PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Probleme und Fragen zu 3 Ports (Firewall)


Vidarius
2004-10-09, 12:16:04
also es geht mir im besonderen um 3 Ports!

zum einen:

microsoft-ds 445/tcp Microsoft-DS
microsoft-ds 445/udp Microsoft-DS

und zum anderen:

ms-wbt-server 3389/tcp MS WBT Server
ms-wbt-server 3389/udp MS WBT Server

und dann noch:

epmap 135/tcp DCE endpoint resolution
epmap 135/udp DCE endpoint resolution

Beschreibung gefunden bei: http://www.iana.org/assignments/port-numbers

------------

nun die ersten einfacheren Frage:
- was bedeuten die jeweiligen Abkürzungen?
- brauch ich den MS WBT Server, EPMAP oder Mircosoft DS?

nun das wichtigere:
- ich werde alle paar Minuten auf Port 445 und auch 135 angefragt - ich habe inzwischen beide Ports komplett geschlossen aber ein Monitoring auf diesen laufen (werde versuchen Bild dazu anzuhängen)
- wenn ich den Port 445 nicht im Vornherein blocke und die Firewall mich fragt: System - vom System - Prozess ID 4 - will zugreifen - erlauben oder blocken? > egal was ich nehm, der Rechner macht nen Blue/Black-Sreen und bootet neu :(

egal ob Win XP SP2 oder Win 2003 Server - ist auf beiden Systemen das gleiche Bild und der gleiche Absturz!

hier mal ein Pic von 5min:

Haarmann
2004-10-09, 12:23:36
XYRUS

Mach die einfach zu gegens Internet...

Vidarius
2004-10-09, 12:30:52
die sind ja schon komplett zu - will nur wissen was ich da zu gemacht hab - und vor allem warum so extrem viele Anfragen auf diesen Ports sind - zumal ja System vom System mit Prozess ID4 - was will die im Internet? Oder was wollen andere aus dem INet von der?

Mich regt es nur auf das ich net weiß was da vorsich geht :(


ÄDIT: so war googln und hab schon etwas gefunden: http://www.ntsvcfg.de/kss_xp/kss_xp.html

Haarmann
2004-10-09, 12:45:53
XYRUS

3389 ist Windows Terminal Server Default Port.
135 und 445 sind wohl so tief in Windows verankert, dass keiner genau weiss, was die alles könnten ;). Der 445er ist der Neuere der 2. Exploits gibts auf alle Fälle für die 2.

Vidarius
2004-10-09, 12:54:52
gut, also ich lass dann ma den 3389 auf ;) will ja schließlich noch auf meinen Rechner kommen *fg

hier nun der Kram zu 445:

microsoft-ds (Port TCP/UDP 445)
Über diesen Port und dem microsoft-ds Dienst können seit Einführung von Windows2000, ebenso wie über Port 139, die SMB Anfragen (Filesharing) geleitet werden. Es findet auch über diesen Port eine Namensauflösung, login und browsing wie beim 'normalen' NetBios statt.

-> die vielen Anfragen kommen wohl von:
Name: Nimda
Aliases: Concept Virus (CV) v.5, W32.Nimda, Minda, W32.Minda, I-Worm.Nimda, Code Rainbow , PE_Nimda.A, CV-5,
Ports: 25, 69, 80, 137, 138, 139, 445


---------------

und hier bissl was zu Port 135:

epmap (Port TCP 135)
Dienste, die DCOM und/oder RPC im Netzwerk nutzen, registrieren u.a. ihren Standort mit dem end-point mapper (epmap) auf dem PC. Wenn andere Clients sich mit einem PC verbinden um bestimmte DCOM oder RPC Dienste auf diesem zu nutzen, fragen sie über den end-point mapper (epmap) in einer Art Datenbank ab, wo sich diese Dienste befinden. Man kann über diesen Port und dem epmap Dienst herausfinden ob z.B. auf dem Zielrechner ein MS-Exchange Server läuft und welche Version der hat. Dieser Port wird auch vom Scanner-Tool 'epdump' ausgewertet und es gibt auch Denial-of-Service (DoS) Angriffe, direkt auf diesen Port.

- mehr konnte ich erstmal nicht finden

Lokadamus
2004-10-09, 13:31:08
mmm...

Port 445 ist wohl für Datei- und Druckerfreigabe zuständig => sollte für den Internetbereich gesperrt werden.
Port 135 wird von Blaster und Sasser benutzt, Windows sollte gepatcht sein, damit man keine Probs mit diesen Würmern bekommen kann ...