none
porta tcp 81 RRS feed

  • Domanda

  • Ho il seguente problema:

    1) GFI languard mi rileva la porta TCP 81 del DC server come aperta (dicendo che si tratta del trojan Asylus, ma credo che sia solo una risposta preconfezionata per quando si trova quella porta aperta).

    2) Effettivamente provando a collegarsi in telnet sembra che qualcosa sia in ascolto su quella porta

    3) Nessun programma (ne Netstat ne altri provati) riportano quella porta come aperta

    Qualcuno ha un'idea del perchè e di cosa si possa trattare?

    mercoledì 9 marzo 2011 10:43

Tutte le risposte

  • posta il risultato di un

    netstat -ao

     


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 9 marzo 2011 11:44
    Moderatore
  • Pigiando alacremente sui tastini, gabriele.n scrisse:

    Qualcuno ha un'idea del perchè e di cosa si possa trattare?

    http://technet.microsoft.com/en-us/sysinternals/bb897437


        Luca Amicone

    mercoledì 9 marzo 2011 11:44
  • TCPview è uno dei tanti programmi provati che NON mostrano la porta come aperta...
    mercoledì 9 marzo 2011 12:01
  • mi sento un po stupido, ma come si allega un file? se incollo il risultato non ne usciamo più, il server è un DC quindi il servizio DNS apre una marea di porte UDP (dicono che sia normale su Win2003)...

    Che faccio?

    mercoledì 9 marzo 2011 12:04
  • posta il risultato di un

    netstat -ao

     


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org


    ho fernato il servizio DNS per un attimo, il risultato di netstat -aon è:


    Connessioni attive

      Proto  Indirizzo locale          Indirizzo esterno        Stato           PID
      TCP    0.0.0.0:42             0.0.0.0:0              LISTENING       2384
      TCP    0.0.0.0:80             0.0.0.0:0              LISTENING       4
      TCP    0.0.0.0:88             0.0.0.0:0              LISTENING       444
      TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       780
      TCP    0.0.0.0:389            0.0.0.0:0              LISTENING       444
      TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
      TCP    0.0.0.0:464            0.0.0.0:0              LISTENING       444
      TCP    0.0.0.0:593            0.0.0.0:0              LISTENING       780
      TCP    0.0.0.0:636            0.0.0.0:0              LISTENING       444
      TCP    0.0.0.0:1026           0.0.0.0:0              LISTENING       444
      TCP    0.0.0.0:1027           0.0.0.0:0              LISTENING       444
      TCP    0.0.0.0:1061           0.0.0.0:0              LISTENING       2080
      TCP    0.0.0.0:1083           0.0.0.0:0              LISTENING       2384
      TCP    0.0.0.0:1433           0.0.0.0:0              LISTENING       2052
      TCP    0.0.0.0:3268           0.0.0.0:0              LISTENING       444
      TCP    0.0.0.0:3269           0.0.0.0:0              LISTENING       444
      TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING       3168
      TCP    0.0.0.0:6129           0.0.0.0:0              LISTENING       1836
      TCP    0.0.0.0:10000          0.0.0.0:0              LISTENING       1600
      TCP    0.0.0.0:37061          0.0.0.0:0              LISTENING       2360
      TCP    0.0.0.0:47001          0.0.0.0:0              LISTENING       4
      TCP    10.26.116.5:135        10.26.116.5:2319       ESTABLISHED     780
      TCP    10.26.116.5:135        10.26.116.126:58467    ESTABLISHED     780
      TCP    10.26.116.5:139        0.0.0.0:0              LISTENING       4
      TCP    10.26.116.5:139        10.26.116.92:3253      ESTABLISHED     4
      TCP    10.26.116.5:389        10.26.116.5:4922       ESTABLISHED     444
      TCP    10.26.116.5:389        10.26.116.235:4936     ESTABLISHED     444
      TCP    10.26.116.5:445        10.26.116.119:49215    ESTABLISHED     4
      TCP    10.26.116.5:445        10.26.116.120:49206    ESTABLISHED     4
      TCP    10.26.116.5:445        10.26.116.121:49196    ESTABLISHED     4
      TCP    10.26.116.5:445        10.26.116.123:49512    ESTABLISHED     4
      TCP    10.26.116.5:445        10.26.116.126:58474    ESTABLISHED     4
      TCP    10.26.116.5:445        10.26.116.131:56937    ESTABLISHED     4
      TCP    10.26.116.5:445        10.26.116.143:54868    ESTABLISHED     4
      TCP    10.26.116.5:445        10.26.116.147:50822    ESTABLISHED     4
      TCP    10.26.116.5:445        10.26.116.237:4197     ESTABLISHED     4
      TCP    10.26.116.5:445        10.26.116.249:32802    ESTABLISHED     4
      TCP    10.26.116.5:445        10.26.140.236:4954     ESTABLISHED     4
      TCP    10.26.116.5:1026       10.26.116.5:1155       ESTABLISHED     444
      TCP    10.26.116.5:1026       10.26.116.5:1904       ESTABLISHED     444
      TCP    10.26.116.5:1026       10.26.116.5:2318       ESTABLISHED     444
      TCP    10.26.116.5:1026       10.26.116.5:2320       ESTABLISHED     444
      TCP    10.26.116.5:1026       10.26.116.126:58468    ESTABLISHED     444
      TCP    10.26.116.5:1026       10.26.116.126:58469    ESTABLISHED     444
      TCP    10.26.116.5:1155       10.26.116.5:1026       ESTABLISHED     444
      TCP    10.26.116.5:1433       10.26.116.9:3434       ESTABLISHED     2052
      TCP    10.26.116.5:1433       10.26.116.9:3436       ESTABLISHED     2052
      TCP    10.26.116.5:1904       10.26.116.5:1026       ESTABLISHED     2080
      TCP    10.26.116.5:2127       10.26.116.15:49157     ESTABLISHED     444
      TCP    10.26.116.5:2259       10.26.116.7:1025       ESTABLISHED     444
      TCP    10.26.116.5:2296       10.26.116.5:135        TIME_WAIT       0
      TCP    10.26.116.5:2297       10.26.116.5:1026       TIME_WAIT       0
      TCP    10.26.116.5:2301       10.26.116.15:49157     TIME_WAIT       0
      TCP    10.26.116.5:2317       10.26.116.5:135        TIME_WAIT       0
      TCP    10.26.116.5:2318       10.26.116.5:1026       ESTABLISHED     1744
      TCP    10.26.116.5:2319       10.26.116.5:135        ESTABLISHED     444
      TCP    10.26.116.5:2320       10.26.116.5:1026       ESTABLISHED     444
      TCP    10.26.116.5:3389       10.26.116.244:1750     ESTABLISHED     3168
      TCP    10.26.116.5:4922       10.26.116.5:389        ESTABLISHED     2080
      TCP    10.26.116.8:139        0.0.0.0:0              LISTENING       4
      TCP    10.26.116.8:139        10.26.116.140:1415     ESTABLISHED     4
      TCP    10.26.116.8:389        10.26.116.9:1654       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.9:1655       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.9:1656       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.9:1657       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.9:1659       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.9:1660       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.9:1661       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.9:1662       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.9:1663       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.9:1664       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.9:1665       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.9:1666       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.9:1668       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.9:1669       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.9:1670       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.9:1671       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.9:1673       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.9:1674       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.9:1675       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.9:1677       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.9:1679       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.9:1680       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.9:1681       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.9:1682       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.9:1683       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.9:1684       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.9:1685       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.9:1686       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.9:1687       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.9:1688       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.9:1689       TIME_WAIT       0
      TCP    10.26.116.8:389        10.26.116.249:53028    ESTABLISHED     444
      TCP    10.26.116.8:389        10.26.116.250:57445    ESTABLISHED     444
      TCP    10.26.116.8:445        10.26.116.118:49426    ESTABLISHED     4
      TCP    10.26.116.8:445        10.26.116.122:51750    ESTABLISHED     4
      TCP    10.26.116.8:445        10.26.116.150:49909    ESTABLISHED     4
      TCP    10.26.116.8:445        10.26.116.153:51895    ESTABLISHED     4
      TCP    10.26.116.8:445        10.26.116.155:49464    ESTABLISHED     4
      TCP    10.26.116.8:445        10.26.116.160:51510    ESTABLISHED     4
      TCP    10.26.116.8:445        10.26.116.250:52612    ESTABLISHED     4
      TCP    10.26.116.8:1026       10.26.116.7:1415       ESTABLISHED     444
      TCP    10.26.116.8:1026       10.26.116.14:62477     ESTABLISHED     444
      TCP    10.26.116.8:1026       10.26.116.14:63720     ESTABLISHED     444
      TCP    10.26.116.8:1433       10.26.116.9:1290       ESTABLISHED     2052
      TCP    10.26.116.8:1433       10.26.116.9:1340       ESTABLISHED     2052
      TCP    10.26.116.8:1433       10.26.116.9:1371       ESTABLISHED     2052
      TCP    10.26.116.8:1433       10.26.116.9:1396       ESTABLISHED     2052
      TCP    10.26.116.8:1433       10.26.116.9:1402       ESTABLISHED     2052
      TCP    10.26.116.8:1433       10.26.116.9:4779       ESTABLISHED     2052
      TCP    127.0.0.1:389          127.0.0.1:1055         ESTABLISHED     444
      TCP    127.0.0.1:389          127.0.0.1:1056         ESTABLISHED     444
      TCP    127.0.0.1:389          127.0.0.1:1057         ESTABLISHED     444
      TCP    127.0.0.1:1055         127.0.0.1:389          ESTABLISHED     2012
      TCP    127.0.0.1:1056         127.0.0.1:389          ESTABLISHED     2012
      TCP    127.0.0.1:1057         127.0.0.1:389          ESTABLISHED     2012
      TCP    127.0.0.1:1090         0.0.0.0:0              LISTENING       3488
      TCP    127.0.0.1:1430         127.0.0.1:6129         ESTABLISHED     2272
      TCP    127.0.0.1:6129         127.0.0.1:1430         ESTABLISHED     1836
      TCP    127.0.0.1:6999         0.0.0.0:0              LISTENING       4032
      TCP    127.0.0.1:42424        0.0.0.0:0              LISTENING       1580
      UDP    0.0.0.0:42             *:*                                    2384
      UDP    0.0.0.0:445            *:*                                    4
      UDP    0.0.0.0:500            *:*                                    444
      UDP    0.0.0.0:1434           *:*                                    2052
      UDP    0.0.0.0:4500           *:*                                    444
      UDP    10.26.116.5:88         *:*                                    444
      UDP    10.26.116.5:123        *:*                                    884
      UDP    10.26.116.5:137        *:*                                    4
      UDP    10.26.116.5:138        *:*                                    4
      UDP    10.26.116.5:389        *:*                                    444
      UDP    10.26.116.5:464        *:*                                    444
      UDP    10.26.116.8:88         *:*                                    444
      UDP    10.26.116.8:123        *:*                                    884
      UDP    10.26.116.8:137        *:*                                    4
      UDP    10.26.116.8:138        *:*                                    4
      UDP    10.26.116.8:389        *:*                                    444
      UDP    10.26.116.8:464        *:*                                    444
      UDP    127.0.0.1:123          *:*                                    884
      UDP    127.0.0.1:1030         *:*                                    444
      UDP    127.0.0.1:1054         *:*                                    2012
      UDP    127.0.0.1:1066         *:*                                    2080
      UDP    127.0.0.1:1082         *:*                                    2384
      UDP    127.0.0.1:1085         *:*                                    384
      UDP    127.0.0.1:1138         *:*                                    1744
      UDP    127.0.0.1:1421         *:*                                    5612
      UDP    127.0.0.1:2166         *:*                                    1348

     

     

    spero possa servire, grazie...

    mercoledì 9 marzo 2011 12:36
  • mandamelo all'indirizzo mail in firma.
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 9 marzo 2011 12:39
    Moderatore
  • Dal NETSTAT che hai postato, la porta 81 non risulta attiva.

    Potresti provare anche con TCPVIEW (magari a DNS attivo) ma ho l'impressione che tu stia dando la caccia ad un fantasma.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    mercoledì 9 marzo 2011 12:47
  • mandamelo all'indirizzo mail in firma.
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org

    arrivato?
    mercoledì 9 marzo 2011 12:48
  • Dal NETSTAT che hai postato, la porta 81 non risulta attiva.

    Potresti provare anche con TCPVIEW (magari a DNS attivo) ma ho l'impressione che tu stia dando la caccia ad un fantasma.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com

    infatti nessun programma la vede aperta... ma allora perchè Languard la vede aperta e se faccio un telnet su quella porta non va in timeout?
    mercoledì 9 marzo 2011 12:58
  • sto cercando se esiste un bug di gfi languard che possa dare quel falso positivo...
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 9 marzo 2011 13:02
    Moderatore
  • sto cercando se esiste un bug di gfi languard che possa dare quel falso positivo...
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org

    ma telnet?
    mercoledì 9 marzo 2011 13:10
  • il file è arrivato ma non mi dice niente.

    porta un po' di pazienza...


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 9 marzo 2011 13:44
    Moderatore
  • nel frattempo prova a leggerti questo thread

    http://www.ipcops.com/phpbb3/viewtopic.php?f=5&t=553&view=unread


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 9 marzo 2011 14:12
    Moderatore
  • nel frattempo prova a leggerti questo thread

    http://www.ipcops.com/phpbb3/viewtopic.php?f=5&t=553&view=unread


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org

    ho dato una guardata veloce, però non mi fisserei su GFI, per come lo ho usato io è solo un programma che controlla quali porte gli rispondono (non ho attivato le funzioni per la verifica delle patch e gli aggiornamenti installati). Il mio problema è capire perchè la porta 81 ha risposto (e risponde ai telnet) e invece non risulta dal netstat e simili (che mi permetterebbero di capire quale programma è in ascolto sulla porta)
    mercoledì 9 marzo 2011 14:33
  • Se sei infetto ed hanno utilizzato un root kit in ASM non lo vedi ne da netstat ne dai processi ci sono delle tecniche per nascondere le connessioni in uscita e l'injction nei processi.... secondo me i test che puoi fare sono:

    - controllo con tcpview o similari per vedere se le connessioni sono attive

    - verificare se il processo iexplorer.exe è attivo senza specifico motivo

    - controllo di attività anomala dell cpu non essendo sotto carico (i rat tendono ad aumentarene il carico)

    - facci girare un anti malware pserando che lo rilevi utilizza http://www.malwarebytes.org/

     

    p.s. che antivirus hai installato sul server?



    kerb5 non avevo visto il tuo post precedente... ora studio quello che mi dici e poi faccio un po di prove... a venerdì per i risultati. Nel frattempo se qualcun'altro ha idee è il benvenuto.

     

    Per il momento grazie a tutti e buona serata...

    Gabriele

    • Modificato Anca Popa giovedì 17 marzo 2011 14:28 eliminazione link proibito
    mercoledì 9 marzo 2011 15:04
  • Se sei infetto ed hanno utilizzato un root kit in ASM non lo vedi ne da netstat ne dai processi ci sono delle tecniche per nascondere le connessioni in uscita e l'injction nei processi.... secondo me i test che puoi fare sono:

    - controllo con tcpview o similari per vedere se le connessioni sono attive

    - verificare se il processo iexplorer.exe è attivo senza specifico motivo

    - controllo di attività anomala dell cpu non essendo sotto carico (i rat tendono ad aumentarene il carico)

    - facci girare un anti malware pserando che lo rilevi utilizza http://www.malwarebytes.org/

     

    p.s. che antivirus hai installato sul server?



    niente di niente...

    tcpview non vede che la porta è aperta, iexplorer.exe (unico browser installato) non è tra i processi aperti, carico cpu nella norma.

    Il malware scaricato da dove mi hai suggerito a trovato qualcosa ma non in memoria, solo un paio di files infetti che ho eliminato, ma non è cambiato nulla.

    L'antivirus installato è il Trend Micro.

     

    Resto in attesa di idee...

    • Modificato Anca Popa giovedì 17 marzo 2011 14:27 eliminazione link proibito
    lunedì 14 marzo 2011 10:00
  • Hai fatto 30, fai 31: esegui una scansione con Avira Antivir System Disk che trovi qui http://www.avira.com/en/support-download-avira-antivir-rescue-system
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 14 marzo 2011 12:14
    Moderatore
  • io ancora non ho risolto niente... nessuno degli AV ha trovato niente di significativo... altre idee
    giovedì 24 marzo 2011 14:13
  • Stando a quello che leggo a questo indirizzo

    http://www.iana.org/assignments/port-numbers

    si tratta di una porta non assegnata e rimossa da un po' di tempo.
    Potresti provare a scaricare ed installare Microsoft Network Monitor (lo trovi all'indirizzo http://www.microsoft.com/downloads/en/details.aspx?FamilyID=983b941d-06cb-4658-b7f6-3088333d062f&displaylang=en): nella guida in linea, ricerca "ports" e trovi le informazioni necessarie per procedere al rilevamento del traffico atraverso una specifica porta; questo potrebbe fornire qualche indicazione in più.

    Tienici aggiornati!

    Ciao.


    Luigi Bruno
    mercoledì 30 marzo 2011 11:59
  • Stando a quello che leggo a questo indirizzo

    http://www.iana.org/assignments/port-numbers

    si tratta di una porta non assegnata e rimossa da un po' di tempo.

    il fatto che lo IANA dichiari che una certa porta non sia utilizzata come "standard" per qualche servizio non significa che non si possa mettere in ascolto su quella porta un servizio, significa solo che metter un servizio in ascolto sul quella porta non costituisce uno "standard".
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    mercoledì 30 marzo 2011 12:14
    Moderatore