porta 12345

[piero64]

scusate se eventualmente OT, al moderatore se spostare il post: dunque, facendo una ricerca delle porte aperte sul mio PC (HP Vectra PIII 600 Mhz, 384 RAM Win2K Pro...)ho notato che l'applicazione MSHTA.exe in WinNT/System32 mi apre immancabilmente la porta 12345; sulle proprietà dell'eseguibile mi dice che è un componente di Win2K (by microsoft), ma il mio dubbio è questo: cosa fa questo MSHTA??? a cosa serve??? lo posso disattivare???.
Mi da alquanto fastidio sapere di avere una porta aperta senza essere a conoscenza del perchè (non tanto per la sicurezza, in azienda ci serviamo di un server proxy, firewall ed antivirus costantemente aggiornato) e a cosa serve questo eseguibile... sarò grato a chi mi potrà dare delucidazioni in merito a ciò...

grazie Piero64

[xdesign]

mshta.exe è l'html application host e serve per implementare alcuni tipi di files..non ti consiglio di disattivarlo in nessun modo

Ti chiedo se sei sicuro che la porta 12345 sia associata a mshta, perchè non dovrebbe aprire nessuna porta..inoltre la 12345 è utilizzata dal trojan Netbus.
Utilizza un antivirus, è meglio

[Vano]

E poi dal pannello di controllo vai sui protocolli, proprietà avanzate e chiudi tutte le porte e lascia possare solo il traffico sulle porte che ti serve usare (80, 8080, 25, 110, 20, 21, 65) per web, posta, ftp , ecc.
Vano

[xdesign]

x Vano: non ho ben capito di quali impostazioni stai parlando

[piero64]

scusa Vano, come ci arrivo dal pannello di controllo ai protocolli??? non credo ti riferisci da proprietà rete TCP ecc.

Potresti darmi il percorso per chiudere sta porta?? ho visto anche il file services in c:\winnt\system32\drivers\etc, la suppongo che anteponendo un "discard" si dovrebbe poter chudere le porte, ma lì non è elencata la 12345 mentre netstat -snap tcp ua a segnalarmela!!!

Datemi una mano se potete!!!

Grazie

[xdesign]

Prova a eseguire l'antivirus, e a usare un buon firewall:

http://www.avx.com
http://www.symantec.com
http://www.zonelabs.com

[piero64]

come antivirus l'azienda (ASS) per cui lavoro usa Trend Officescan monitor, è sufficientemente sicuro, dispone anche di un proxy e una macchina che fa da firewall... ho guardato anche su altri client del mio ufficio, e su 5 pc (tutti in rete+internet) 4 hanno sta porta aperta; ho guardato nel registro di win le chiavi run, comfile, exefile ecc., dove di solito si mette Netbus o simili, ma non c'è nulla di anormale!!!!

[piero64]

...su 5 client (3 win2k e 2 win98SE) l'unico a non avere la 12345 aperta è un win2k (in rete alla pari di tutti gli altri). Sul mio pc ho disabilitato NetBios sul TCP ho ricontrollato le seguenti chiavi di registro:

[HKEY_CLASSES_ROOT\exefile\shell\open\command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\comfile\shell\open\command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\batfile\shell\open\command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] @="\"%1\" %*" [HKEY_CLASSES_ROOT\piffile\shell\open\command] @="\"%1\" %*"

[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\ open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\ open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\ open\command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\ Open\Command] @="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\ open\command] @="\"%1\" %*"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run;

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run-;

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Runservices;

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunOnce;

Ho appena fatto una scansione da sito Symantec e non ha trovato nulla, già lo immaginavo, stesso risultato datomi dall'antivirus Trend...

(potrebbe anche essere che i sysadmin dell'azienda abbiano impostato loro questa porta per qualche servizio!? in questo caso la dovrei avere aperta anche sull'unico PC che non me la segnala...

mi sembrerebbe alquanto strano ma non si sa mai... da quanto ho potuto verificare a volte ne so più io di reti che faccio grafica che loro... + di una volta ho risolto problemi che loro si erano già arresi... non credo siano così sprovveduti, eppoi l'FTP l'hanno chiusa...


a questo punto una cosa sola vorrei capire (prima di riformattare tutto), come si disabilita questa o altra/e porte??? sul Win2k pro file system NTFS??? sicuramente sarà una caz***a, ma non sò la procedura esatta!!!

Grazie in anticipo

[piero64]

forse dico una **** ma sull'unica macchina che non c'è sta benedetta 12345 è l'unica a non essere configurata con l'antivirus!!!! potrebbe essere???

[xdesign]

Se ti connetti a quella porta, cosa ti dice?
Può darsi che sia effettivamente utilizzata dall'antivirus per qualche processo.
E' in ascolto, oppure connessa a qualche indirizzo?
Se installi un firewall su uno dei pc in questione, puoi vedere in che momento viene utilizzata quella porta (ti consiglio il Norton Personal firewall che trovi nel sito http://www.symantec.com )