Про сканирование портов

[FONT=Times New Roman][SIZE=3]Здравствуйте, уважаемые специалисты. [/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Вот уже год пользуюсь интернетом, никаких проблем не наблюдалось. Но вот в один прекрасный день пришло мне в голову запустить программу сканирования портов APS, и оказалось, что мой компьютер постоянно подвергается атакам хакеров. В частности, следующие порты:[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]1026/UDP[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]1434/UDP[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]22/TCP[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]23/TCP[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]110/TCP[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]1080/TCP[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]1114/TCP[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]1433/TCP[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Вопрос следующий: есть ли необходимость срочно качать все эти безусловно полезные программы и утилиты, которые нужны для проверки компьютера согласно правил вашего раздела о помощи, и делать полную проверку? [/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Простите за дилетантский вопрос, но какую именно РЕАЛЬНУЮ угрозу несут эти «атаки хакеров»? А то все эти «пугалки» про удаленное управление и т.д. в разных статьях не очень убеждают, с учетом того, что ничего страшного за год не произошло.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Нужно ли сносить мой любимый антивирус и покупать что-то супер-пупер-защищающее, или просто расслабиться и не запускать больше программу APS?:)[/SIZE][/FONT]

APS - Не программа сканирования портов; программа прослушивает несколько сотен портов для анализа входщих соединений по этим портам. [url]http://www.z-oleg.com/secur/aps/[/url] Таким образом можно тестировать правильную работу файрвола.

Как вы обнаружили, что вас действительно атакует? Это APS вам сообщает? У вас файрвол стоит какой-нибудь? Даже встроенный брандмауэер Windows должен защищать вас от атак извне.

Сам я вам советовал бы убрать APS. Зачем вам открытый порт 110 (почта), например, когда у вас компьютер-клиент, а не почтовый сервер?

Покажите лучше отчёт [url=http://download.sysinternals.com/Files/TcpView.zip]TCPView[/url]. Запустите tcpview.exe. Согласитесь, нажав ОК. Копируйте то, что он показывает сюда или сделайте скриншот. Личные адреса маскируйте как-нибудь. Меня интересует то, что у вас на 'LISTENING' стоит.

Paul

Извиняюсь, что влезаю, но отделную тему создавать было бы флудом... p2u, мои скрин-ы посмотрите? У меня KIS 8.0.0.454. Netbios вообще отключенa в протоколах и сам протокол в свойствах сетевых подключений удалён. Откуда LISTENING?

[URL=http://img173.imagevenue.com/img.php?image=12963_1_123_735lo.jpg][IMG]http://img173.imagevenue.com/loc735/th_12963_1_123_735lo.jpg[/IMG][/URL][URL=http://img169.imagevenue.com/img.php?image=13287_2_123_799lo.jpg][IMG]http://img169.imagevenue.com/loc799/th_13287_2_123_799lo.jpg[/IMG][/URL]

[QUOTE=Dr.;265732]Извиняюсь, что влезаю, но отделную тему создавать было бы флудом... p2u, мои скрин-ы посмотрите? У меня KIS 8.0.0.454. Netbios вообще отключенa в протоколах и сам протокол в свойствах сетевых подключений удалён. Откуда LISTENING?[/QUOTE]
Видимо у вас netbios всё-таки не отключён на всех интерфейсах. В зависимости от тип сети вам он, возможно, нужен (допустим для вашего сетевого адаптера/модема).
[url=http://virusinfo.info/showthread.php?t=4243]Как отключить NetBIOS? [/url]
Попробуйте ещё [url=http://www.firewallleaktester.com/wwdc.htm]Windows Worms Doors Cleaner[/url]
Прямая ссылка для загрузки: [url=http://www.firewallleaktester.com/tools/wwdc.exe]WWDC.EXE[/url]
Все параметры должны быть зелёными. Если нет, то тогда нажать Disable на нужный параметр (запомните его!) и перезагрузить компьютер. Потом заново проверьте состояние портов. Если против этих мер сеть не работает, то тогда вернуть всё до прежднего состояния.

Есть ещё кое-что от Майкрософта. Можно либо проходить по данному [url=http://forum.kaspersky.com/index.php?showtopic=30184]списку[/url] служб на отключение, либо связаться со мной в личку.
Другие параметры LISTENING это от самого Касперского (avp.exe) (это так положено).

Paul

У меня ADSL роутер. Наверно netbios для него необходима.
Windows Worms Doors Cleaner использую давно, но добиться всех зелёных не удаётся. После перезагрузки,-снова жёлтая кнопка.
[URL=http://img146.imagevenue.com/img.php?image=65814_111_123_849lo.jpg][IMG]http://img146.imagevenue.com/loc849/th_65814_111_123_849lo.jpg[/IMG][/URL]
Все службы из списка отключены. Только автообновление вручную.

[QUOTE=Dr.;265829]У меня ADSL роутер. Наверно netbios для него необходима.[/QUOTE]

Обычно нет. А он у вас в режиме "моста" работает? (Подключается он сам к интернету при включении или вы устанавливаете соединения из windows)

[QUOTE=Dr.;265829]У меня ADSL роутер. Наверно netbios для него необходима.
Все службы из списка отключены. Только автообновление вручную.[/QUOTE]
Можете не волноваться.

Paul

[quote=zerocorporated;265837]Обычно нет. А он у вас в режиме "моста" работает? (Подключается он сам к интернету при включении или вы устанавливаете соединения из windows)[/quote]

Да, автоматом подключается. p2u, спасибо. Я по моему понял в чём причина. Все "дверки" закрыты(зелёные) до тех пор, пока я не правлю неполадки реестра Ccleaner'ом. После чистки, одна желтеет.

[QUOTE=Dr.;265856] После чистки, одна желтеет.[/QUOTE]
Возможно она не может найти какую-нибудь запись в реестре. Ничего страшного. :)

Paul

p2u, спасибо за ответ. Да, об атаках я узнаю именно от APS. А почему бы и нет, если «Основным назначением данной программы является обнаружение хакерских атак» (цитата с приведенной Вами ссылки).
У меня сначала был включен брандмауэр Windows и стоял NOD32. Пару дней назад с перепугу поставил KIS 8.0.0.357 (trial), брандмауэр он отключил. Ситуация не изменилась (APS и дальше периодически кричал «внимание, хакер», в основном порты 1026/UDP, 1080/TCP), однако и KIS иногда сообщал о поползновениях на порт 1434/UDP (при отключенном APS). Только что поотключал NETBIOS, после перезагрузки TCPview показывает LISTENING только такие порты TCP:
1032 (alg.exe),
1110 и 19780 (avp.exe).
Вобщем, я так понимаю, проблем никаких нет? Просто «хакеры» (или что это было) слетаются на порты, нарочно открытые APS, как мухи на мед ?

[QUOTE=petrov;265905]
1032 (alg.exe),
1110 и 19780 (avp.exe). [/QUOTE]
alg.exe - Application Layer Gateway Service (Служба шлюза уровня приложения).
Если у вас XP SP2 или выше, и у вас нет FTP сервера, то тогда рекомендую отключить эту службу. Выходить из Интернета. В Панель Управления - Администрирование - Службы. Найтй её, щёлкать дважды на её название, и поставить её Тип Запуска на 'Отключено' (Применить - ОК). Перезагрузить комп. Порт 1032 будет закрыт.
[QUOTE=petrov;265905] Вобщем, я так понимаю, проблем никаких нет? Просто «хакеры» (или что это было) слетаются на порты, нарочно открытые APS, как мухи на мед ?[/quote]
Да, то, что APS делает на самом деле - он делает из вашего компа HoneyPot (банка с мёдом). Поэтому и получается 'как мухи на мёд'. Но проблема ещё в том, что вы, скорее всего, APS в 'Доверенные' КИСа поместили, что не соответствует инструкциям автора... :)

Paul

Вы меня окончательно успокоили, спасибо большое.

[QUOTE=petrov;265919]Вы меня окончательно успокоили, спасибо большое.[/QUOTE]
Не за что. Желаю чистого Интернета и спокойного общения... :)

Paul

Господа ! Очень хочу разобраться в сетевой безопасности , у меня домашний компьютер , пользуюсь Kaspersky Internet Security 7.0.1.325 в списке очень много открытых портов приложения SVCHOST.EXE понятно ,что это работа системы , но интересно знать какой номер порта какой службе или какому приложению соответствует ?

[QUOTE=Оптим;266492]интересно знать какой номер порта какой службе или какому приложению соответствует ?[/QUOTE]В Windows 65535 портов. С какого начнем? 8)
[url]http://www.iana.org/assignments/port-numbers[/url]
[url]http://www.spirit.com/Resources/ports.html[/url]
Так же можно почитать
[url]http://www.pcflank.com/index.htm[/url]
[url]http://www.grc.com/intro.htm[/url]

Я слабоват в английском нет ни чего русскоязычного?

[QUOTE=Оптим;266532]Господа ! Очень хочу разобраться в сетевой безопасности , у меня домашний компьютер , пользуюсь Kaspersky Internet Security 7.0.1.325 в списке очень много открытых портов приложения SVCHOST.EXE Вложение 66883 понятно ,что это работа системы , но интересно знать какой номер порта какой службе или какому приложению соответствует?

Я слабоват в английском нет ни чего русскоязычного?[/QUOTE]
У вас какая система? Не Виста случайно?
Тип соединения какой? Куда скриншоты исчезли?
По-русски нашёл следующую инфу:
[url=http://wiki.compowiki.info/PortyTCP]Порт TCP - Объяснение[/url]
[url=http://www.winsov.ru/safe061.php]Список портов и их сервисов[/url]

Paul

Да Виста.Соединение через ADSL модем. Я тут почитал немного и воспользовался рекомендациями :отключил большинство служб из списка ,также воспользовался прогой wwdc вот , что было [ATTACH]67042[/ATTACH] [ATTACH]67043[/ATTACH] -здесь конечно я уже отключал было почти все красное.
Вот , что сейчас :[ATTACH]67044[/ATTACH][ATTACH]67045[/ATTACH]
Можете что-нибудь порекомендовать ?

Еще вопрос: можно ли удалить из свойств подключений выделенные вещи (как указано в списке служб на отключение):[ATTACH]67052[/ATTACH]

Планировщиков пакетов Qos можно удалить,а вот Kaspersky NDIS фильтр лучше оставить,иначе трафик некому будет обнюхивать :)

[quote=Гриша;266732]Планировщиков пакетов Qos можно удалить,а вот Kaspersky NDIS фильтр лучше оставить,иначе трафик некому будет обнюхивать :)[/quote]
Хорошо так и сделаю.

Вот еще скрин :здесь уже другие порты [ATTACH]67086[/ATTACH].
Можно ли еще закрыть , например 1060 или 1064 ?

А какой смысл в такой мороке и закрытии портов вручную, если любой мало-мальски порядочный фаер прикрывает все порты в режиме невидимости, и никакой скан не страшен? Или я ошибаюсь?

[quote=Ivaemon;267167]А какой смысл в такой мороке и закрытии портов вручную, если любой мало-мальски порядочный фаер прикрывает все порты в режиме невидимости, и никакой скан не страшен? Или я ошибаюсь?[/quote]

Во-первых какой смысл их прятать , если они не нужны , во-вторых любой открытый порт - это потенциальная уязвимость. Спрятать то их можно(хотя не знаю как) , а как быть с передачей информации через них - это и есть морока постоянно отслеживать трафик и установленные соединения которые создает система или создавать какие-то правила для них в файрволе , а если антивирус что-то просмотрел?.... и потекли твои данные по проводам или наоборот.Закрыл порты и голова болит намного меньше .

[QUOTE=Ivaemon;267167]А какой смысл в такой мороке и закрытии портов вручную, если любой мало-мальски порядочный фаер прикрывает все порты в режиме невидимости, и никакой скан не страшен? Или я ошибаюсь?[/QUOTE]
Закрыть порт = отключить программу или сервис, которая этот порт открывает. Все другие способы - псевдо-решения. Система сильнее, чем программа защита, которая на ней стоит. Поэтому надо заботиться об обновлениях Windows и всех установленных программ.
'Невидимость' в Интернете не существует. Сам скан не страшен НИКОГДА - вопрос только в том, что будет ПОСЛЕ скана если у вас за файрволом не всё в порядке... :)

Paul

Наверно не дождусь когда мне кто-нибудь ответит по поводу скринов .:(

[quote]Можно ли еще закрыть , например 1060 или 1064?[/quote]
[QUOTE=Оптим;267731]Наверно не дождусь когда мне кто-нибудь ответит по поводу скринов .:([/QUOTE]
Оптим, у вас это не открытые порты, а идентификаторы процессов. 1060, например, = svchost.
Соединений нет никуда. Конечно можно и это убрать, но смысл какой?

Paul

[quote=p2u;267737]Оптим, у вас это не открытые порты, а идентификаторы процессов. 1060, например, = svchost.
Соединений нет никуда. Конечно можно и это убрать, но смысл какой?

Paul[/quote]
Посмотрите еще вот это [ATTACH]67654[/ATTACH], если все впорядке , то я окончательно успокоюсь.

[QUOTE=Оптим;267848]Посмотрите еще вот это [ATTACH]67654[/ATTACH], если все впорядке , то я окончательно успокоюсь.[/QUOTE]
Думаю, что можно успокоиться. Вы же на Висте. Боюсь, что если ещё кое-что отрубить, то тогда у вас сеть перестанет работать. :)
P.S.: Хотя мне лично не нравится, конечно: порты 135, 500, и 4500... Это у вас IPSec что-ли работает?

Paul

[quote=p2u;267868]Думаю, что можно успокоиться. Вы же на Висте. Боюсь, что если ещё кое-что отрубить, то тогда у вас сеть перестанет работать. :)
P.S.: Хотя мне лично не нравится, конечно: порты 135, 500, и 4500... Это у вас IPSec что-ли работает?

Paul[/quote]

Да скорее всего IPSec вот что с этим связано :[ATTACH]67678[/ATTACH] , [ATTACH]67679[/ATTACH] , [ATTACH]67681[/ATTACH] был не уверен поэтому не отключил.Планировщик заданий вообще не отключается:[ATTACH]67680[/ATTACH] и в свойствах все кнопки затенены.Посоветуйте что-нибудь по этим службам.

Возможно, не к месту, но такая просьба о помощи знатокам. Используя рекомендации [B]Ник.Головко[/B] из его книги и [B]p2u[/B] ([url]http://forum.kaspersky.com/index.php?showtopic=30184[/url]), в целях безопасности отключил часть служб. Всё замечательно, но вот некоторые программы теперь не могут установиться, алертуют, что невозможно установить службу или драйвер.:unknw::unknw::unknw:
Может ли это быть результатом отключения некоторых служб или NetBios, и если да, то каких?:help:
Пытался экспериментировать, но некоторые службы, напр, службы IPSEC, отказываются запускаться даже при условии работы тех, от кого они зависят...:hang3:

[quote=p2u;267314]Сам скан не страшен НИКОГДА - вопрос только в том, что будет ПОСЛЕ скана если у вас за файрволом не всё в порядке... :)
Paul[/quote]
Следует ли Вас, Паул, понимать так,что скан (т.е. получение инфы о системе и ее уязвимостях) не надо бояться. Страшно то. что хакер может [b]правильно[/b](умело) использовать полученную информацию?

[QUOTE=Ivaemon;269864]Возможно, не к месту, но такая просьба о помощи знатокам. Используя рекомендации [B]Ник.Головко[/B] из его книги и [B]p2u[/B] ([url]http://forum.kaspersky.com/index.php?showtopic=30184[/url]), в целях безопасности отключил часть служб. Всё замечательно, но вот некоторые программы теперь не могут установиться, алертуют, что невозможно установить службу или драйвер.:unknw::unknw::unknw:
Может ли это быть результатом отключения некоторых служб или NetBios, и если да, то каких?:help:
Пытался экспериментировать, но некоторые службы, напр, службы IPSEC, отказываются запускаться даже при условии работы тех, от кого они зависят...:hang3:[/QUOTE]
Более конкретно, пожалуйста
- что такое 'некоторые программы'?
- что вы именно отключили уже?
- IPSec в каких целях хотели использовать? Служба открывает по крайне мере 2 порта и сама она достаточно такая уязвимая.
- если вы хотите, например, McAfee или Norton антивирус установить, и служба Планировщик Задач не работает, то тогда установить эти программы не получится.

[QUOTE=barsukRed;269878]Следует ли Вас, Паул, понимать так,что скан (т.е. получение инфы о системе и ее уязвимостях) не надо бояться. Страшно то. что хакер может [b]правильно[/b](умело) использовать полученную информацию?[/QUOTE]
Именно так.

Paul

[B]p2u[/B], отключено вот чего:
[URL=http://radikal.ru/F/s52.radikal.ru/i138/0808/9e/9a827146559c.png.html][IMG]http://s52.radikal.ru/i138/0808/9e/9a827146559ct.jpg[/IMG][/URL]
(ну, и куча других служб "вручную")
Стоит у меня Нортон Антибот. Запущена служба SymantecAntiBotAgent. Ставил до наведения порядка. Вздумалось тут мне подурачиться: снёс его, хотел поставить версию поновее - ан нет, пишет "не могу установить службу слежения". Снёс, решил, пользуясь случаем, попробовать PrevX2 - давно руки чесались посмотреть на его эвристику:> - та же картина - пишет: "не могу установить драйвер". Ну, думаю, защита мощная, всё замечательно! но хотелось бы иногда всё-таки что-то и потестить из серьзных систем безопасности. Ну, вот и стал экспериментировать с разными службами, не поможет ли их включение делу...
Кстати, планировщик отключил (вначале полностью) сразу после установки системы, и его отсутствие не помешало установлению программ и того же Нортона Антибота. Сейчас поставил на "вручную".

[QUOTE=Ivaemon;270105][B] Ну, вот и стал экспериментировать с разными службами, не поможет ли их включение делу...[/QUOTE]
Службы Windows с вашей проблемой не связаны. Не исключено, что вы Симантек (первый) не полностью удалили. У меня впечатление, что, возможно, драйвер какой-то ещё работает против установки новых программ защиты. Проверьте - правой мышки мой Комп - Свойства - Оборудование - Диспетчер Устройств. Включите 'Вид' - Показывать Скрытые устройства. В разделе 'Драйвера не Plug and Play' поищите... Там есть странные какие-то драйвера ещё?
P.S.: Столько программ как я, вы скорее всего не тестируете - у меня таких проблем как у вас нет, хотя службы по списке все либо отключены, либо удалены. ;)

Paul

[quote=p2u;269994]
Именно так.

Paul[/quote]
Я,конечно может и заблуждаюсь, но утечка информации-это тоже плохо. Ну,например, при определенном везении, можно-же разнюхать и установленные программы защиты (по каким-нибудь косвенным признакам) . Ну а дальше и остановленный сервис запустить и фаер перевести в демократичный режим. Да мало ли что враги могут сделать... Ведь возможность такая не исключена?

[QUOTE=barsukRed;270120]Я,конечно может и заблуждаюсь, но утечка информации-это тоже плохо. Ну,например, при определенном везении, можно-же разнюхать и установленные программы защиты (по каким-нибудь косвенным признакам) . Ну а дальше и остановленный сервис запустить и фаер перевести в демократичный режим. Да мало ли что враги могут сделать... Ведь возможность такая не исключена?[/QUOTE]
Если программист задал, что программа должна выйти в сеть, то тогда никакой файрвол её не остановит (пример Flash Player). Поэтому надо следить за тем, чтобы не попала у вас на комп всякая гадость - только программы, которым вы доверяете. :)

Paul

[QUOTE=p2u;269994]если вы хотите ... установить, и служба Планировщик Задач не работает, то тогда установить эти программы не получится[/QUOTE]Действительно, не понятно, для чего в Висте нужен недоступный для остановки Планировщик и постоянно открытый 135-й порт?[QUOTE=Ivaemon]Всё замечательно, но вот некоторые программы теперь не могут установиться, алертуют, что невозможно установить службу или драйвер.[/QUOTE]У меня получилось так - "Служба лицензирования..." должна быть запущена (авто), а "Службу уведомлений о лицензировании..." можно остановить (отключено). Это еще одна непонятная мне связка.[QUOTE=barsukRed]скан (т.е. получение инфы о системе и ее уязвимостях) не надо бояться[/QUOTE]А как, собственно, от самого скана вообще уберечься? Ведь бойся, не бойся - не поможет. От скана один прием - в сеть не выходить, имхо. Да, результаты скана можно исказить, сделать более скудными.

[QUOTE=p2u;270123]Если программист задал, что программа должна выйти в сеть, то тогда никакой файрвол её не остановит (пример Flash Player). Поэтому надо следить за тем, чтобы не попала у вас на комп всякая гадость - только программы, которым вы доверяете. :)[/QUOTE]
@ [b]barsukRed[/b]
Помните, что именно через Flash Player смогли хакнуть Висту, хотя он НЕ стоит на LISTENING, и видимых портов для себя не открывает?
[url]http://www.neowin.net/news/main/08/03/30/vista-hacked-on-3rd-day-thru-adobe-flash-linux-undefeated[/url]

Paul

[QUOTE=p2u;270118]Службы Windows с вашей проблемой не связаны. Не исключено, что вы Симантек (первый) не полностью удалили. У меня впечатление, что, возможно, драйвер какой-то ещё работает против установки новых программ защиты. Проверьте - правой мышки мой Комп - Свойства - Оборудование - Диспетчер Устройств. Включите 'Вид' - Показывать Скрытые устройства. В разделе 'Драйвера не Plug and Play' поищите... Там есть странные какие-то драйвера ещё?
P.S.: Столько программ как я, вы скорее всего не тестируете - у меня таких проблем как у вас нет, хотя службы по списке все либо отключены, либо удалены. ;)

Paul[/QUOTE]
Paul, обрадовали и одновременно огорчили. Потому что на что же ещё мне теперь грешить?:)
Систему вернул к состоянию до удаления Нортона.
Вот список драйверов:
[URL=http://radikal.ru/F/s47.radikal.ru/i118/0808/3a/9d77db1c9064.png.html][IMG]http://s47.radikal.ru/i118/0808/3a/9d77db1c9064t.jpg[/IMG][/URL]
Посмотрел каждый. Подозрительный разве что mchInjDrv, остальные либо типа безвредные, либо принадлежат давно использовавшимся проверенным прогам, никаких сюрпризов от них не было.
Думаете, стоит удалить mchInjDrv?
Интересно, что файла mchInjDrv.sys в системе не найдено...