Norton firewall port 1025

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Messagepar QuIQueKoi » 08 Nov 2003 11:14

Bijour ! <BR> <BR>Suis nouveau avec un ptit pb. Je possede Norton Firewall 2003 (on ne glousse pas!) et ce dernier passe sans pb le test que j'ai efféctué sur : <!-- BBCode auto-link start --><a href="http://check.sdv.fr:3658/cgi/scan?" target="_blank">http://check.sdv.fr:3658/cgi/scan?</a><!-- BBCode auto-link end --> sauf.... sauf que je ce dernier m'indique avoir le port 1025 tcp ouvert (port du troyens remote storm je crois...) bref j'ai crée une nouvelle regle sur mon firewall et je relance le test... et le port est toujours ouvert : <BR> <BR>Résultat du scan (effectué en 165 secondes): <BR> <BR> Votre ip 81.248.238.123 (AMontpellier-104-1-23-123.w81-248.abo.wanadoo.fr) <BR>Votre systéme Windows XP <BR>Liste des ports visibles: <BR>Nom Status Numero Information <BR>listen ouvert 1025/tcp listener RFS remote_file_sharing <BR> <BR>Conclusion: <BR> <BR>1 port semble ouvert sur votre machine. <BR>Verifiez votre securité. <BR> <BR>chuis perplexe.... <IMG SRC="images/smiles/icon_help.gif">
Avatar de l’utilisateur
QuIQueKoi
Matelot
Matelot
 
Messages: 2
Inscrit le: 08 Nov 2003 01:00

Messagepar _-_Phenix_-_ » 15 Nov 2003 03:48

c pas le port IIs par hasard ? si c bien ca utilise IIs lockdown. <BR> <BR>++
No Sign
Avatar de l’utilisateur
_-_Phenix_-_
Matelot
Matelot
 
Messages: 4
Inscrit le: 09 Nov 2003 01:00

Messagepar micjack » 15 Nov 2003 23:23

En fait, ce qui ce passe c'est que lorsque tu te connect a internet il y a des ports qui <BR>s 'ouvrent dynamiquement en ecoutes au dessus des 1024, le 1025 est l'un de ces ports qui s'ouvre en premier. <BR> <BR>Pour exemple, des que tu connect a Internet cela peut ressembler a ceci, <BR> <BR>Proto Adresse locale Adresse distante Stat <BR> <BR>TCP localhost:1025 0.0.0.0:0 LISTENING <BR>TCP localhost:1026 0.0.0.0:0 LISTENING <BR>TCP localhost:1025 *:* <BR>TCP localhost:1026 *:* <BR> <BR> <BR>Par la suite en te connectant sur un ou plusieurs sites, ca peut ressembler a cela, <BR> <BR>TCP localhost:1025 xxx.xxx.xxx.xxx:80 ESTABLISHED <BR>TCP localhost:1026 xxx.xxx.xxx.xxx:80 ESTABLISHED <BR>TCP localhost:1028 0.0.0.0:0 LISTENING <BR>TCP localhost:1029 0.0.0.0:0 LISTENING <BR>TCP localhost:1028 *:* <BR>TCP localhost:1029 *:* <BR> <BR> <BR># La suite de x est l'adresse IP ou tu t'es connecté. <BR> <BR>Si un trojan a ete referencé en utilisant le port 1025 et que tu fait un test au meme moment et ben il est normal qu'il te detect une alerte. <BR> <BR>Si tu surf un peu plus longtemps et que tu refait un test, il est possible <BR>qu'il te detecte autre chose. <BR> <BR>TCP localhost:1243 0.0.0.0:0 LISTENING <BR>TCP localhost:1243 *:* <BR>... <BR> <BR>Alors que le Port 1243 est le Trojan SubSeven. <BR> <BR>Enfin, pour en etre sur! est de refaire ton test apres avoir surfé un petit moment, car a un moment donné ton port 1025 va forcement etre en CLOSE_WAIT. <BR>Sinon il fort possible que ce soit un Trojan. <BR> <BR> <BR> <BR>
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar QuIQueKoi » 16 Nov 2003 21:44

Je vais essayer cela !! merci de vos réponse !!! <BR> <BR>
Avatar de l’utilisateur
QuIQueKoi
Matelot
Matelot
 
Messages: 2
Inscrit le: 08 Nov 2003 01:00


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron