---

Hvordan lukker man port 22 ?

Fik denne melding fra:
http://security.symantec.com/sscv6/default.asp?productid=NSW2003&langid=ie&venid=sym

22. SSH. TCP connections to this port might indicate a search for SSH,
which has a few exploitable features. SSH is a secure replacement for
Telnet. The most common uses of SSH are to securely login and
copy files from a server.

Mvh Kim
MS XP Pro
MS SP 1 + 2
VisNetic Firewall v. 2.2

---

On Wed, 22 Sep 2004 14:31:16 +0200, Kim wrote:

> Hvordan lukker man port 22 ?

Den benyttes sandsynligvis slet ikke på dit system, da SSH-servere
på Windows er et sjældent syn.

Hvad siger "netstat -an"?

> Fik denne melding fra:
> http://security.symantec.com/sscv6/default.asp?productid=NSW2003&langid=ie&venid=sym
[...]
> VisNetic Firewall v. 2.2

Mit bud er, at dit "firewall"-software forvirrer Symantic's system til at
tro, at du har software kørende, som lytter på port 22.

--
Greetings from Troels Arvin, Copenhagen, Denmark

---

Kim wrote:

> Hvordan lukker man port 22 ?

Sidder du bag en router? Muligvis er det den der har port 22 åben.

Prøv at gå i Start-Kør, skriv "cmd". I vinduet der fremkommer skal du
skrive "netstat -na" og se om der er en lokaladresse der ender på :22

Hvis der ikke er, så er det enten din router der har porten åben, eller
Symantecs scanner er defekt.

Hvis der er en linie med :22, så er det fordi der er et program der
lytter på port 22.

Så skriver du "netstat -ano" og ser hvilket PID, linien står med.

Derefter går du i joblisten - højreklik på taskbaren, vælg jobliste, gå
ind under Processer, Vis, Vælg Kolonner... og tilføj PID.

Så ved du hvilket program der lytter på port 22.

Meget simpelt, ikke?

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

---

"Christian Andersen" <5oyh8a102@sneakemail.com> skrev i en meddelelse
news:cirsjn$ara$1@charybdis.vof.dk...
> Kim wrote:
>
>> Hvordan lukker man port 22 ?
>
> Sidder du bag en router? Muligvis er det den der har port 22 åben.

Aner det ikke...
Jeg er koblet op via vores boligforenings netværk
før kabelnettet.dk nu Telelet.dk
Hedder det så en router ?

> Prøv at gå i Start-Kør, skriv "cmd". I vinduet der fremkommer skal du
> skrive "netstat -na" og se om der er en lokaladresse der ender på :22

Ingen der ender på 22 under Lokal adresse

Microsoft Windows XP [version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\Kim>netstat -ano

Aktive forbindelser

Proto Lokal adresse Fjernadresse Tilstand PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 864
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 127.0.0.1:1029 0.0.0.0:0 LISTENING 464
TCP 172.16.247.254:139 0.0.0.0:0 LISTENING 4
TCP 172.16.247.254:1031 xxxxxxxxxxxxxxx TIME_WAIT 0
TCP 172.16.247.254:1037 xxxxxxxxxxxxxxx ESTABLISHED 2300
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:500 *:* 620
UDP 0.0.0.0:1030 *:* 1016
UDP 0.0.0.0:4500 *:* 620
UDP 127.0.0.1:1035 *:* 936
UDP 127.0.0.1:1036 *:* 936
UDP 127.0.0.1:1900 *:* 1140
UDP 172.16.247.254:137 *:* 4
UDP 172.16.247.254:138 *:* 4
UDP 172.16.247.254:1900 *:* 1140

> Hvis der ikke er, så er det enten din router der har porten åben, eller
> Symantecs scanner er defekt.

Jeg er koblet op via vores boligforenings netværk
før kabelnettet.dk nu Telelet.dk

> Hvis der er en linie med :22, så er det fordi der er et program der
> lytter på port 22.

Det er der ikke.

> Så skriver du "netstat -ano" og ser hvilket PID, linien står med.
>
> Derefter går du i joblisten - højreklik på taskbaren, vælg jobliste, gå
> ind under Processer, Vis, Vælg Kolonner... og tilføj PID.
>
> Så ved du hvilket program der lytter på port 22.
>
> Meget simpelt, ikke?

......... ........ nej du ....
Men tak for hjælpen

Mvh Kim

---

"Kim" <No@SpaM.dk> skrev i en meddelelse
news:2rdemiF18rbubU1@uni-berlin.de...
> "Christian Andersen" <5oyh8a102@sneakemail.com> skrev i en meddelelse
> news:cirsjn$ara$1@charybdis.vof.dk...

> TCP 172.16.247.254:139 0.0.0.0:0 LISTENING 4

Dette er en ip-adresse der kun benyttes på interne net, dvs. den er ikke
synlig fra internet-siden. Derfor er det heller ikke den adresse der
scannes, når du bruger online-scannere.

Prøv at checke den ip-adresse du præsentere dig med overfor internettet på
flg. side:
http://www.myip.dk
det er den adresse du scanner, sandsynligvis er det en router hos din
udbyder.

/Brian

---

"Brian R. Jensen" <brjensen@mail.tele.dk> skrev
> Prøv at checke den ip-adresse du præsentere dig med overfor internettet på
> flg. side:
> http://www.myip.dk

Den giver følgende ip-adresse: Your IP: 217.74.220.74

> det er den adresse du scanner, sandsynligvis er det en router hos din
> udbyder.

Øh, ikke forstået.
Der står:
Skriv din interne addresse f.eks:
http://computernavn/fil.html --> http://217.74.220.74/fil.html

Hvad er min interne adresse ?

Skriver jeg : http://217.74.220.74/index.html
Melder den: TELELET A/S - WRR statistics

Hvad er WRR statistics ?

Mvh Kim

---

Kim wrote:
> Den giver følgende ip-adresse: Your IP: 217.74.220.74
>
>>det er den adresse du scanner, sandsynligvis er det en router hos din
>>udbyder.
>
> Øh, ikke forstået.

Det er den IP adresse som du har, når du bevæger dig rundt på Internettet.

> Der står:
> Skriv din interne addresse f.eks:
> http://computernavn/fil.html --> http://217.74.220.74/fil.html
>
> Hvad er min interne adresse ?

Overstående går ud fra at din computer har den IP adresse som den har
fundet - det har den ikke. Din computers egen IP adresse er den du
allerede har fundet med netstat, nemlig 172.16.247.254.

> Skriver jeg : http://217.74.220.74/index.html
> Melder den: TELELET A/S - WRR statistics
>
> Hvad er WRR statistics ?

Jeg kan ikke få fat i siden, men noget din Internet udbyder har. :)

--
Anders Lund - anders@andersonline.dk
Take back the web - www.mozilla.org/firefox

---

On Wed, 22 Sep 2004 21:45:38 +0200, Anders Lund
<anders@andersonline.dk> wrote:

>> Øh, ikke forstået.
>Det er den IP adresse som du har, når du bevæger dig rundt på Internettet.

Pointen er, at Kim sidder bag et nat'et net, så pakker på Internet
bærer intet præg af hans RFC1918-lokalnet-IP-adresse: 172.16.247.254.
Svarpakker til disse ville heller ikke kunne komme tilbage.

Så resten af Internet kan kun se Kims boligforenings router på
ydersiden. Derfor kan Kim heller ikke teste sin egen computer, idet
nyoprettede forbindelser udefra blot vil ramme routeren, og ikke gå
videre til lige præcis Kims maskine.

--
- Peter Brodersen

Ugens sprogtip: af sted (og ikke afsted)

---

"Peter Brodersen" <usenet@ter.dk> skrev
> Pointen er, at Kim sidder bag et nat'et net, så pakker på Internet
> bærer intet præg af hans RFC1918-lokalnet-IP-adresse: 172.16.247.254.
> Svarpakker til disse ville heller ikke kunne komme tilbage.

Ja vi skulle sidder bag en NAT, ...
hvad giver det af begrænsninger ?

Kan vi så få en fast IP adresse ?

> Så resten af Internet kan kun se Kims boligforenings router på
> ydersiden. Derfor kan Kim heller ikke teste sin egen computer, idet
> nyoprettede forbindelser udefra blot vil ramme routeren, og ikke gå
> videre til lige præcis Kims maskine.

Lyder rigtigt ( ud fra min ringe viden )

Mvh Kim

---

On Wed, 22 Sep 2004 22:46:53 +0200, "Kim" <No@SpaM.dk> wrote:

>> Pointen er, at Kim sidder bag et nat'et net, så pakker på Internet
>> bærer intet præg af hans RFC1918-lokalnet-IP-adresse: 172.16.247.254.
>> Svarpakker til disse ville heller ikke kunne komme tilbage.
>
>Ja vi skulle sidder bag en NAT, ...
>hvad giver det af begrænsninger ?

Det vil som udgangspunkt betyde, at folk ikke kan oprette en
forbindelse eller sende initialpakker til lige præcis din maskine.

Alt efter omstændighederne kan det være godt eller skidt. Hvis du vil
køre en webserver, ftp-server eller lignende på din egen maskine, kan
folk udefra ikke forbinde til den, idet de blot rammer routeren
udefra, der ikke ved noget om hvor, den skal smide forbindelsen videre
hen.

Undtagelsen er, hvis routeren er sat op til fx specifikt at smide en
bestemt port videre til din maskine. Det plejer dog ikke at være
tilfældet, hvis man blot er én blandt mange brugere i et bolignetværk.

Det betyder også, at man ikke er direkte sårbar overfor fx inficerede
maskiner på nettet, der forsøger at kontakte tilfældige andre maskiner
og at udnytte huller i diverse services. Det bør dog ikke være
grundlag for ikke at have en opdateret maskine, idet man selvfølgelig
stadigvæk kan blive ramt af en inficeret maskine, der er på
lokalnettet. Det klassiske eksempel er nogen, der tilslutter en bærbar
på lokalnettet, der i forvejen har været i et andet net, hvor den er
blevet inficeret.

En anden "undtagelse" er, at selvom man rigtigt nok ikke kan modtage
forbindelser selv, har en del applikationer diverse workarounds, fx
Skype, Kazaa, MSN, ICQ, m.fl.. Her opretter programmet selv
forbindelse til en central server, der så fortæller at nogen gerne vil
kontakte én, hvorefter programmet selv opretter en forbindelse udadtil
til den ønskede afsender. Alternativt kan den centrale server i højere
eller mindre grad fungere som mellemstation, hvis fx begge parter
sidder bag et firewalled eller NAT'et net. Så Skype og lignende vil
stadigvæk virke for én.

>Kan vi så få en fast IP adresse ?

Det afhænger nok af jeres udbyder og administrator af forbindelsen.
Man ku' sagtens forestille sig, at man ganske enkelt ikke vil bøvle
med enkeltbrugeres ønsker til dette i jeres setup.

--
- Peter Brodersen

Ugens sprogtip: af sted (og ikke afsted)

---

On Wed, 22 Sep 2004 21:56:38 +0200, "Kim" <No@SpaM.dk> wrote:

> Skriver jeg : http://217.74.220.74/index.html
> Melder den: TELELET A/S - WRR statistics
>
> Hvad er WRR statistics ?

Har du set Råd & Dåds reklamer? Så burde du have et ret klart
billede af det.

-A

---

Kim wrote:

>> Sidder du bag en router? Muligvis er det den der har port 22 åben.

> Aner det ikke...
> Jeg er koblet op via vores boligforenings netværk
> før kabelnettet.dk nu Telelet.dk
> Hedder det så en router ?

Nej, det *hedder* det ikke, men du sidder bag en router, ja.

Desuden har vi jo fået vist at "problemet" ikke findes ved dig, så du kan
såmænd læne dig tilbage og spise noget chokolade.

>> Meget simpelt, ikke?

> ........ ........ nej du ....
> Men tak for hjælpen

Det var så lidt.

En anden ting. Prøv at følge nedenstående vejledning. Alt andet lige, vil
du være mere sikker bagefter og du behøver ikke at køre en personlig
firewall mere.

http://home18.inet.tele.dk/madsen/winxp/Tjenester.pdf

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

---

"Christian Andersen" <5oyh8a102@sneakemail.com> skrev
> En anden ting. Prøv at følge nedenstående vejledning. Alt andet lige, vil
> du være mere sikker bagefter og du behøver ikke at køre en personlig
> firewall mere.
>
> http://home18.inet.tele.dk/madsen/winxp/Tjenester.pdf

Tak for linket.
Nu ser netstat -an sådan ud:

Microsoft Windows XP [version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\Kim>netstat -an

Aktive forbindelser

Proto Lokal adresse Fjernadresse Status
TCP 127.0.0.1:1025 0.0.0.0:0 LISTENING
UDP 127.0.0.1:123 *:*
UDP 172.16.247.254:123 *:*

Kan jeg lukke de sidste her ?

Mvh Kim

---

Kim wrote:

>> http://home18.inet.tele.dk/madsen/winxp/Tjenester.pdf

> Tak for linket.
> Nu ser netstat -an sådan ud:

Cool!

> Proto Lokal adresse Fjernadresse Status
> TCP 127.0.0.1:1025 0.0.0.0:0 LISTENING
> UDP 127.0.0.1:123 *:*
> UDP 172.16.247.254:123 *:*
>
> Kan jeg lukke de sidste her ?

Well, tallet 127.0.0.1 betyder at computeren, populært sagt, kun lytter
til sig selv. De to porte kan altså ikke nås fra netværket (hverken det
interne, kollegienettet, eller Internettet).

Med hensyn til den nederste linie. Port 123 bruges af Windows Time, og
vejledningen fortæller at man skal lukke for den, så det går jeg ud fra
at du har gjort.

Muligvis kan du dobbeltklikke på uret nede i nederste højre hjørne, gå i
"Internettid" og slå fluebenet fra (hvis det er slået til).

Meeeeen, jeg finder lige præcis den funktion yderst nyttig så jeg har
valgt at have den slået til. Så lever jeg med den lille ekstra risiko.

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

---

"Christian Andersen" <5oyh8a102@sneakemail.com> skrev
> Med hensyn til den nederste linie. Port 123 bruges af Windows Time, og
> vejledningen fortæller at man skal lukke for den, så det går jeg ud fra
> at du har gjort.
> Muligvis kan du dobbeltklikke på uret nede i nederste højre hjørne, gå i
> "Internettid" og slå fluebenet fra (hvis det er slået til).

Det havde jeg gjort.
Kan Port 123 bruges af andet end Windows Time ?
Eller skal man slå den fra i Tjenester ?

Mvh Kim

---

"Kim" <No@SpaM.dk> skrev
> Eller skal man slå den fra i Tjenester ?

Ups den hed Windows Time i Tjenester.

Nu ser netstat -an sådan ud:

Microsoft Windows XP [version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\Kim>netstat -an

Aktive forbindelser

Proto Lokal adresse Fjernadresse Status
TCP 127.0.0.1:1030 0.0.0.0:0 LISTENING

Så kan den vel ikke blive bedre ?

Mvh Kim

---

Kim wrote:

> Proto Lokal adresse Fjernadresse Status
> TCP 127.0.0.1:1030 0.0.0.0:0 LISTENING
>
> Så kan den vel ikke blive bedre ?

Jo, den kunne blive helt tom, men det er unødvendigt.

Tillykke og alt muligt!

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

---

"Kim" <No@SpaM.dk> hit the keyboard.
Afterwards the following was on the screen:

> Hvad er WRR statistics ?

Det *kunne* være Weighted Round Robin, en QoS-udvidelse til Linux, som
deler båndbredden ligeligt mellem brugere.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
It may be the only innovation in Windows (CTRL-ALT-DELETE was
not invented by MS).
- Hans Reiser
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

"Kim" <No@SpaM.dk> wrote in news:2rd9g8F19djkeU1@uni-berlin.de:

> Hvordan lukker man port 22 ?

- Ved ikke at køre et program der lytter på den port.
- Ved at køre et lokalt filter/firewall program der
blokerer for den port
- Ved at blokere for port 22 i den nærmeste router /
firewall.

Du kan sagtens gøre alle tre dele, men det mest effektive er naturligvis at
lade være med at køre en SSH dæmon hvis man ikke har brug for SSH. At gå
sit system igenne og stoppe alle services man ikke bruger er det første man
bør gøre hvis man bekymrer sig om sikkerhed.

/Lars