traffico strano sulla porta 135

[lukas73]

Ciao a tutti
sono nuovo e ho un problema: lanciando netstat ho visto che c'era una connessione strana sulla mia porta 135 verso una porta effimera (l'host remoto aveva i primi due campi dell'indirizzo ip uguali al mio). Ad esempio:
protocollo TCP 87.17.39.171:2840 ESTABLISHED dove l'indirizzo e la porta sono quelle dell'host remoto mentre la porta in locale è la 135
un'altra cosa strana è
213.182.104.63:4630 SYN_RECEIVED
qualcuno sa cortesemente spiegarmi cosa sono e se è normale, è da poco che sto cercando di capire queste cose di rete e mi sarebbero molto ultili delle delucidazioni
grazie a tutti

[ste_95]

si è spam..... posta un log di hijackthis, la guida la trovi nella guida rimozione malware nelle discussioni in rilievo...

[lukas73]

allora ho seguito tutte le istruzioni ed il log di hijackthis è questo:
Logfile of HijackThis v1.99.1
Scan saved at 12.32.15, on 11/06/07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe "
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BitTorrent] "C:\Programmi\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\SHARED\HPQWMI.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe

outpost l'ho installato stamattina e adesso blocca il traffico dalla porta 135
domanda: è possibile sia qualcuno che si sia connesso come terminale remoto? se non sbaglio la porta 135 serve anche a quello (è quella dedicata alla comunicazione interprocesso remota se ricordo bene)

[Habanero]

Originariamente inviato da ste_95
si è spam..... posta un log di hijackthis, la guida la trovi nella guida rimozione malware nelle discussioni in rilievo...

ste_95 adesso stai cominciando veramente a farmi girare le scatole, e ti assicuro che è davvero difficile che qualcuno ci riesca. Sei già stato bannato una volta, aspetto solo che tu mi dia una buona ragione per risegnalarti in amministrazione.

Mi spieghi cosa diamine c'entra lo SPAM??? Il forum non è un bel gioco in cui si fa a gara a chi risponde prima o a chi risponde a più discussioni. E inoltre, dovete capire una volta per tutte che hijackthis non è la panacea a tutti i mali del pc. Su questo forum tra un po' si chiederà un log anche a chi lamenta un prurito al naso.

Come ti ho detto milioni di volte, se una risposta non la sai o hai solo il minimo dubbio di non saperla, astieniti dal rispondere. Grazie.



Per rispondere a lukas73...
Una connessiano sulla porta DCOM/RPC (135) sul lato internet non è una bella cosa. Su tale porta passano un sacco di servizi di amministrazione.

Ho visto che usi outpost, ma il problema mi fa sospettare che tu abbia dato accesso dall'eseterno a servizi che dovrebbero essere bloccati. Dovresti negare l'accesso come server al processo svchost.exe (cioè negare l'accesso in ingresso). A questo processo invece devi dare accesso in uscita.

[tecnico24]

ste-95 non ce una discussione in cui non sei partecipe
prima di dare risposte inutili,usa il buon senso,ne hai dette di cavolate,ma questa le batte tutte non si fa cosi.

[Habanero]

Originariamente inviato da tecnico24
ste-95 non ce una discussione in cui non sei partecipe
prima di dare risposte inutili,usa il buon senso,ne hai dette di cavolate,ma questa le batte tutte non si fa cosi.

Direi che bastano i moderatori, grazie.

Se ste-95 ha qualcosa da comunicarmi lo faccia in privato.

[lukas73]

grazie habanero (mi scuso per aver postato il lungo log)

recentemente ho inviato delle mail importanti (di lavoro) e mi chiedo se sia possibile che possano essere state intercettate e che non siano arrivate a destinazione?(esiste la possibilità teorica?)
è una cosa che mi preoccupa non poco.
una cosa che mi insospettisce infine è la classe degli ip, quelli che si connettono sulla porta 135 hanno i primi due campi uguali al mio, cioè sembrano indirizzi di altri utenti di alice.
Secondo voi dovrei rispedire le mail in questione? magari da un pc più sicuro o da linux?
ho riaperto outpost e ho modificato le regole per svchost inserendo una sola regola:
where the direction is: inbound
deny it
è sufficiente per risolvere il problema?

[Habanero]

non credo ci sia stata compromissione del sistema, soprattutto se i tuoi account locali sono protetti da password.

I collegamenti vengono dalla tua stessa sottorete internet (vedi primi due ottetti dell'ip uguali). Non è particolarmente strano, probabilmente è un virus che che cerca di propagarsi da un sistema infetto. In passato il servizio DCOM sulla porta 135 era altamente vulnerabile. Tu pero' usi il sp2 che è immune.

Non ricordo esattamente come funzioni outpost ma direi che dovrebbe bastare. Tieni d'occhio le connessioni e vedi se il problema si ripresenta.

[lukas73]

grazie
un'ultima cosa: ho dovuto anche creare la regola che abilita il traffico di svchost in uscita
altrimenti non apriva siti web
di buovo grazie
ciao

[Habanero]

è per quello che ti ho detto di concedere il traffico in uscita... tra i servizi di rete gestiti da svchost c'è il client DNS...