Richieste broadcast sulla porta 137

[raistlin76]

Ciao a tutti,
analizzando un po' la rete aziendale con WireShark ho scoperto che 2 PC (Win2000 e WinXP) continuano a fare richieste broadcast (destinazione 192.168.1.255) verso le porte 137 degli host della rete.
A testa ne fanno circa 70 al minuto! Di fatto fanno il 95% delle request di tutte la rete, non danno fastidio, pero' non mi sembra affatto normale.

Wireshark mi dice che il protocollo usato è NBNS (il DNS di NetBioS) e tra le info mi dice che il messaggio inviato è del tipo "Name query NB DHCPPC6".

Avete qualche idea per favore?

[Habanero]

la porta udp 137 viene usata dal portocollo di name service per la condivisione file e stampanti su netbios. In pratica se faccio una richiesta in rete locale per la macchina \\pippo tramite il servizio che gira su quella porta l'host richiedente riesce ad individuarne l'ip e quindi iniziare una sessione di traferimento/richiesta dati.

Di per sè la cosa non è strana... quello che mi lascia perplesso è la frequenza... più di una al secondo è una cosa decisamente anormale...

Come è strutturata la rete? numero di pc? che tipo di os? dominio o workgroup?

[raistlin76]

Originariamente inviato da Habanero
la porta udp 137 viene usata dal portocollo di name service per la condivisione file e stampanti su netbios. In pratica se faccio una richiesta in rete locale per la macchina \\pippo tramite il servizio che gira su quella porta l'host richiedente riesce ad individuarne l'ip e quindi iniziare una sessione di traferimento/richiesta dati.

Di per sè la cosa non è strana... quello che mi lascia perplesso è la frequenza... più di una al secondo è una cosa decisamente anormale...

Come è strutturata la rete? numero di pc? che tipo di os? dominio o workgroup?

Infatti è la frequenza che mi preoccupa, inoltre sono gli unici due a comportarsi cosi' (per fortuna )))

La rete è piccola (workgroup non dominio), sono una dozzina di PC, cosi' distribuiti:
3 Win2000 Pro SP4
6 WinXp SP2
3 GNU/Linux
C'è un firewall che blocca gli accessi dall'esterno.

I PC incriminati hanno uno WinXP SP2 e l'altro WIn200 Pro SP4.

Spero di averti dato le informazioni che mi avevi chiesto.

[Habanero]

facciamo un controllino che non si sia annidato qualche codicillo poco simpatico?
i sistemi hanno un antivirus installato? quale?

leggi attentamente il punto [4]:
http://forum.html.it/forum/showthrea...hreadid=811189

e posta qui un log di uno dei due pc incriminati... magari di entrambi.

[raistlin76]

Ecco il log di HJT di uno dei 2 Pc (quello con Win2000):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.31.55, on 25/09/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\cisvc.exe
C:\WINNT\system32\crypserv.exe
C:\Programmi\NavNT\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\system32\HPZipm12.exe
C:\WINNT\system32\MSTask.exe
C:\Programmi\HHVcdV5Sys\VC5SecS.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Google\Gmail Notifier\gnotify.exe
C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programmi\HHVcdV5Sys\VC5Play.exe
C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe
C:\Programmi\HP\ToolBoxFX\bin\HPTLBXFX.exe
C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programmi\Virtual CD v5\System\VC5Tray.exe
C:\Virdi\FPServer\FSControl.exe
C:\Programmi\Google\Google Talk\googletalk.exe
C:\WINNT\system32\ctfmon.exe
C:\Programmi\Intuwave\Shared\mRouterRuntime\mRoute rConfig.exe
C:\Virdi\FPServer\fpserver.exe
C:\PROGRA~1\Intuwave\Shared\MROUTE~1\mRouterRuntim e.exe
C:\Programmi\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINNT\System32\cidaemon.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.31.46.144/feeds/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.31.46.144/feeds/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,userinit.e xe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programmi\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [VC5Player] C:\Programmi\HHVcdV5Sys\VC5Play.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe "
O4 - HKLM\..\Run: [ToolBoxFX] "C:\Programmi\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enumn /alertsn /notificationsn /systrayIconn /fln /frn /appDatan
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [nodeview] C:\Programmi\NodeView\nodeview.exe
O4 - HKLM\..\Run: [FSControl] C:\Virdi\FPServer\FSControl.exe
O4 - HKCU\..\Run: [googletalk] "C:\Programmi\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [VoipStunt] "C:\programmi\voipstunt.com\voipstunt\voipstunt.ex e" -nosplash -minimized
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [WengoPhoneNG] C:\Programmi\WengoPhone\qtwengophone.exe -b
O4 - HKCU\..\Run: [Democracy Player] C:\Programmi\Participatory Culture Foundation\Democracy Player\Democracy.exe
O4 - HKCU\..\Run: [mRouterConfig] "C:\Programmi\Intuwave\Shared\mRouterRuntime\mRout erConfig.exe"
O4 - HKCU\..\RunOnce: [FFTI] C:\Documents and Settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\rp67sww7.def ault\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\ffti.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /DestPath="C:\Documents and Settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles/rp67sww7.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}"
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = C:\Programmi\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {1F831FA9-42FC-11D4-95A6-0080AD30DCE1} (InstaFred Control) - file://C:\Programmi\AutoCAD LT 97\InstFred.ocx
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (DownloadManager Control) - http://dlmanager.akamaitools.com.edg...ex-2.0.6.0.cab
O16 - DPF: {6D7FDAFB-D2FB-11D3-A9B1-00D0B7150234} (ALXClient Control) - http://192.168.1.54/client.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Controllo AcDc oggi) - file://C:\Programmi\AutoCAD LT 97\AcDcToday.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Controllo AcPreview) - file://C:\Programmi\AutoCAD LT 97\AcPreview.ocx
O16 - DPF: {FBFF6F10-A2FC-9544-745F-A1F75A0501AE} - http://www.italian-toplist.com/cart/gs/gsa_0122.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINNT\SYSTEM32\crypserv.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programmi\NavNT\defwatch.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Microsoft Windowz Update (MsFtUpd) - Unknown owner - C:\WINNT\msie.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - C:\Programmi\HHVcdV5Sys\VC5SecS.exe

--
End of file - 10588 bytes

[Habanero]

Non credo sia questo il problema ma per cominciare ti consiglio di eliminare le sequenti voci:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.31.46.144/feeds/search.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.31.46.144/feeds/search.html

O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (DownloadManager Control) - http://dlmanager.akamaitools.com.ed...vex-2.0.6.0.cab

O16 - DPF: {FBFF6F10-A2FC-9544-745F-A1F75A0501AE} - http://www.italian-toplist.com/cart/gs/gsa_0122.exe




Questa voce ti dice qualcosa? si riferisce ad una macchina interna...
O16 - DPF: {6D7FDAFB-D2FB-11D3-A9B1-00D0B7150234} (ALXClient Control) - http://192.168.1.54/client.cab

[Habanero]

analizzando il traffico con wireshark hai potuto farti una idea dei pacchetti? sono tutti uguali?

se tu riuscissi ad allegare un dump non sarebbe male..

[raistlin76]

Originariamente inviato da Habanero

Questa voce ti dice qualcosa? si riverisce ad una macchina interna...
O16 - DPF: {6D7FDAFB-D2FB-11D3-A9B1-00D0B7150234} (ALXClient Control) - http://192.168.1.54/client.cab

Non mi dice niente, quell'host non esiste.

Ho trovato sul sito di Sophos che la terz'ultima voce è relativa ad un Worm:
O23 - Service: Microsoft Windowz Update (MsFtUpd) - Unknown owner - C:\WINNT\msie.exe (file missing)

Piu' precisamente al worm W32/Tilebot-BL, che tra la'ltro cerca di aggredire le condivisioni di NetBios.

http://www.sophos.com/security/analy...tilebotbl.html

[Habanero]

oops mi era sfuggito.... elimina sia la voce relativa a client.cab sia quella relativa a msie.exe

poi riavvia la macchina e riposta un log.

[raistlin76]

Originariamente inviato da Habanero
analizzando il traffico con wireshark hai potuto farti una idea dei pacchetti? sono tutti uguali?

se tu riuscissi ad allegare un dump non sarebbe male..

Ecco qua un pacchetto incriminato (RICSVI04 è il PC con WinXP SP2):

No. Time Source Destination Protocol Info
123 1.096520 RICSVI04 192.168.1.255 NBNS Name query NB DHCPPC6<00>

Frame 123 (92 bytes on wire, 92 bytes captured)
Ethernet II, Src: AsustekC_76:57:b6 (00:18:f3:76:57:b6), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Destination: Broadcast (ff:ff:ff:ff:ff:ff)
Source: AsustekC_76:57:b6 (00:18:f3:76:57:b6)
Type: IP (0x0800)
Internet Protocol, Src: RICSVI04 (192.168.1.43), Dst: 192.168.1.255 (192.168.1.255)
User Datagram Protocol, Src Port: netbios-ns (137), Dst Port: netbios-ns (137)
NetBIOS Name Service
Transaction ID: 0xbe6c
Flags: 0x0110 (Name query)
0... .... .... .... = Response: Message is a query
.000 0... .... .... = Opcode: Name query (0)
.... ..0. .... .... = Truncated: Message is not truncated
.... ...1 .... .... = Recursion desired: Do query recursively
.... .... ...1 .... = Broadcast: Broadcast packet
Questions: 1
Answer RRs: 0
Authority RRs: 0
Additional RRs: 0
Queries

Ho anche fatto un controllo con nmap sugli altri pc Windows della rete e ottengo sempre dei risultati che mi lasciano perplesso, ne posto uno:

ricsvi03-admin@ricsvi03:~$ nmap -A -P0 -T4 192.168.1.40

Starting Nmap 4.20 ( http://insecure.org ) at 2007-09-25 14:26 CEST
Interesting ports on RICSVI02 (192.168.1.40):
Not shown: 1691 filtered ports
PORT STATE SERVICE VERSION
135/tcp open msrpc Microsoft Windows RPC
139/tcp closed netbios-ssn
445/tcp closed microsoft-ds
2105/tcp open msrpc Microsoft Windows RPC
5900/tcp open vnc VNC (protocol 3.8)
8000/tcp open http-alt?
Service Info: OS: Windows

Service detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .
Nmap finished: 1 IP address (1 host up) scanned in 154.397 seconds

Non capisco perchè la porta 8000 è aperta (è cosi' per tutti i PC), come se li' ci fosse un web-server (http-alt?), effettivamente quando vado col browser a quella socket, il programma (Firefox) non mi dice che non esiste il server, ma rimane in attesa della sua risposta. E' come se il sedicente web-server non sappia rispondere alle richieste del client.