connection هاي نگران كننده در گزارش netstat

**TecDiscuss** · 2004-11-30, 02:15 PM

اول اينو بگم كه خيلي زور زدم تا اين Title رو براي تريد انتخاب كردم.

بعدش دو تا مشكل:
- روي يك سيستم كه sql server 2000 نصبه و يك ip وليد هم داره در جواب گزارشي كه netstat ميده connection هاي زيادي از ip هاي ناشناس با پورت 1433 مربوط به sql server وجود داره كه اكثرا وضعيت اونها بصورت Time_wait يا syn_received هستش و تا حالا وضعيت ديگه اي نديدم مخصوصا established رو.
-روي يه سيستم ديگه در گزارش كه netstat ميده connection هاي زيادي با پورت 445 ip هاي ناشناس ديده ميشه. همه پورتها از طريق TCP/IP filtering بسته هستند.

توضيح اين كه روي هر دو سيستم win2000 AS SP4 با آخرين update ها نصبه.
نظر شما چيه؟

موضوعات مشابه:

**aryagohar** · 2004-11-30, 05:44 PM

اگه کار می کنه مشکلی نیست.

ببخشید من باب شوخی نوشتم.

**TecDiscuss** · 2004-12-01, 11:01 AM

از شوخي خواهش ولي بابا يه چيز جدي هم مي نوشتي ببينيم چطور ميشه حل كرد. آخه اون دومي خيلي هم send داره.

**aryagohar** · 2004-12-01, 11:51 AM

سيستم ديگه منظورت همون سيكو ال سرور هست يا نه.

پورت ها رو روي Gateway بستی یا روی خود PC ها؟

**TecDiscuss** · 2004-12-01, 06:49 PM

سلام آقا رضا
هر دو سيستمي كه گفتم win2000 as sp4 هستش كه همه پورتهاشو تو TCP/IP filtering بستم. در ضمن رو اون دومي كه گفتم ارتباط با پورت 445 مربوط به ip هاي ناشناس هست. بيشتر شبيه اينه كه يه كرمي چيزي رو سيستم باشه و به اون ip ها حمله كنه. كه در اينصورت آنتي ويروسم بايد پيدا ميكرد. روش bitdefender 7.2 با آخرين update نصبه.

**kima** · 2004-12-01, 08:48 PM

این ویندوز دیگه این چیزهاش داره خرابش می کنه
هر چقدر هم آپدیت باشه باز هم مشکل پیدا می کنه با این ویروس رو تروجان ها
اگر می تونید برید روی لینوکس این کار رو انجام بدین و عمری خودتون رو راحت کنید

**NetMaster** · 2004-12-01, 10:11 PM

نوشته اصلی توسط TecDiscuss

اول اينو بگم كه خيلي زور زدم تا اين Title رو براي تريد انتخاب كردم.

بعدش دو تا مشكل:
- روي يك سيستم كه sql server 2000 نصبه و يك ip وليد هم داره در جواب گزارشي كه netstat ميده connection هاي زيادي از ip هاي ناشناس با پورت 1433 مربوط به sql server وجود داره كه اكثرا وضعيت اونها بصورت Time_wait يا syn_received هستش و تا حالا وضعيت ديگه اي نديدم مخصوصا established رو.
-روي يه سيستم ديگه در گزارش كه netstat ميده connection هاي زيادي با پورت 445 ip هاي ناشناس ديده ميشه. همه پورتها از طريق TCP/IP filtering بسته هستند.

توضيح اين كه روي هر دو سيستم win2000 AS SP4 با آخرين update ها نصبه.
نظر شما چيه؟

Did you setup SQL SP3? you should have it on your SQL. this is a reminder

do you need your SQL to be exposed to the internet?

Well if you do need it, then use access list to allow IPs only trusted to access your SQL. so use your

router to allow access to trusted IPs and deny the rest of the internet.

Good Luck

**hessamsh** · 2004-12-01, 11:10 PM

آقا در مورد اون سيستم دومي كه ميگي تمامي كانكشنها از فايلهاي winmon.exe و winmon32.exe و Explorer.exe برقرار ميشه و اگر اشتباه نكنم ورمش هم بايد Korgo.U و Korgo.Q باشه اگر يك فايروال مثل نورتون روي اون سيستم نصب كني و يك Rule روي اون فايروال تعريف كني كه تمام ترافيك خروجي با پورت 445 را Deny كند مشكلت حل ميشه .

**TecDiscuss** · 2004-12-02, 11:13 AM

ممنون از دوستان.
در جواب آقاي خياط بايد عرض كنم كه sp3 روي سيستم نصبه. و اينهم access-list روتر gateway هستش:

Standard IP access list 15
permit w.x.y.z
Standard IP access list 16
permitw.x.y.z
Extended IP access list 112
deny tcp any any eq 135 (1787795 matches)
deny udp any any eq 135 (1268 matches)
deny udp any any eq 139
deny tcp any any eq 139 (32589 matches)
deny tcp any any eq 4444 (2467 matches)
deny udp any any eq 4444 (2 matches)
deny udp any any eq 1344 (14 matches)
deny tcp any any eq 1344 (1926 matches)
deny tcp any any eq 593
deny udp any any eq 593
permit ip any any (21200354 matches)

اينجا كه 1344 بسته هست!!!

در مورد كرم هم فعلا نتونستم بدونم چيه ولي يك zone alarm گذاشتم جلوي ترافيك رو گرفتم فعلا.

راستي نظرتون راجع به access-list چيه. چيزي ميخواد اضافه كم بكنم. نه تنها واسه اين مشكل. كلا؟

**offers2you** · 2004-12-02, 03:13 PM

اينجا كه 1344 بسته هست!!!

با سلام

احتمالا شماره پرت را اشتباه وارد کردید . شماره پرت 1433 و 1434 هست . 1433 تی سی پی و 1433 و 1434 یو دی پی

در ضمن در صورتی که از عدم وجود ورم مطمئن شدید حتما یوزر نیم و پسورد دیفالت را تغییر بدین تا حدی که قابل بازیابی توسط افراد دیگر نباشد . در ضمن جتما پچ های مربوطه را نصب کنید تا از آسیب پذیریهای ناگهانی در امان باشید چون در صورتی که آسیب پذیری خاصی از اس کیو ال سرور توسط افراد شناسایی شود احتمال نفوذ به شبکه شما بدون داشتن پسورد وجود دارد .

پرتهای ال سس و آر پی سی و اچ تی تی پی حتما بصورت دقیق مدیریت بشه . مخصوصا 80 که در صورت نصب بودن IIS و پچ نشدن آسیبهای آن احتمال نفوذ یا خطرات دیگر وجود خواهد داشت

**TecDiscuss** · 2004-12-04, 07:31 PM

آقا دستت درد نکنه. من چقد خنگم. باور کن یه بار دقت هم کردم ها رد این 1344 ولی نمیدونم چرا متوجه نشدم. آخه این لیست رو یکی دیگه نوشته بود. و خیلی ممنون از راهنمائی هاتون.

**TecDiscuss** · 2004-12-11, 04:41 PM

آقا من اين مشکل رو بالاخره حل کردم.
البته اولي که طبيعي بود چون پورت روي روتر بسته نبود اشتباهي و بابتش از جناب نکوئي تشکر ميکنم.
اما دومي کار يک کرم خاکي بود فکر کنم يا از اين spy ها ولي دقيق نتونستم بفهمم چي بود چون 3 تا 4 تا كار رو باهم انجام دادم. در كل از ْXoftspy و از سايت trendmicro استفاده كردم. در ضمن خيلي دنبال كرم و ويروسهايي كه از پورت 445 (بعنوان مقصد) استفاده مي كنند گشتم. يه 2-3 مورد پيدا كردم. از جمله Korgoكه جناب حسام خان اشاره كرده بودند و نيز Agobot ولي هيچ كدوم اونها رو سيستم نبودن.
گفتم شايد به درد کسي بخوره اينجا نوشتم.

موضوع: connection هاي نگران كننده در گزارش netstat

پیوند

ابزارهای موضوع

نمایش

connection هاي نگران كننده در گزارش netstat

کلمات کلیدی در جستجوها:

از کجا بفهمم پورت1433 باز است یا بسته

از کجا بفهمم پورت 445 باز است؟

برچسب برای این موضوع

مجوز های ارسال و ویرایش