---

Jeg har et par spørgsmål ang. porte (Jeg synes ikke jeg kunne finde noget om
emnet i faq'en)

1:
Er jeg kun sårbar overfor angreb (hacker, vira mm) på porte der er åbne (Dem
der vises ved at køre "netstat -an" i en commandopromt)

2:
Findes der et program, som kan scanne den pc programmet køres på for åbne
porte.
Jeg kan ikke bruge de services der stilles til rådighed på nettet, da min pc
er på et stort kollegienetværk, som er bag en firewall.

3:
Jeg har læst om flere på nettet, der skriver at den firewall jeg benytter
(Sygate Personal Firewall Pro 5.5) ikke lukker for port 135 og 5000. Hvordan
kontrollerer jeg at disse porte er lukket.

Herunder er indsat en kørsel af "netstat -an"

C:\Documents and Settings\KT>netstat -an

Active Connections

Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1028 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1030 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1033 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1036 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1051 0.0.0.0:0 LISTENING
TCP 82.211.214.138:1030 82.211.192.130:22 ESTABLISHED
TCP 82.211.214.138:1033 207.46.106.112:1863 ESTABLISHED
TCP 82.211.214.138:1051 82.211.192.155:80 CLOSE_WAIT
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1025 *:*
UDP 0.0.0.0:1026 *:*
UDP 0.0.0.0:1027 *:*
UDP 0.0.0.0:1038 *:*
UDP 82.211.214.138:9 *:*
UDP 127.0.0.1:1034 *:*



På forhånd tak !

Mvh Kim Thomsen

---

KT skrev:

>1:
>Er jeg kun sårbar overfor angreb (hacker, vira mm) på porte der er åbne (Dem
>der vises ved at køre "netstat -an" i en commandopromt)

Der er to slags angreb der er relevante for private:

A De kommer automatisk uden at brugeren medvirker overhovedet.

B De kommer fordi brugeren gør noget mere eller mindre dumt.

Man er altid sårbar over for B-typen uanset hvor sikkert man
sætter sit system op. Ved at lukke alle aktive nettjenester på
sin computer kan man sikre sig mod A-typen.

Groft sagt kan man sige at A-typen er orme, og B-typen er
virusser, men der findes mange blandingstyper (og mange kalder
blot alle skadelige typer for "virus").

>2:
>Findes der et program, som kan scanne den pc programmet køres på for åbne
>porte.

Ja, netstat.

>Jeg har læst om flere på nettet, der skriver at den firewall jeg benytter
>(Sygate Personal Firewall Pro 5.5) ikke lukker for port 135 og 5000. Hvordan
>kontrollerer jeg at disse porte er lukket.

Kik på netstats udskrift. Du har ingen tjeneste på port 5000, men
der er en på port 135.

Følg denne her opskrift punkt for punkt:

http://home18.inet.tele.dk/madsen/winxp/Tjenester.pdf

Når det er gjort (og hvis du ikke allerede er smittet), så er din
computer sikret bedre end nogen 'personlig firewall' kan gøre
det.

>Herunder er indsat en kørsel af "netstat -an"

Ja, sådan ser et åbent Windowssystem ud.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

On Thu, 24 Jun 2004 12:40:03 +0200, KT wrote:

> Er jeg kun sårbar overfor angreb (hacker, vira mm) på porte der er åbne
> (Dem der vises ved at køre "netstat -an" i en commandopromt)

Overfor angreb over nettet, ja[1].

- Men megen malware distribueres via e-mails eller hjemmesider, hvor
klientprogrammet (mail-reader eller browser) overrumples gennem en eller
anden softwarefejl. Herefter behøver de skadelige effekter ingen
netværksadgang for at (forsøge at) gøre skade på dit system.
Beskyttelse mod den slags:
- benyt software, der har en fornuftig sikkerhedshistorik, og
evt. ikke er populært som angrebsmål
- hold denne software opdateret
- undlad at arbejde med høje privilegier (fx. root på unix eller
Administrator på Windows)
- afvis suspekt udseende materiale så tidligt som muligt (i et
e-mail program vil det fx. sige: hvis afsender og/eller
subject lyder mistænkelige, så slet mail'en uden at åbne den)

> Findes der et program, som kan scanne den pc programmet køres på for
> åbne porte.

Ja, fx. nmap ( http://www.insecure.org/nmap/ ).


Note 1:
Der har af og til været fundet meget dybtliggende fejl i
operativsystemers netværkssoftware, således at operativsystemerne kunne
bringes til at crash'e blot ved at sende fx. ping-pakker til dem. I sådan
en situation kan man godt være udsat, selvom at ingen applikationer
lytter på UDP- eller TCP-porte. Men den slags fejl er heldigvis sjældne,
og det er længe siden jeg har læst om sådanne.

--
Greetings from Troels Arvin, Copenhagen, Denmark

---

On Thu, 24 Jun 2004 13:21:18 +0200, Troels Arvin wrote:

>> Findes der et program, som kan scanne den pc programmet køres på for
>> åbne porte.
>
> Ja, fx. nmap ( http://www.insecure.org/nmap/ ).

Ups - du bad om et program til "selv-scanning". Det kan nmap i og for sig
godt, men generelt er "selv-scanning" ret uinteressant. Når man
undersøger den lokale maskine, er netstat mere relevant.

nmap kan du fx. lade en anden på netværket installere, og så bede
ham/hende scanne dig.

--
Greetings from Troels Arvin, Copenhagen, Denmark

---

Tak for de gode og hurtige svar !

Jeg har et enkelt problem tilbage som i måske kan hjælpe med.
Efter anvisninger fra http://home18.inet.tele.dk/madsen/winxp/Tjenester.pdf
har jeg fået lukket for alle porte undtagen UDP 1025 og 1026.

Fport fortæller at de to porte er "ejet" af "system". Så jeg kan ikke
umiddelbart finde ud af hvilken process der har brug for portene.

FPort v2.0 - TCP/IP Process to Port Mapper
Pid Process Port Proto Path
0 System -> 1025 UDP
0 System -> 1026 UDP

Jeg har også forsøgt med google, men fandt ikke nogen info.

Kan i hjælpe ?

Mvh
Kim Thomsen

---

KT skrev:

> Fport fortæller at de to porte er "ejet" af "system". Så jeg
> kan ikke umiddelbart finde ud af hvilken process der har brug
> for portene.

Har du prøvet at skrive 'netstat -ano' i kommandoprompten?
Det skulle gerne give dig et PID-nummer, som du så kan stille
joblisten (Ctrl + Shift + Esc > Processer) til også at vise
via menuen Vis > Vælg Kolonner, eller hvad det nu hedder på
dansk. Her hedder det View > Select Columns...

Du kan være heldig, at finde frem til synderen på den måde
(medmindre at det er SVCHOST.EXE, for den kan også være ejet
af flere forskellige tjenester).

--
Hilsen
Madsen

---

"Thomas G. Madsen" <nospam@madsen.tdcadsl.dk> wrote in message
news:cbfmst.s0.1@tgm.dyndns.dk...
> KT skrev:
>
> > Fport fortæller at de to porte er "ejet" af "system". Så jeg
> > kan ikke umiddelbart finde ud af hvilken process der har brug
> > for portene.
>
> Har du prøvet at skrive 'netstat -ano' i kommandoprompten?
> Det skulle gerne give dig et PID-nummer, som du så kan stille
> joblisten (Ctrl + Shift + Esc > Processer) til også at vise
> via menuen Vis > Vælg Kolonner, eller hvad det nu hedder på
> dansk. Her hedder det View > Select Columns...
>
> Du kan være heldig, at finde frem til synderen på den måde
> (medmindre at det er SVCHOST.EXE, for den kan også være ejet
> af flere forskellige tjenester).
>
> --
> Hilsen
> Madsen

Tak for tippet, det viste sig at være svchost.exe der var synderen.

Mvh Kim

---

KT skrev:

> Tak for tippet, det viste sig at være svchost.exe der var synderen.

Ikke i sig selv, svchost anvendes blot til at starte andre services.

Hvis du anvender WinXP Pro, kan du se hvilke ved hjælp af "Start | kør |
cmd | tasklist /svc" (det er dermed mindre svært at finde ud af hvilken
service som skal lukkes via "Start | Kør | services.msc").

Output fra tasklist /svc kan se sådan ud (afhængig af hvilke services du
har kørende):

C:\>tasklist /svc

Procesnavn PID Tjenester
==================== ====== ===========================================
System Idle Process 0 I/T
System 4 I/T
smss.exe 436 I/T
csrss.exe 500 I/T
winlogon.exe 524 I/T
services.exe 568 Eventlog, PlugPlay
lsass.exe 580 ProtectedStorage, SamSs
svchost.exe 756 RpcSs
svchost.exe 820 AudioSrv, Browser, CryptSvc, Dhcp,
dmserver, ERSvc, EventSystem, helpsvc,
lanmanserver, lanmanworkstation, Netman,
Nla, seclogon, SENS, ShellHWDetection,
TermService, uploadmgr, W32Time, winmgmt
svchost.exe 916 Dnscache
svchost.exe 944 LmHosts, SSDPSRV, WebClient
spoolsv.exe 976 Spooler
cisvc.exe 1092 cisvc
gearsec.exe 1120 gearsec
imapi.exe 1140 ImapiService
MDM.EXE 1172 MDM
nvsvc32.exe 1192 NVSvc
explorer.exe 1756 I/T
rundll32.exe 1888 I/T
FidolookSL.exe 748 I/T
cidaemon.exe 1544 I/T
iexplore.exe 268 I/T
cmd.exe 252 I/T
tasklist.exe 484 I/T
wmiprvse.exe 236 I/T

Læs eventuelt mere om svchost:

http://support.microsoft.com/default.aspx?scid=kb;EN-US;314056

Ved hjælp af tasklist /v kan du se hvilken brugerkonto der afvikler de
forskellige processor.

---

KT skrev:

> Tak for tippet, det viste sig at være svchost.exe der var
> synderen.

Som skrevet i: <news:cbfmst.s0.1@tgm.dyndns.dk> og af Peder,
så er det ikke SVCHOST.EXE i sig selv, for den bruges blot
til at starte andre tjenester med.

Hvordan man kontrollerer, hvilke tjenester der kører under
hver enkelt SVCHOST.EXE i joblisten, har Peder beskrevet i:
<news:40dd290d$0$158$edfadb0f@dtext01.news.tele.dk>.

--
Hilsen
Madsen

---

"KT" <detsortehulATSLETTE@hotmail.com> skrev i en meddelelse
news:cbeamo$voi$1@gnd.k-net.dk...
> Jeg har et par spørgsmål ang. porte (Jeg synes ikke jeg kunne finde noget
om
> emnet i faq'en)
>
> 1:
> Er jeg kun sårbar overfor angreb (hacker, vira mm) på porte der er åbne
(Dem
> der vises ved at køre "netstat -an" i en commandopromt)
>
> 2:
> Findes der et program, som kan scanne den pc programmet køres på for åbne
> porte.
> Jeg kan ikke bruge de services der stilles til rådighed på nettet, da min
pc
> er på et stort kollegienetværk, som er bag en firewall.
>
> 3:
> Jeg har læst om flere på nettet, der skriver at den firewall jeg benytter
> (Sygate Personal Firewall Pro 5.5) ikke lukker for port 135 og 5000.
Hvordan
> kontrollerer jeg at disse porte er lukket.
>
> Herunder er indsat en kørsel af "netstat -an"
>
> C:\Documents and Settings\KT>netstat -an
>
> Active Connections
>
> Proto Local Address Foreign Address State
> TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
> TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
> TCP 0.0.0.0:1028 0.0.0.0:0 LISTENING
> TCP 0.0.0.0:1030 0.0.0.0:0 LISTENING
> TCP 0.0.0.0:1033 0.0.0.0:0 LISTENING
> TCP 0.0.0.0:1036 0.0.0.0:0 LISTENING
> TCP 0.0.0.0:1051 0.0.0.0:0 LISTENING
> TCP 82.211.214.138:1030 82.211.192.130:22 ESTABLISHED
> TCP 82.211.214.138:1033 207.46.106.112:1863 ESTABLISHED
> TCP 82.211.214.138:1051 82.211.192.155:80 CLOSE_WAIT
> UDP 0.0.0.0:445 *:*
> UDP 0.0.0.0:1025 *:*
> UDP 0.0.0.0:1026 *:*
> UDP 0.0.0.0:1027 *:*
> UDP 0.0.0.0:1038 *:*
> UDP 82.211.214.138:9 *:*
> UDP 127.0.0.1:1034 *:*
>
>
>
> På forhånd tak !
>
> Mvh Kim Thomsen
>
>
Hej

Hvordan får I netstart til at virke. Når jeg prøver for jeg følgende fejl:
´netstart´blev ikke genkent som en intern eller ekstern kommando, et progra
eller en batchfil.
Roland

---

> Hvordan får I netstart til at virke. Når jeg prøver for jeg følgende fejl:
> ´netstart´blev ikke genkent som en intern eller ekstern kommando, et progra
> eller en batchfil.
> Roland
>
>
Kommandoen hedder NETSTAT, ikke start.

Lars

---

Lars Jespersen wrote:

>> Hvordan får I netstart til at virke. Når jeg prøver for jeg følgende
>> fejl:
>> ´netstart´blev ikke genkent som en intern eller ekstern kommando, et
>> progra
>> eller en batchfil.
>> Roland
>>
>>
> Kommandoen hedder NETSTAT, ikke start.
>
> Lars

Kloge Aage siger:

| Kør | Cmd | Netstat = Netværksporte, statistik og routingtabeller

| Kør | Cmd | Net start = Manipulation af lokale Windows Services.

"Net start" kommandoen, er en del af MS NET kommandoerne, der kan bruges
til kommandolinie administration af div. lokale og remote MS Domain og
workgroup funktionaliteter.

/mvh
michael

--
"Any intelligent fool can make things bigger, more complex, and more
violent.
It takes a touch of genius - and a lot of courage - to move in the
opposite direction."
Albert Einstein.

---

"Lars Jespersen" <SLETlarsjesp@mail.dk> skrev i en meddelelse
news:40fedc56$0$226$edfadb0f@dread11.news.tele.dk...
> > Hvordan får I netstart til at virke. Når jeg prøver for jeg følgende
fejl:
> > ´netstart´blev ikke genkent som en intern eller ekstern kommando, et
progra
> > eller en batchfil.
> > Roland
> >
> >
> Kommandoen hedder NETSTAT, ikke start.
>
> Lars

Hej igen

OK, så er det blot mig der har læst forkert. Det kan jo ske for enhver.

Roland