none
Сообщение в журнале безопасности: "Брандмауэр Windows обнаружил приложение, прослушивающее входящий трафик." RRS feed

  • Общие обсуждения

  • Брандмауэр Windows обнаружил приложение, прослушивающее входящий трафик.

     

     

    В журнале  событий в  безопасности периодически появляется сообщение с кодом 861

     

    Брандмауэр Windows обнаружил приложение, прослушивающее входящий трафик.

     

    Имя: -

    Путь: C:\WINDOWS\system32\svchost.exe

    Код процесса: 788

    Учетная запись пользователя: NETWORK SERVICE

    Домен пользователя: NT AUTHORITY

    Служба: Да

    RPC-сервер: Нет

    IP-версия: IPv4

    IP-протокол: UDP

    Номер порта: 53132

    Разрешено: Нет

    Пользователь извещен: Нет

     

    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

     

    Сообщений обычно несколько штук подряд, разница только в Номере порта.

    Порты всегда разные, где то от 50000 и далее.

    Хотелось бы узнать зачем  svchost.exe начинает периодически прослушивать эти самые порты.

    Вирусов и всякой другой вредной гадости нет (на 99,99%). Все это происходит на windows 2003 Server R2 SP2 со всеми фиксами.

     

    8 декабря 2009 г. 17:47

Все ответы

  • Скорей всего ничего страшного нет и это обычные широковещательные запросы. Этот диапазон порт например может быть использован Office Communication Server.
    8 декабря 2009 г. 18:14
  • Событие 861 возникает, если процесс пытается создать "слушающий" сокет (для приема входящих сообщений), а в правилах брандмауэра нет соответствующего исключения.

    В определении "виновника" Вам помогут утилиты "tasklist" (с ключем "svc" отобразит всех эксплуататоров svchost), а утилита "netstat" (с ключами "-a -o -n") покажет идентификаторы "слушающих" определенные порты процессов.


    Просмотрите свои правила в брандмауэре. И либо создайте исключение для сторонней службы, либо верните настройки по умолчанию.

    Вам также могут быть полезными сведения из следующей статьи ("How to configure RPC dynamic port allocation to work with firewalls"): http://support.microsoft.com/default.aspx?scid=kb;en-us;154596.

    8 декабря 2009 г. 18:51
    Отвечающий
  • Посмотрел точнее по коду процесса ,это оказалась служба DNS Client.

     

    Создать правило дя фаерволла добавив просто в исключения  C:\WINDOWS\system32\svchost.exe не выходит, т.к. сам фаервалл этого не дает сделать (да и не думаю, что это положительно скажется на безопасности), добавлять по портам тоже не видится возможным, т.к. порты всегда разные и разброс очень большой и вернуть по умолчанию тоже нельзя… т.к. страдает безопасность… И что остается делать???

    Может подскажет кто,  зачем служба DNS Client периодически создает этот "слушающий" сокет и если он блокируется фаерволлом, то выходит что, что то не работает???

    8 декабря 2009 г. 19:22
  • Если верить этой статье
    http://technet.microsoft.com/en-us/library/cc772695(WS.10).aspx
    то службе DNS Client не требуется дополнительная настройка firewall. Вы уверены что это именно эта служба слушает данные порты?

    8 декабря 2009 г. 19:49
  • Вы уверены, что именно служба "DNS Client" ("dnscache") "слушает" порт, т.е. открывает сокет со статусом "Listening"?.. Этого быть не должно!

    А что за номер порта (ТСP, подозреваю) слушается?..
    8 декабря 2009 г. 20:01
    Отвечающий
  • Запускаю tasklist /svc, нахожу svchost.exe нужным PID 788, смотрю что за служба вижу Dnscache, больше ни каких служб на этом svchost.exe не болтается.
    9 декабря 2009 г. 15:09
  • И именно у этого PID Вы видите "Listening" в выводе "netstat"?..

    Проведите проверку системных файлов ("SFC"). Посмотрите, какой размер и хэш имеет у Вас библиотека "dnsrslvr.dll".

    9 декабря 2009 г. 15:43
    Отвечающий
  • И именно у этого PID Вы видите "Listening" в выводе "netstat"?..

    Проведите проверку системных файлов ("SFC"). Посмотрите, какой размер и хэш имеет у Вас библиотека "dnsrslvr.dll".


    В netstat я увидеть этого не могу, т.к. служба встает на прослушку только периодически и этот момент я уловить не могу... в другие моменты по  netstat от этого процесса ни какой сетевой активности не видать...

    Думаю, если вы у себя включите Аудит отслеживания процессов и у вас будет  включен встроенный виндусовый фаервалл, то вы тоже увидите это сообщение…

    9 декабря 2009 г. 16:31