Forum » Omrežja in internet » Zakaj toliko 139 in 445?
Zakaj toliko 139 in 445?
Microsoft ::
Zadnje dni se malo igram z gledanjem, kaj vse se dogaja na tem internetu. In sem dokaj hitro opazil, da sta pri "port scanih" dalec v ospredju porta 445 in 139 (oba TCP). Za prvi port je bilo v slabih treh dneh poslanih ~2000 zahtevkov, na 139 "le" ~900. Zdej me pa zanimajo tu nekatere stvari.
Namrec, katera nastavitev, verjetno v Windowsih, je tista, ki generira take zahteve in jih posilja po internetu? Ker bi me prav zanimalo, da bi mogoce lahko tole nekako odpravil oz. da bi vedel, kako je treba nastavit povezavo, da tega ne posilja povsod naokrog. Vsebina je zbrana tule.
Druga stvar, ki sem jo opazil, je prevladujoce stevilo teh zathevkov iz "mojega" omrezja. Moj IP je v omrezju 193.77.x.x, od koder prihaja ogromna vecina teh zathevkov. Zakaj? Zahtevke sem zbral tule.
by Miha
Namrec, katera nastavitev, verjetno v Windowsih, je tista, ki generira take zahteve in jih posilja po internetu? Ker bi me prav zanimalo, da bi mogoce lahko tole nekako odpravil oz. da bi vedel, kako je treba nastavit povezavo, da tega ne posilja povsod naokrog. Vsebina je zbrana tule.
Druga stvar, ki sem jo opazil, je prevladujoce stevilo teh zathevkov iz "mojega" omrezja. Moj IP je v omrezju 193.77.x.x, od koder prihaja ogromna vecina teh zathevkov. Zakaj? Zahtevke sem zbral tule.
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
- spremenil: Microsoft ()
jype ::
To (tcp/139, tcp/445) je NetBIOS over IP. To (oglasevanje) privzeto pocnejo Windows masine in ostale narobe konfigurirane CIFS masine.
Naceloma ni nic narobe, ce se gres NetBIOS kar skozi internet, je pa malce rizicno. V Windows to najbolj zanesljivo izkljucis tako, da med Windows masino in internet postavis ustrezen pozarni zid. Lahko tudi izkljucis winbind (tako se imenuje na linuxu, nimam pojma kaksen je service name na Windows, je pa zagotovo nekaj v zvezi z wins oz. netbios).
Ker je locevanje krajevnih omrezij od interneta smiselno se iz drugih razlogov, priporocam to moznost.
Naceloma ni nic narobe, ce se gres NetBIOS kar skozi internet, je pa malce rizicno. V Windows to najbolj zanesljivo izkljucis tako, da med Windows masino in internet postavis ustrezen pozarni zid. Lahko tudi izkljucis winbind (tako se imenuje na linuxu, nimam pojma kaksen je service name na Windows, je pa zagotovo nekaj v zvezi z wins oz. netbios).
Ker je locevanje krajevnih omrezij od interneta smiselno se iz drugih razlogov, priporocam to moznost.
Microsoft ::
Servis se imenuje TCP/IP NetBIOS Helper, opis: Enables support for NetBIOS over TCP/IP (NetBT) service and NetBIOS name resolution.
Sicer pa sem zasledil se eno stvar: Control Panel > Network Connetions > desno kilnes na LAN povezavo > Properties > izberes Internet Protocol (TCP/IP) > Properties > Advanced... > tab WINS > oznacis pikico pred Disable NetBIOS over TCP/IP.
Pa kot sem ze v eni drugi temi napisal, v omrezju z Win2k in visje ne rabis NetBT (Net BIOS over TCP/IP), ce hocis dostopat do sheranih folderjev, ker so te masine sposobne komunicirat preko 445 TCP.
by Miha
Sicer pa sem zasledil se eno stvar: Control Panel > Network Connetions > desno kilnes na LAN povezavo > Properties > izberes Internet Protocol (TCP/IP) > Properties > Advanced... > tab WINS > oznacis pikico pred Disable NetBIOS over TCP/IP.
Pa kot sem ze v eni drugi temi napisal, v omrezju z Win2k in visje ne rabis NetBT (Net BIOS over TCP/IP), ce hocis dostopat do sheranih folderjev, ker so te masine sposobne komunicirat preko 445 TCP.
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
Zgodovina sprememb…
- spremenil: Microsoft ()
Daedalus ::
139 in 445.
Oboje predstavlja lepo lukno ™ na win mašinah in se zato zelo išče. Če maš kerga odprtega na Internet, je mašina verjetno že pod nadzorom evil haxorja®.
Kot pravi grc.com:
As you might imagine, malicious hackers have been having a field day scanning for port 445, then easily and remotely commandeering Windows machines. Even several hackers I have spoken with are unnerved by the glaring insecurities created by port 445. One chilling consequence of port 445 has been the relatively silent appearance of NetBIOS worms. These worms slowly but methodically scan the Internet for instances of port 445, use tools like PsExec to transfer themselves into the new victim computer, then redouble their scanning efforts. Through this mechanism, massive, remotely controlled Denial of Service "Bot Armies", containing tens of thousands of NetBIOS worm compromised machines, have been assembled and now inhabit the Internet.
Zahtevke pa pošiljajo ponavadi črvi, ki iščejo topel dom za svoje klone.
Oboje predstavlja lepo lukno ™ na win mašinah in se zato zelo išče. Če maš kerga odprtega na Internet, je mašina verjetno že pod nadzorom evil haxorja®.
Kot pravi grc.com:
As you might imagine, malicious hackers have been having a field day scanning for port 445, then easily and remotely commandeering Windows machines. Even several hackers I have spoken with are unnerved by the glaring insecurities created by port 445. One chilling consequence of port 445 has been the relatively silent appearance of NetBIOS worms. These worms slowly but methodically scan the Internet for instances of port 445, use tools like PsExec to transfer themselves into the new victim computer, then redouble their scanning efforts. Through this mechanism, massive, remotely controlled Denial of Service "Bot Armies", containing tens of thousands of NetBIOS worm compromised machines, have been assembled and now inhabit the Internet.
Zahtevke pa pošiljajo ponavadi črvi, ki iščejo topel dom za svoje klone.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]
he is responsible for everything he does.
[J.P.Sartre]
Zgodovina sprememb…
- spremenilo: Daedalus ()
Microsoft ::
Ko si ze glih pri tem. Kaj tocno je potem narobe, da imas ta port odprt? Recimo, kako lahko ta crv potem pride na tvojo masino, ce nima pravic? Ali so kake luknje, ki to izkoriscajo? Ali so to potem predvsem ne popatchane masine, kjer je mozno delat probleme preko tega porta?
Skratka, kak je sploh postopek vdora na ta nacin.
by Miha
Skratka, kak je sploh postopek vdora na ta nacin.
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
Daedalus ::
Ne poznam preveč podrobno tega, sam verjetno izkoristi kako lukno v zvezi s portom 445 za namestitev, če lavfaš admin račun. Drugače se ne more namestit. Nezaflikane mašine so itak problem (se še kdo spomni blasterja?). Pač odprt port daje eno možnost vdora na računalo več. Kot je reko jype - domače omrežje in Internet je pač najboljše ločit s firewallom, pa je.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]
he is responsible for everything he does.
[J.P.Sartre]
jype ::
Predvsem so Windows blazno dovzetni za dictionary attack, ker vec kot 90% masin nima ustrezno mocnih administratorskih gesel in ker je servis privzeto omogocen, ceprav ni nobenega zdravega razloga za to in ker se spodleteli poskusi prijav nikamor ne zapisujejo in niti na kaksen drug nacin ne opozorijo uporabnika, da se nekaj sumljivega dogaja.
Pa Microsoft, tudi po 445 gre netbios over ip, samo da je to novejsa "verzija" protokola.
Pa Microsoft, tudi po 445 gre netbios over ip, samo da je to novejsa "verzija" protokola.
Bakunin ::
> Kaj tocno je potem narobe, da imas ta port odprt?
port je lahko odprt, dokler ni zadaj kaksna aplikacija/servis.
Kaj ti pomaga admin geslo ipd., ce je npr. implementacija protokola/aplikacije "luknjasta" ?
(buffer overflow, ipd. ...).
lepo bi bilo, ce bi tudi windows imeli nekaj takega kot unixoidi : /etc/hosts.[allow|deny] ter syslog (human readable logs)
port je lahko odprt, dokler ni zadaj kaksna aplikacija/servis.
Kaj ti pomaga admin geslo ipd., ce je npr. implementacija protokola/aplikacije "luknjasta" ?
(buffer overflow, ipd. ...).
lepo bi bilo, ce bi tudi windows imeli nekaj takega kot unixoidi : /etc/hosts.[allow|deny] ter syslog (human readable logs)
Zgodovina sprememb…
- spremenil: Bakunin ()
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | NetBIOS over TCPIPOddelek: Omrežja in internet | 1822 (1572) | Chessman |
» | WIndows networking serjerOddelek: Omrežja in internet | 1148 (1050) | Spc |
» | Kako in kam prijaviti verejtne poskuse vdora v PC?Oddelek: Omrežja in internet | 2376 (1915) | CoolBits |
» | Težave z XP SP2 DNS?Oddelek: Omrežja in internet | 1022 (910) | Ziga Dolhar |
» | Luknja v požarnem zidu SP2 za Windows XPOddelek: Novice / Varnost | 3462 (3462) | Cokolesnik |