svchost/epmap

[whee]

Witam, jestem uzytkownikiem neostrady + sygate personal firewall + avast. Wczoraj po formacie (jak i przed) svchost laczyl sie ze strona ms by pobrac poprawki (domyslnie musze mu zezwolic na polaczenie, inne programy typu skype, ff etc lacza sie same). Po chwili dostalem komunikat od fw, ze zazadano zdalnego polaczenia z komputera w tym samym zakresie ip ('moim' zakresie ip). (svchost, port 135).

Kod:

File Version :		5.1.2600.2180
File Description :	Generic Host Process for Win32 Services (svchost.exe)
File Path :		C:\WINDOWS\system32\svchost.exe
Process ID :		0x3B4 (Heximal) 948 (Decimal)

Connection origin :	remote initiated
Protocol :		TCP
Local Address : 	83.28.38.132
Local Port :		135 (EPMAP - Location service - Dynamically assign ports for RPC)
Remote Name :			
Remote Address :	83.28.117.165
Remote Port : 		4757 

Ethernet packet details:
Ethernet II (Packet Length: 78)
	Destination: 	00-00-01-00-00-00
	Source: 	01-00-20-00-01-00
Type: IP (0x0800)
Internet Protocol
	Version: 4
	Header Length: 20 bytes
	Flags:
		.1.. = Don't fragment: Set
		..0. = More fragments: Not set
	Fragment offset:0
	Time to live: 45
	Protocol: 0x6 (TCP - Transmission Control Protocol)
	Header checksum: 0xea1 (Correct)
	Source: 83.28.117.165
	Destination: 83.28.38.146
Transmission Control Protocol (TCP)
	Source port: 4757
	Destination port: 135
	Sequence number: 881975536
	Acknowledgment number: 0
	Header length: 44
	Flags: 
		0... .... = Congestion Window Reduce (CWR): Not set
		.0.. .... = ECN-Echo: Not set
		..0. .... = Urgent: Not set
		...0 .... = Acknowledgment: Not set
		.... 0... = Push: Not set
		.... .0.. = Reset: Not set
		.... ..1. = Syn: Set
		.... ...0 = Fin: Not set
	Checksum: 0xafc (Correct)
	Data (0 Bytes)

Binary dump of the packet:
0000:  00 00 01 00 00 00 01 00 : 20 00 01 00 08 00 45 00 | ........ .....E.
0010:  00 40 6A 3A 40 00 2D 06 : A1 0E 53 1C 75 A5 53 1C | .@j:@.-...S.u.S.
0020:  26 92 12 95 00 87 34 91 : E0 F0 00 00 00 00 B0 02 | &.....4.........
0030:  D2 00 FC 0A 00 00 02 04 : 05 9E 01 03 03 03 01 01 | ................

Przy kazdym restarcie inne ip z 'mojego' zakresu probuje sie laczyc.
I tu pytanie: z czym to sie je, do czego sluzy etc. No i najwazniejsze, czy moze to byc uzyte przeciw mnie Cos mi google podpowiedzialo, ze a to jest jakas usluga ( ? ) inne, ze wirusy/trojany/rootkity z niego korzystaja . Jezeli naprawde to usluga ... to po co jest wywolywana ... i czemu z tego zakresu (czytaj z neostrady, zawsze inny ip)

[ble34]

ogólnie należy chyba do grupy protów dość niebezpiecznych spróbój go wyłączyć wiem ze jedna złusug za które odpowiada ten port to posłaniec
a czemu msasz próbe nawiązania połaczenia z tym portem przykazdym restarcie to sczerze mówiąc niemam pojecia ale np port 138 wysyła co jakis czas na adres rozgłoszeniowy rózne pierdoły wię cmoze 135 robi coś w podobie a może masz robala niewiem port popularny więc poszukaj w necie

[whee]

Zablokowalem 135 i 445 tcp/udp

Komunikat juz nie wyskakuje, sprawdze jakis online'owym skanerem i moze skusze sie by poblokowac jeszcze 136 - 139 tcp/udp.
Anyway, ma ktos jeszcze jakies sugestie jaki port warto zamknac ?

[markossx]

windows otwiera różne porty, głównie po to by korzystać z protokołu SMB,
udostępnianie plików i takie tam, do tego jest jeszcze coś takiego jak RPC
- musisz poczytać jeśli chcesz wiedzieć dokładnie z czym to się je

zablokuj:
135
137
138
139
445
wyłącz też NetBiosa przez TCP/IP - będzie ok.
chyba, że udostępniasz jakieś zasoby z windy dla innych kompów wtedy musisz to pootwierać bo nie będzie ci chodzić.
po uruchomieniu kompa wybadaj połączenia za pomocą netstat -ano
ten ci pokaże dokładnie co z czym sie łączy w danym momencie.

pzdr.

[ble34]

wyłącz wszystko uruchom pasjansa wciśnij ctrl+alt+f13
a potem wyłącz komputer i połóż się spać