fechando portas TCP abertas no WinXP SP3

1

Devo confessar que não tenho estado muito preocupado com a segurança nos últimos anos, e acabei de fazer uma varredura NMAP do meu computador para ver como estava indo. Os resultados me surpreenderam. Havia literalmente milhares de portas abertas, e a maioria era para processos que eu nunca utilizava, e alguns deles pareciam rootkits / backdoors (como o processo bigbrother rodando na porta 1984), então eu queria saber se havia alguma maneira de fechar abram portas abertas com o Windows ou o DOS, ou eu tenho que usar um utilitário, se houver um. Obrigado

    
por Nate Koppenhaver 16.03.2011 / 19:44

3 respostas

2

Se houver muitas portas abertas, você terá que descobrir o que está abrindo. Você também precisa entender para que serve (os navegadores costumam ter dezenas e dezenas de portas abertas, mas isso não é um problema, por si só).

Para começar, execute TCPView ou CurrPorts para obter informações sobre portas abertas. Classifique na coluna do processo e veja quais programas têm portas abertas. Se você tiver um navegador aberto, feche-o e aguarde até que as portas sejam fechadas para reduzir a confusão. (Quando uma porta é fechada ou um programa termina, ela permanece na lista por um tempo no estado TIME_WAIT em (System Process) . (Não é preciso dizer que todo e qualquer programa P2P precisará estar próximo, pois eles terão < strong> muito de portas abertas, assim, bagunçando a tela como um louco.)

O que você particularmente quer procurar é conexões que estão OUVINDO porque são servidores.

Veja quais outros programas abrem portas e fecham tudo o que é legítimo, ou seja, um programa que você conscientemente executa e conhece usa a Internet como programas de bate-papo e outros.

Depois de reduzir as portas para um número menor, veja o que resta. Você provavelmente terá um mínimo de SVCHOST.EXE instâncias no mínimo.

Se você ainda tem muito, considere a possibilidade de executar alguns detectores / limpadores de malware caso haja uma infecção. (Existem listas de programas recomendados aqui.)

Em seguida, você deseja fechar os específicos para NIC. Abra Conexões de Rede no Painel de Controle, clique duas vezes no adaptador de rede, depois em Propriedades, clique duas vezes em TCP / IP, depois em Avançado e, finalmente, na guia WINS. Aqui você pode optar por desativar o NetBIOS, que fecharia outra porta. Se você não tiver certeza de que precisa, experimente, pois poderá simplesmente restaurá-lo se tiver problemas com sua conexão com a Internet.

Você também pode obter o Windows Worms Doors Cleaner para exibir portas e usá-lo para fechar vários alto perfil.

Embora você esteja fortalecendo o Windows XP, é melhor você ter XP-Antispy ele ajudará a desativar ou alterar várias opções para tornar o Windows menos "desleixado", por assim dizer.

Neste ponto, se você ainda tiver portas abertas, depende de quais portas elas são e de que processo elas são. Eles podem outro programa conectado à Internet que você tinha esquecido, eles poderiam ser do sistema, ou eles poderiam ser malware. Você precisará listá-los e / ou pesquisá-los para obter mais informações.

Se você quiser, você também pode monitorar as conexões com um sniffer como SMSniff , Monitor de rede ou WireShark para visualizar o conteúdo dos pacotes para ver o que realmente está acontecendo.

(Depois de ter seu sistema resolvido, considere adquirir um firewall de software ou um roteador com a funcionalidade de firewall - a solução preferida - para evitar problemas futuros.)

    
por 16.03.2011 / 20:23
1
  • Você digitalizou localhost ?

    Alguns programas usam TCP para comunicações entre processos ; as portas que eles escutam só são acessíveis a partir do seu próprio computador (por exemplo, 127.0.0.1 e ::1 ) e não pela rede. Eles estão seguros.

  • Você tem um firewall ativado?

    O firewall incorporado no Windows XP SP3 é muito eficaz no bloqueio de conexões de entrada para portas indesejadas. Inicie firewall.cpl e ative-o.

  • Você pode comparar a lista com a fornecida, por exemplo, por currports ou netstat -ano | find "LISTENING" ?

  • nmap não sabe o que exatamente está sendo executado em tcp / 1984. Acontece que o "Big Brother" foi o primeiro programa amplamente usado a usar esta porta por padrão, e obteve uma entrada no arquivo services do nmap. Na realidade, pode ser qualquer coisa nessa porta.

    Experimente o recurso de detecção de protocolo em nmap -sV ou anote os IDs de processo exibidos por CurrPorts / netstat e localize-os no Process Explorer. Veja abaixo.

  • A maneira de desligar uma porta aberta é fechar o programa que está escutando.

    Process Explorer e / ou CurrPorts pode ajudá-lo com isso.

  • O DOS é um sistema operacional completamente separado . Nem sequer tem TCP / IP. Você não pode desligar processos do Windows a partir do DOS. Se você quis dizer o "Prompt de comando", tenha em mente que é 100% do Windows.

por 16.03.2011 / 20:23
0

Você deseja instalar um firewall (não use apenas o que foi incorporado ao Windows) e configure-o para bloquear todas as conexões de entrada que você não iniciou. Zonealarm ou Comodo seria uma boa escolha.

No entanto, se o seu computador já tiver suspeitas de estar enraizado, você pode reformatar, corrigir completamente e configurar o firewall, para garantir que qualquer malware adorável que você tenha por perto não esteja se esgueirando firewall.

    
por 16.03.2011 / 20:22