Pokaż wyniki 1 do 5 z 5

Temat: svchost/epmap

  1. #1
    Zarejestrowany
    Jan 2007
    Skąd
    przed komputerem ;]
    Postów
    12

    Domyślnie svchost/epmap

    Witam, jestem uzytkownikiem neostrady + sygate personal firewall + avast. Wczoraj po formacie (jak i przed) svchost laczyl sie ze strona ms by pobrac poprawki (domyslnie musze mu zezwolic na polaczenie, inne programy typu skype, ff etc lacza sie same). Po chwili dostalem komunikat od fw, ze zazadano zdalnego polaczenia z komputera w tym samym zakresie ip ('moim' zakresie ip). (svchost, port 135).
    Kod:
    File Version :		5.1.2600.2180
    File Description :	Generic Host Process for Win32 Services (svchost.exe)
    File Path :		C:\WINDOWS\system32\svchost.exe
    Process ID :		0x3B4 (Heximal) 948 (Decimal)
    
    Connection origin :	remote initiated
    Protocol :		TCP
    Local Address : 	83.28.38.132
    Local Port :		135 (EPMAP - Location service - Dynamically assign ports for RPC)
    Remote Name :			
    Remote Address :	83.28.117.165
    Remote Port : 		4757 
    
    Ethernet packet details:
    Ethernet II (Packet Length: 78)
    	Destination: 	00-00-01-00-00-00
    	Source: 	01-00-20-00-01-00
    Type: IP (0x0800)
    Internet Protocol
    	Version: 4
    	Header Length: 20 bytes
    	Flags:
    		.1.. = Don't fragment: Set
    		..0. = More fragments: Not set
    	Fragment offset:0
    	Time to live: 45
    	Protocol: 0x6 (TCP - Transmission Control Protocol)
    	Header checksum: 0xea1 (Correct)
    	Source: 83.28.117.165
    	Destination: 83.28.38.146
    Transmission Control Protocol (TCP)
    	Source port: 4757
    	Destination port: 135
    	Sequence number: 881975536
    	Acknowledgment number: 0
    	Header length: 44
    	Flags: 
    		0... .... = Congestion Window Reduce (CWR): Not set
    		.0.. .... = ECN-Echo: Not set
    		..0. .... = Urgent: Not set
    		...0 .... = Acknowledgment: Not set
    		.... 0... = Push: Not set
    		.... .0.. = Reset: Not set
    		.... ..1. = Syn: Set
    		.... ...0 = Fin: Not set
    	Checksum: 0xafc (Correct)
    	Data (0 Bytes)
    
    Binary dump of the packet:
    0000:  00 00 01 00 00 00 01 00 : 20 00 01 00 08 00 45 00 | ........ .....E.
    0010:  00 40 6A 3A 40 00 2D 06 : A1 0E 53 1C 75 A5 53 1C | [email protected]:@.-...S.u.S.
    0020:  26 92 12 95 00 87 34 91 : E0 F0 00 00 00 00 B0 02 | &.....4.........
    0030:  D2 00 FC 0A 00 00 02 04 : 05 9E 01 03 03 03 01 01 | ................
    Przy kazdym restarcie inne ip z 'mojego' zakresu probuje sie laczyc.
    I tu pytanie: z czym to sie je, do czego sluzy etc. No i najwazniejsze, czy moze to byc uzyte przeciw mnie Cos mi google podpowiedzialo, ze a to jest jakas usluga ( ? ) inne, ze wirusy/trojany/rootkity z niego korzystaja . Jezeli naprawde to usluga ... to po co jest wywolywana ... i czemu z tego zakresu (czytaj z neostrady, zawsze inny ip)

  2. #2
    Avatar ble34
    ble34 jest offline jestem bugiem
    Zarejestrowany
    Oct 2006
    Skąd
    krzesło
    Postów
    681

    Domyślnie re

    ogólnie należy chyba do grupy protów dość niebezpiecznych spróbój go wyłączyć wiem ze jedna złusug za które odpowiada ten port to posłaniec
    a czemu msasz próbe nawiązania połaczenia z tym portem przykazdym restarcie to sczerze mówiąc niemam pojecia ale np port 138 wysyła co jakis czas na adres rozgłoszeniowy rózne pierdoły wię cmoze 135 robi coś w podobie a może masz robala niewiem port popularny więc poszukaj w necie

  3. #3
    Zarejestrowany
    Jan 2007
    Skąd
    przed komputerem ;]
    Postów
    12

    Domyślnie

    Zablokowalem 135 i 445 tcp/udp

    Komunikat juz nie wyskakuje, sprawdze jakis online'owym skanerem i moze skusze sie by poblokowac jeszcze 136 - 139 tcp/udp.
    Anyway, ma ktos jeszcze jakies sugestie jaki port warto zamknac ?

  4. #4
    Zarejestrowany
    Nov 2006
    Skąd
    Polska/Poland
    Postów
    1,191

    Lightbulb niebezpieczne porty w windows

    windows otwiera różne porty, głównie po to by korzystać z protokołu SMB,
    udostępnianie plików i takie tam, do tego jest jeszcze coś takiego jak RPC
    - musisz poczytać jeśli chcesz wiedzieć dokładnie z czym to się je

    zablokuj:
    135
    137
    138
    139
    445
    wyłącz też NetBiosa przez TCP/IP - będzie ok.
    chyba, że udostępniasz jakieś zasoby z windy dla innych kompów wtedy musisz to pootwierać bo nie będzie ci chodzić.
    po uruchomieniu kompa wybadaj połączenia za pomocą netstat -ano
    ten ci pokaże dokładnie co z czym sie łączy w danym momencie.

    pzdr.
    ***********
    * markossx *
    ***********

  5. #5
    Avatar ble34
    ble34 jest offline jestem bugiem
    Zarejestrowany
    Oct 2006
    Skąd
    krzesło
    Postów
    681

    Domyślnie re

    wyłącz wszystko uruchom pasjansa wciśnij ctrl+alt+f13
    a potem wyłącz komputer i połóż się spać

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52