J'ai (imprudemment ?) laissé le port 445 ouvert sur mon Win 2000
Server et quelques bêbêtes (W32.HLLW.Gaobat) en ont profité pour
squatter certains dossiers partagés. Rien de nuisible et un coup de
nortonicide m'en a débarassé.
Mais je suis étonné du nombre de connexions qui subsistent sur le
port local 445 avec des ports de destinations personalisés variables
vers des adresses que je ne connais pas (toutes de chez Free,
d'ailleurs, sous la forme 82.234.x.y). Bien sûr j'ai réglé mon
firewall (Zone Alarm Pro) pour bloquer ce port et, bien qu'il y ait
une enfilade de messages comme quoi des intrusions sur le port 445 ont
été bloqué il n'en reste pas moins une dizaine "etablished" quand je
scanne avec netstat (ou, plus agréable, CurrPorts).
Est-ce normal ou que me conseillez-vous ? (je suis un peu léger en
techniques de sécurité, mais je me soigne).
Question subsidiaire si un windowien option serveurs passe par là :
ce port 445 peut-il être utilisable ou bien doit-il être
hermétiquement fermé (j'ai scruté Google mais je n'ai rien lu de
significatif à ce sujet outre que c'est un port NetBios et que c'est
la voie royale pour toutes sortes de vers) ?
Avec mes remerciements pour vos conseils.
--
===========================================================
William Marie
Toulouse (France)
mailto:wmarie@trapellun.net
ATTENTION ! Anti-SPAM pour m'écrire remplacer trapellun.net
par free.fr
http://wmarie.free.fr
===========================================================
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
William Marie
"William Marie" a écrit dans le message de news: 41b32d71$0$27072$
Précisions : c'est moi l'émetteur (bien involontaire) de cette pollution qui part du port 445 de mon serveur pour aller baguenauder (en étant "etablished") sur toutes sortes d'adresses IP (commençant par 82.234, comme la mienne) et sur toutes sortes de ports (non définis et de nombre élevé).
Impossible de voir quel est le programme émetteur de ce phénomène (sur Curr Ports qui est pourtant assez explicite sur qui fait quoi il n'y a rien). Le processus est "System" ce qui ne me renseigne pas. Norton antivirus ne trouve rien. Sur des machines clientes du réseau le port 445 est bien sagement "listening" pour l'adresse externe 0.0.0.0 et n'embête personne.
J'ai bricolé, vite fait, une règle "experte" firewalleuse pour bloquer tout ce qui va du port 445 aux adresses 82.x.x.x (x de 1 à 255) afin d'être un internaute bien élevé, mais je suis sans solution car sans compréhension. Pas de dégâts chez moi apparemment, c'est toujours ça. Mais j'aimerais bien que mon port 445 (j'ai compris à quoi il sert : c'est lui qui donne la visibilité NetBios du "Voisinage réseau") redevienne aussi sage que celui de mes postes clients. C'est pourquoi je sollicite vos lumières. -- ========================================================== William Marie Toulouse (France) mailto: ATTENTION ! Anti-SPAM pour m'écrire remplacer trapellun.net par free.fr http://wmarie.free.fr ===========================================================
"William Marie" <wmarie@trapellun.net> a écrit dans le message de
news: 41b32d71$0$27072$626a14ce@news.free.fr...
Précisions : c'est moi l'émetteur (bien involontaire) de cette
pollution qui part du port 445 de mon serveur pour aller baguenauder
(en étant "etablished") sur toutes sortes d'adresses IP (commençant
par 82.234, comme la mienne) et sur toutes sortes de ports (non
définis et de nombre élevé).
Impossible de voir quel est le programme émetteur de ce phénomène
(sur Curr Ports qui est pourtant assez explicite sur qui fait quoi il
n'y a rien). Le processus est "System" ce qui ne me renseigne pas.
Norton antivirus ne trouve rien. Sur des machines clientes du réseau
le port 445 est bien sagement "listening" pour l'adresse externe
0.0.0.0 et n'embête personne.
J'ai bricolé, vite fait, une règle "experte" firewalleuse pour
bloquer tout ce qui va du port 445 aux adresses 82.x.x.x (x de 1 à
255) afin d'être un internaute bien élevé, mais je suis sans solution
car sans compréhension. Pas de dégâts chez moi apparemment, c'est
toujours ça. Mais j'aimerais bien que mon port 445 (j'ai compris à
quoi il sert : c'est lui qui donne la visibilité NetBios du "Voisinage
réseau") redevienne aussi sage que celui de mes postes clients. C'est
pourquoi je sollicite vos lumières.
--
========================================================== William Marie
Toulouse (France)
mailto:wmarie@trapellun.net
ATTENTION ! Anti-SPAM pour m'écrire remplacer trapellun.net
par free.fr
http://wmarie.free.fr
===========================================================
"William Marie" a écrit dans le message de news: 41b32d71$0$27072$
Précisions : c'est moi l'émetteur (bien involontaire) de cette pollution qui part du port 445 de mon serveur pour aller baguenauder (en étant "etablished") sur toutes sortes d'adresses IP (commençant par 82.234, comme la mienne) et sur toutes sortes de ports (non définis et de nombre élevé).
Impossible de voir quel est le programme émetteur de ce phénomène (sur Curr Ports qui est pourtant assez explicite sur qui fait quoi il n'y a rien). Le processus est "System" ce qui ne me renseigne pas. Norton antivirus ne trouve rien. Sur des machines clientes du réseau le port 445 est bien sagement "listening" pour l'adresse externe 0.0.0.0 et n'embête personne.
J'ai bricolé, vite fait, une règle "experte" firewalleuse pour bloquer tout ce qui va du port 445 aux adresses 82.x.x.x (x de 1 à 255) afin d'être un internaute bien élevé, mais je suis sans solution car sans compréhension. Pas de dégâts chez moi apparemment, c'est toujours ça. Mais j'aimerais bien que mon port 445 (j'ai compris à quoi il sert : c'est lui qui donne la visibilité NetBios du "Voisinage réseau") redevienne aussi sage que celui de mes postes clients. C'est pourquoi je sollicite vos lumières. -- ========================================================== William Marie Toulouse (France) mailto: ATTENTION ! Anti-SPAM pour m'écrire remplacer trapellun.net par free.fr http://wmarie.free.fr ===========================================================
Olivier Huet
Bonjour,
Précisions : c'est moi l'émetteur (bien involontaire) de cette pollution qui part du port 445 de mon serveur pour aller baguenauder (en étant "etablished") sur toutes sortes d'adresses IP (commençant par 82.234, comme la mienne) et sur toutes sortes de ports (non définis et de nombre élevé).
Si vous voyez 445 comme port sur votre machine, c'est, si je ne m'abuse, plutôt le contraire : des machines externes qui se connectent sur la votre en netbios. Si c'était votre machine qui était cliente, vous verriez plein de ports tous différents.
--> ici c'est peut-être bien pour essayer tout les mots de passes possibles, pour tenter toutes les failles de sécurité etc etc.
Impossible de voir quel est le programme émetteur de ce phénomène (sur Curr Ports qui est pourtant assez explicite sur qui fait quoi il n'y a rien). Le processus est "System" ce qui ne me renseigne pas.
Je ne connais pas Curr Ports, mais j'utilise personnellement TCPView de sysinternals : http://www.sysinternals.com/ntw2k/source/tcpview.shtml je le trouve bien pratique - mais dans ce cas présent, il indiquera très probablement System aussi : je crois que c'est normal, pour des connection NetBios.
J'ai bricolé, vite fait, une règle "experte" firewalleuse pour bloquer tout ce qui va du port 445 aux adresses 82.x.x.x (x de 1 à 255) afin d'être un internaute bien élevé, mais je suis sans solution car sans compréhension. Pas de dégâts chez moi apparemment, c'est toujours ça. Mais j'aimerais bien que mon port 445 (j'ai compris à quoi il sert : c'est lui qui donne la visibilité NetBios du "Voisinage réseau") redevienne aussi sage que celui de mes postes clients. C'est pourquoi je sollicite vos lumières.
Perso cela me semble très risqué de garder le port 445 ouvert pour les connexions entrantes depuis l'Internet. Vous devriez interdire toute connexion entrantes dessus, et en ajoutant les autres ports netbios et rpc : 137, 138, 139, 135 et le tout en TCP et UDP (j'en ai peut-être mis un de trop mais dans ce domaine, mieux vaut trop que pas assez - j'espère par contre ne pas en avoir oublié).
Olivier Huet
Bonjour,
Précisions : c'est moi l'émetteur (bien involontaire) de cette
pollution qui part du port 445 de mon serveur pour aller baguenauder
(en étant "etablished") sur toutes sortes d'adresses IP (commençant
par 82.234, comme la mienne) et sur toutes sortes de ports (non
définis et de nombre élevé).
Si vous voyez 445 comme port sur votre machine, c'est, si je ne m'abuse,
plutôt le contraire : des machines externes qui se connectent sur la
votre en netbios. Si c'était votre machine qui était cliente, vous
verriez plein de ports tous différents.
--> ici c'est peut-être bien pour essayer tout les mots de passes
possibles, pour tenter toutes les failles de sécurité etc etc.
Impossible de voir quel est le programme émetteur de ce phénomène
(sur Curr Ports qui est pourtant assez explicite sur qui fait quoi il
n'y a rien). Le processus est "System" ce qui ne me renseigne pas.
Je ne connais pas Curr Ports, mais j'utilise personnellement TCPView de
sysinternals : http://www.sysinternals.com/ntw2k/source/tcpview.shtml je
le trouve bien pratique - mais dans ce cas présent, il indiquera très
probablement System aussi : je crois que c'est normal, pour des
connection NetBios.
J'ai bricolé, vite fait, une règle "experte" firewalleuse pour
bloquer tout ce qui va du port 445 aux adresses 82.x.x.x (x de 1 à
255) afin d'être un internaute bien élevé, mais je suis sans solution
car sans compréhension. Pas de dégâts chez moi apparemment, c'est
toujours ça. Mais j'aimerais bien que mon port 445 (j'ai compris à
quoi il sert : c'est lui qui donne la visibilité NetBios du "Voisinage
réseau") redevienne aussi sage que celui de mes postes clients. C'est
pourquoi je sollicite vos lumières.
Perso cela me semble très risqué de garder le port 445 ouvert pour les
connexions entrantes depuis l'Internet. Vous devriez interdire toute
connexion entrantes dessus, et en ajoutant les autres ports netbios et
rpc : 137, 138, 139, 135 et le tout en TCP et UDP (j'en ai peut-être mis
un de trop mais dans ce domaine, mieux vaut trop que pas assez -
j'espère par contre ne pas en avoir oublié).
Précisions : c'est moi l'émetteur (bien involontaire) de cette pollution qui part du port 445 de mon serveur pour aller baguenauder (en étant "etablished") sur toutes sortes d'adresses IP (commençant par 82.234, comme la mienne) et sur toutes sortes de ports (non définis et de nombre élevé).
Si vous voyez 445 comme port sur votre machine, c'est, si je ne m'abuse, plutôt le contraire : des machines externes qui se connectent sur la votre en netbios. Si c'était votre machine qui était cliente, vous verriez plein de ports tous différents.
--> ici c'est peut-être bien pour essayer tout les mots de passes possibles, pour tenter toutes les failles de sécurité etc etc.
Impossible de voir quel est le programme émetteur de ce phénomène (sur Curr Ports qui est pourtant assez explicite sur qui fait quoi il n'y a rien). Le processus est "System" ce qui ne me renseigne pas.
Je ne connais pas Curr Ports, mais j'utilise personnellement TCPView de sysinternals : http://www.sysinternals.com/ntw2k/source/tcpview.shtml je le trouve bien pratique - mais dans ce cas présent, il indiquera très probablement System aussi : je crois que c'est normal, pour des connection NetBios.
J'ai bricolé, vite fait, une règle "experte" firewalleuse pour bloquer tout ce qui va du port 445 aux adresses 82.x.x.x (x de 1 à 255) afin d'être un internaute bien élevé, mais je suis sans solution car sans compréhension. Pas de dégâts chez moi apparemment, c'est toujours ça. Mais j'aimerais bien que mon port 445 (j'ai compris à quoi il sert : c'est lui qui donne la visibilité NetBios du "Voisinage réseau") redevienne aussi sage que celui de mes postes clients. C'est pourquoi je sollicite vos lumières.
Perso cela me semble très risqué de garder le port 445 ouvert pour les connexions entrantes depuis l'Internet. Vous devriez interdire toute connexion entrantes dessus, et en ajoutant les autres ports netbios et rpc : 137, 138, 139, 135 et le tout en TCP et UDP (j'en ai peut-être mis un de trop mais dans ce domaine, mieux vaut trop que pas assez - j'espère par contre ne pas en avoir oublié).
Olivier Huet
Sebastien Vincent
J'ai bricolé, vite fait, une règle "experte" firewalleuse pour bloquer tout ce qui va du port 445 aux adresses 82.x.x.x (x de 1 à 255) afin d'être un internaute bien élevé, mais je suis sans solution car sans compréhension. Pas de dégâts chez moi apparemment, c'est toujours ça. Mais j'aimerais bien que mon port 445 (j'ai compris à quoi il sert : c'est lui qui donne la visibilité NetBios du "Voisinage réseau") redevienne aussi sage que celui de mes postes clients. C'est pourquoi je sollicite vos lumières.
Perso cela me semble très risqué de garder le port 445 ouvert pour les connexions entrantes depuis l'Internet. Vous devriez interdire toute connexion entrantes dessus, et en ajoutant les autres ports netbios et rpc : 137, 138, 139, 135 et le tout en TCP et UDP (j'en ai peut-être mis un de trop mais dans ce domaine, mieux vaut trop que pas assez - j'espère par contre ne pas en avoir oublié).
La regle n'est elle pas l'inverse ? Je me bloque une demi journee, je bloque toutes les connexions, puis j'essai mes applications une par une afin de creer les regles qui vont bien ?
Bien sur, un politique trop restrictaire pour un débutant peut etre pire qu'elle n'est bénéfique.
"Arg encore ce firewall qui me bloque mon msn, _désactiver_, ca va mieux".
Mais ca c'est un autre débat :)
Olivier Huet
J'ai bricolé, vite fait, une règle "experte" firewalleuse pour
bloquer tout ce qui va du port 445 aux adresses 82.x.x.x (x de 1 à
255) afin d'être un internaute bien élevé, mais je suis sans solution
car sans compréhension. Pas de dégâts chez moi apparemment, c'est
toujours ça. Mais j'aimerais bien que mon port 445 (j'ai compris à
quoi il sert : c'est lui qui donne la visibilité NetBios du "Voisinage
réseau") redevienne aussi sage que celui de mes postes clients. C'est
pourquoi je sollicite vos lumières.
Perso cela me semble très risqué de garder le port 445 ouvert pour les
connexions entrantes depuis l'Internet. Vous devriez interdire toute
connexion entrantes dessus, et en ajoutant les autres ports netbios et
rpc : 137, 138, 139, 135 et le tout en TCP et UDP (j'en ai peut-être mis
un de trop mais dans ce domaine, mieux vaut trop que pas assez -
j'espère par contre ne pas en avoir oublié).
La regle n'est elle pas l'inverse ?
Je me bloque une demi journee, je bloque toutes les connexions, puis
j'essai mes applications une par une afin de creer les regles qui vont
bien ?
Bien sur, un politique trop restrictaire pour un débutant peut etre pire
qu'elle n'est bénéfique.
"Arg encore ce firewall qui me bloque mon msn, _désactiver_, ca va mieux".
J'ai bricolé, vite fait, une règle "experte" firewalleuse pour bloquer tout ce qui va du port 445 aux adresses 82.x.x.x (x de 1 à 255) afin d'être un internaute bien élevé, mais je suis sans solution car sans compréhension. Pas de dégâts chez moi apparemment, c'est toujours ça. Mais j'aimerais bien que mon port 445 (j'ai compris à quoi il sert : c'est lui qui donne la visibilité NetBios du "Voisinage réseau") redevienne aussi sage que celui de mes postes clients. C'est pourquoi je sollicite vos lumières.
Perso cela me semble très risqué de garder le port 445 ouvert pour les connexions entrantes depuis l'Internet. Vous devriez interdire toute connexion entrantes dessus, et en ajoutant les autres ports netbios et rpc : 137, 138, 139, 135 et le tout en TCP et UDP (j'en ai peut-être mis un de trop mais dans ce domaine, mieux vaut trop que pas assez - j'espère par contre ne pas en avoir oublié).
La regle n'est elle pas l'inverse ? Je me bloque une demi journee, je bloque toutes les connexions, puis j'essai mes applications une par une afin de creer les regles qui vont bien ?
Bien sur, un politique trop restrictaire pour un débutant peut etre pire qu'elle n'est bénéfique.
"Arg encore ce firewall qui me bloque mon msn, _désactiver_, ca va mieux".
