	#8
LoryOne Gold Member WT Expert Registrato: 09-01-2002 Loc.: None of your business Messaggi: 5.505	Chiaro de che ? Io vedo chiaro solo con uno sniffer in caso. netstat era solo per accertarsi che le porte fossero effettivamente 6000 e passa e, sebbene sia utile anche per visionare quale processo abbia aperto o meno la connessione, non è sufficiente a garantire che quel svchost sia effettivamente un componente del S.O., così come persino Outpost può non esserne sicuro. A proposito: Qualcuno sa fornire indicazioni per identificare quale servizio legittimo, se di servizio di Windows si tratta, utilizza svchost ? Ultima modifica di LoryOne : 23-09-2008 alle ore 13.49.48

23-09-2008, 13.57.47	#9
renarelli74 Senior Member Registrato: 17-10-2007 Messaggi: 233	Il programma "Local port scanner" nella fattispecie, contiene al suo interno una lista di tutti i trojan aggiornabili e durante la scansione in background monitorizza la connessione confrontando la sua lista con le connessioni attive e quindi i tentativi di attacchi. Soltanto dopo aver riconosciuto eventuali connessioni estranee, subentra la configurazione di un firewall, nell'esempio l'Outpost, bloccando quegli attacchi e creando manualmente delle regole. E' chiaro ora? E' anche uno sniffer, per quanto lo sniffer viene usato per ben altri scopi! Ultima modifica di renarelli74 : 23-09-2008 alle ore 14.02.51

23-09-2008, 15.08.58	#15
renarelli74 Senior Member Registrato: 17-10-2007 Messaggi: 233	Grazie e mi auguro che tu abbia rettificato la tua opinione su di me, solo perchè uno sprovveduto qualsiasi mi ha additato senza un motivo intelligente di essere un competitore via internet, o altro pur non conoscendomi invece di pensare a se .. Ultima modifica di renarelli74 : 23-09-2008 alle ore 15.12.15

Discussioni simili
Discussione	Autore discussione	Forum	Risposte	Ultimo messaggio
Outpost Pro 2.7.491.415	Gervy	Archivio News Software	0	18-07-2005 20.29.31
Outpost Pro 2.6.452.403	Gervy	Archivio News Software	0	20-04-2005 02.02.35
Outpost Pro 2.5.375	Gervy	Archivio News Software	0	12-01-2005 18.43.20
Outpost Pro 2.5.370	Gervy	Archivio News Software	0	10-11-2004 00.23.05
Outpost F. Pro 2.5	Gervy	Archivio News Software	0	14-10-2004 00.05.09

17-09-2008, 09.45.57	#2
LoryOne Gold Member WT Expert Registrato: 09-01-2002 Loc.: None of your business Messaggi: 5.505	Sei sicuro che Outpost visualizzi le connessioni aperte in real-time ? Non è che per caso mostra le connessioni aperte sommandole fino al momento in cui te le mostra ? usa netstat e controlla

17-09-2008, 10.52.01	#3
Angels@reInHR Junior Member Registrato: 09-08-2008 Messaggi: 100	Ah questo che dici te non lo so. Come faccio ad usare netstat ? Grazie.

17-09-2008, 11.11.04	#4
Losko Forum supporter Registrato: 12-02-2007 Loc.: Un posto qualunque nell'universo Messaggi: 1.562	Apri il prompt dei comandi e digita "netstat ?" (senza virgolette) per avere la lista delle opzioni associabili al comando netstat.

17-09-2008, 23.10.52	#5
Angels@reInHR Junior Member Registrato: 09-08-2008 Messaggi: 100	Ecco nestat, ora però le connessioni sono solo 2000 circa

18-09-2008, 08.13.53	#6
LoryOne Gold Member WT Expert Registrato: 09-01-2002 Loc.: None of your business Messaggi: 5.505	Benissimo, svelato l'arcano mistero. Avrai capito anche tu che le connessioni mostrate da OutPost includono non solo quelle in stato established, ma anche quelle in time-wait in procinto di essere chiuse. Ne deduco che il numero di connessioni mostrate non tiene conto dello stato in cui le stesse si trovano.

22-09-2008, 17.10.13	#7
renarelli74 Senior Member Registrato: 17-10-2007 Messaggi: 233	Se temi di essere monitorato da qualche trojan, con Netstat osservi le connessioni in esecuzione e l'origine, puoi installare un port scanner in locale (per es. "local port scanner") che in background ti rileva lo stato continuo delle porte in uso da malintenzionati e non autorizzate ed altresì con l'ottimo "Outpost" le blocchi creando le regole assistite. Chiaro?

23-09-2008, 14.02.36	#10
LoryOne Gold Member WT Expert Registrato: 09-01-2002 Loc.: None of your business Messaggi: 5.505	Si mi è chiaro. A proposito: Qualcuno sa fornire indicazioni per identificare quale servizio legittimo, se di servizio di Windows si tratta, utilizza svchost ?

23-09-2008, 14.06.46	#11
renarelli74 Senior Member Registrato: 17-10-2007 Messaggi: 233	Il servizio "Svchost" è un processo di sistema normale nei Windows": Generic Host Process for Win32 Services. Fornisce funzionalità di avvio per i servizi "DCOM". Se vuoi entro nel dettaglio, ma ti annoierebbe

23-09-2008, 14.09.23	#12
LoryOne Gold Member WT Expert Registrato: 09-01-2002 Loc.: None of your business Messaggi: 5.505	Io annoiarmi ? Ma scherzi. ci passo il pomeriggio a leggere. Vai pure col DCOM

23-09-2008, 14.23.23	#13
renarelli74 Senior Member Registrato: 17-10-2007 Messaggi: 233	Mi fa piacere che non ti annoio.. Il file svchost.exe serve a caricare diversi servizi di sistema (non a caso è un "host process"), e infatti generalmente ne vengono eseguite + istanze (come potrai notare dal task manager di Windows). Cmq non devi chiudere la porta 135 o bloccare svchost.exe. In passato il servizio DCOM è stato oggetto di attacchi a causa di un bug al suo interno poi corretto. Il programma "Harden it" per es. blocca questo. Esiste pure un programma del noto esperto di sicurezza "Steve Gibson", DCOMbobulato 2.01 che effettua un test sulla vulnerabilità a tali attacchi. Comunque il servizio DCOM è utile in quanto permette di avviare altri servizi importanti per il corretto funzionamento di Windows, tra cui "Rpc locator", ed altri. Spesso viene utilizzato come porta aperta agli aggiornamenti della Microsoft, la suddetta porta 135; conoscendo ciò si può stare tranquilli, tranne in casi di possibili attacchi (exploit, synflood per citarne alcuni..). Sono info che puoi reperire anche su internet ormai Io vado a fare la pappa, spero di aver appagato un minimo le tue curiosità. Ciao e alla prox

23-09-2008, 14.37.24	#14
LoryOne Gold Member WT Expert Registrato: 09-01-2002 Loc.: None of your business Messaggi: 5.505	Sicuramente utile. Buon appetito

Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)