Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
764 connectés 

  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Peut on trouver ce qui garde un port ouvert ?

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Peut on trouver ce qui garde un port ouvert ?

n°1707313
bigbernie
Posté le 05-09-2004 à 18:41:23  profilanswer
 

Salut,  
 
Depuis quelque temps j'ai un port dynamique  ouvert. Au dessus des 1024 usuels. Ce port ne peut etre utilisé que part svchost.  J'ai un logiciel qui me permet de tracer n'importe quel port en utilisation chez moi entre le port de départ, le port d'arrivée et qui l'utilise/remote.  
J'ai un firewall donné pour très valab le, Sygate et un non moins escellent anti virus Kaspersky.  
Si Sygate ne ferme pas le port c'est que quelque chose le garde ouvert. Right ? Mais quoi ?  Comme il n'est pas en activité je ne peux pas le tracer. Je connais les noms des 4 trojans qui peuvent l'utiliser, je ne les ai pas..les autres non plus d'ailleurs.  Comme c'est un port dynamique il peut etre utilisé par n'importe quel service dcom.  
Je n'ai pas de virus. J'ai fait des checks complets c hez moi et en ligne, puis la totale chez Sygate. Pas de trojans. Pas de virus. Pas d'erreurs, pas de logs défectueux.  
Bon, j'ai posé la question sur le forum international Sygate en anglais mais pourquoi ne pas poser sur celui-ci....en français.
Qu'est ce qui peut garder un port ouvert...lorsque le systeme est sain ?
Et d'autre part comment fermer un port qui n'est pas utilisé ? Pas utilisé = pas listé dans les applications et pas non plus dans mon outil perfectionné de traçage. Tout ce que je sais c'est que c'est A l'usage exclusif d'un des svchost éventuellemnt.  
Pas si facile comme question mais j'aurai peut etre une réponse avant Sygate ! C'est vrai qu'on est dimanche. Et j'écris mieux en français !  
Merci.
 
Something new ! J'ai eu l'idée "lumineuse" de réactiver le firewall basic de SP1 que j'avais désactivé a l'install de sygate. (je n'utilise pas encore le sp2...j'attend un peu) et il a fermé le port. Alors la comme aurait dit Chirac, ça m'en bouge une sans remuer l'autre. Epoustouflant.
 
Comment Sygate qui est un firewall perfectionné peut il laisser un port ouvert alors que celui de Xp basic le ferme. J'en reste baba.
Une petite idée de forumers baleses en sécurité ?
Thanks again.  


Message édité par bigbernie le 05-09-2004 à 19:50:33
mood
Publicité
Posté le 05-09-2004 à 18:41:23  profilanswer
 

n°1709843
BrotherS
Posté le 07-09-2004 à 16:50:31  profilanswer
 

bigbernie a écrit :

Salut,  
 
Depuis quelque temps j'ai un port dynamique  ouvert. Au dessus des 1024 usuels. Ce port ne peut etre utilisé que part svchost.  J'ai un logiciel qui me permet de tracer n'importe quel port en utilisation chez moi entre le port de départ, le port d'arrivée et qui l'utilise/remote.  
J'ai un firewall donné pour très valab le, Sygate et un non moins escellent anti virus Kaspersky.  
Si Sygate ne ferme pas le port c'est que quelque chose le garde ouvert. Right ? Mais quoi ?  Comme il n'est pas en activité je ne peux pas le tracer. Je connais les noms des 4 trojans qui peuvent l'utiliser, je ne les ai pas..les autres non plus d'ailleurs.  Comme c'est un port dynamique il peut etre utilisé par n'importe quel service dcom.  
Je n'ai pas de virus. J'ai fait des checks complets c hez moi et en ligne, puis la totale chez Sygate. Pas de trojans. Pas de virus. Pas d'erreurs, pas de logs défectueux.  
Bon, j'ai posé la question sur le forum international Sygate en anglais mais pourquoi ne pas poser sur celui-ci....en français.
Qu'est ce qui peut garder un port ouvert...lorsque le systeme est sain ?
Et d'autre part comment fermer un port qui n'est pas utilisé ? Pas utilisé = pas listé dans les applications et pas non plus dans mon outil perfectionné de traçage. Tout ce que je sais c'est que c'est A l'usage exclusif d'un des svchost éventuellemnt.  
Pas si facile comme question mais j'aurai peut etre une réponse avant Sygate ! C'est vrai qu'on est dimanche. Et j'écris mieux en français !  
Merci.
 
Something new ! J'ai eu l'idée "lumineuse" de réactiver le firewall basic de SP1 que j'avais désactivé a l'install de sygate. (je n'utilise pas encore le sp2...j'attend un peu) et il a fermé le port. Alors la comme aurait dit Chirac, ça m'en bouge une sans remuer l'autre. Epoustouflant.
 
Comment Sygate qui est un firewall perfectionné peut il laisser un port ouvert alors que celui de Xp basic le ferme. J'en reste baba.
Une petite idée de forumers baleses en sécurité ?
Thanks again.


 
Bah change de firewall ! ;)


---------------
Hackers News & Security Crawler
n°1710834
bigbernie
Posté le 08-09-2004 à 13:09:41  profilanswer
 

J'ai fini par trouver.  C'est Sygate qui garde un port pseudo ouvert en cochant par defaut "run as a server". Il parait que c'est un piege pour les scans en ligne afin d'alimenter la black list. On appellerait ça un honeypot.  
Il suffit de cocher run as client a la place. Mais il faut le savoir. Meme des pros sur le site international ne sont pas d'accord avec ça car ça trompe les utilisateurs. C'est donc Sygate qui a voulu que serveur soit activé a l'install et pas client. Et c'est bien cache dans les parametres avancés.  
Cette version allégée étant a l'usage des utilisateurs lambda. Les responsables securité et reseaux devant utiliser la version pro.
Eh voila. En fouillant on finit par trouver mais les non anglophones ne sont pas gatés du tout pour ce genre d'infos pointues.  
Salut à toi.

n°1710841
BrotherS
Posté le 08-09-2004 à 13:13:37  profilanswer
 

Merci pour information. C'est toujours utile !


Message édité par BrotherS le 08-09-2004 à 13:13:50

---------------
Hackers News & Security Crawler
n°1710845
Requin
Posté le 08-09-2004 à 13:18:53  profilanswer
 

Si jamais :
 

netstat -a -n -v


 
te donne les infos que tu cherchais...

n°1711141
bigbernie
Posté le 08-09-2004 à 15:49:28  profilanswer
 

Merci de l'info mais j'ai un soft qui me donne l'état des ports ouverts et en attente en entree et sorties avec ce qu'il y a à chaque bout, les protocoles, l'ordre des priorités et quel service peut l'utiliser.  
C'est avec le scan en ligne et ce soft que je me suis aperçu qu'il y avait un port ouvert mais en attente et connecté a rien. J'ai fouiné un bout de temps et voila.
Merci

n°1954205
postel
Posté le 09-03-2005 à 11:43:51  profilanswer
 

bigbernie, qu'est ce que tu utilises pour scanner les ports ?

n°1957119
bigbernie
Posté le 11-03-2005 à 16:14:13  profilanswer
 
n°1957213
nitchbool
Posté le 11-03-2005 à 17:47:57  profilanswer
 

un Honeypot directement sur un Firewall... hum je suis dubitatif. Savoir que ce port est ouvert sur une machine alors  que la plupart des autres ports usuels sont fermés m'aménerait facilement à penser que ce firewall est un Sygate ce qui pourrait alimenter une recherche d'info avant une attaque. bizarre

n°1958798
papyseb_95
Posté le 13-03-2005 à 04:45:57  profilanswer
 

Merci pour les infos bigbernie
 
Je suis assez d'accord avec nitchbool :  
Niveau sécu je trouve dangereux de laisser un tel port ouvert (cible pour de nouvelles attaques ...) j'ai pas 200 personnes dispos h24 pour sniffer les activites sur ce port car si beaucoup de hacker en herbe se découragent sur ce pseudo serveur, d'autres plus experimentés pourraient profiter de cette "faille" et leur présence pourrait etre noyée dans la masse.
 
En dautres termes, j'aime pas trop ce genre de backdoor sur un firewall !


Message édité par papyseb_95 le 13-03-2005 à 05:16:15
mood
Publicité
Posté le 13-03-2005 à 04:45:57  profilanswer
 

n°1960075
nitchbool
Posté le 14-03-2005 à 10:36:07  profilanswer
 

Il existe une étude qui montre que les hackers dans leur recherche de ports ouverts, se concentre sur maxi trois ports (je ne sais plus lesquels mais ce sont des ports usuels). Ce honeypot sur le sygate est vraiment bizarre. Des trucs comme ça vous donnerait presque envie de désinstaller. (je connais pas sygate mais je l'aime déjà pas).

n°1960234
bigbernie
Posté le 14-03-2005 à 12:45:07  profilanswer
 

Voici la fin des conversations que j'ai eues avec un Super Moderateur de Sygate il y a 8 mois. Il n'est pas d'accord avec le fait que les developpeurs ont mis par defaut "act as a server". En effet, si "act as a client" ferme bien tous les ports, la premiere laisse le 1025 network blackjack ouvert volontairement.
 
 
 
 09-06-2004 07:19 AM    
Mats is offline Find posts by Mats| Add Mats to your buddy list  Edit | Quote
Mats
Super Moderator & Artist formerly known as SpaceCowboy
 
Registered: Sep 2002
Location: Jail
Posts: 3412
 
 
    quote:Originally posted by bigbernie
    Done !
    I did'nt understood why "act as a server" kept this port Open !
    I don't understand any way right now.
 
 
when applications are able to "act as a server" it means they are able to accept "incoming" connections, which is why the scan showed that port as being open.
 
    quote:This mark was On by default. Why not Off by default ?  
 
 
that is the way the developers of Sygate want things. i do not agree with that. i think it should be off by default too.
 
__________________
KING's Sygate Help Site
Whitehat Security
 
 

n°1960243
nitchbool
Posté le 14-03-2005 à 12:51:57  profilanswer
 

Du coup on est tous d'accord. Désinstallons Sygate :)


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Peut on trouver ce qui garde un port ouvert ?

 

Sujets relatifs
port ouvert.. et après? Où est le danger?need 1 tutorial port fowarding pour la freebox
modem/routeur avec un seul port ethernet!!!Serveur FTP sur port 80
ouvrir le port 119 // pour utiliser newsgroupProbleme de port de connection sur VNC
[win 2000] Comment supprimer le liste des docs récemment ouvert ?Serveur FTP sur un autre port que le 21
Comment masquer un port TCP fermer 
Plus de sujets relatifs à : Peut on trouver ce qui garde un port ouvert ?


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR