fermer un port

[pitbac23]

hello a tous je suis victime

 

d'un netsend affolant 30 pop en 5 minutes

 

j'en peu plus spybot adaware activation de l'ICF windows xp

 

netstat -ano me donne les port 135 listening

 

et antitrojan me donne un blazer 5 sur le port 5000 svp aider moi

 

que dois je faire je ne veux pas installer de firewall c'etait juste un test l activation de ICF windows mais ca change rien

 

le services messenger est bien desactiver svp help me ainsi que les autre inutile

 

scan antivirus donne rien AVG et securiser donne rien non plus

Modifié le 5 septembre 2003 par pitbac23

[Greywolf]

le 5000 c'est l'UPnP de XP => http://grc.com/unpnp/unpnp.htm

 

pour fermer le 135, je crois qu'on en a beucoup parlé sur le forum ces derniers temps.

=> un aide-mémoire : http://www.hsc.fr/ressources/breves/min_sr...rv_res_win.html

 

c'est pas un net send qui vient du réseau local?

[pitbac23]

non ce n'est pas un net send reseaux

 

svp d'autre propos capte pas bien ton lien grey

[Invité tesgaz]

pour fermer le port 135

 

Par défaut, le portmapper RPC se met en écoute sur toutes les interfaces réseau.

 

Une valeur de la base de registre, "ListenOnInternet" permet de paramétrer si le

portmapper RPC se met en écoute sur toutes les interfaces ou non. Par défaut,

cette valeur n'existe pas et a une valeur implicite de "Y":

Création de la clé :

Clé : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\

Valeur : ListenOnInternet

Type: REG_SZ

Contenu : "Y" ou "N"

 

Lorsque ListenOnInternet contient "N", le port TCP 135 devient en écoute

uniquement sur les interfaces dont les index apparaissent dans la valeur Bind

.Le port 135 est ouvert par le service Remote Procedure Call (RpcSS) et il n'est pas possible de

le désactiver car il contient notamment le gestionnaire de services COM, utilisé

par les processus locaux du système.

 

Le port TCP 135 reste ouvert car il est utilisé pour recevoir les requêtes

d'activation à distance d'objets COM. Il existe un réglage global dans la base

de registres, permettant de désactiver DCOM :

Clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole

Valeur : EnableDCOM

Type: REG_SZ

Contenu : "Y" (pour activer) ou "N" (pour désactiver)

 

Lorsque DCOM est désactivé, l'infrastructure COM retourne le code d'erreur

E_ACCESSDENIED (0x80700005) lorsqu'il recoit des demandes distantes

d'activation. Par conséquent, l'exploitation des vulnérabilités sus-citées

n'aboutissent pas.

 

Désactiver DCOM ne ferme pas le port TCP 135. Pour le fermer, une

solution est de supprimer les séquences de protocoles RPC sur lesquels

DCOM ne doit plus être accessible. Dans notre cas, il suffit de désactiver la

séquence ncacn_ip_tcp, qui correspond au transport sur TCP/IP.

 

Sous Windows 2000, dcomcnfg affiche directement les propriétés DCOM du système

local et en particulier, l'onglet 'Default Protocols'. Sous Windows XP, dcomcnfg

lance une console MMC présentant trois noeuds. L'onglet 'Default Protocols'

apparaît dans les propriétés du noeud My Computer, sous le noeud Computer.

 

La liste présentée dans l'onglet 'Default Protocols' est stockée dans la valeur

de la base de registres suivante :

Clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc

Valeur : DCOM Protocols

Type : REG_MULTI_SZ

Données : ncacn_ip_tcp

Il est donc également possible d'éditer directement la base de registres et de

supprimer ncacn_ip_tcp de la valeur DCOM Protocols.

 

voila, vous pouvez maintenant faire un test avec une invite de commande:

 

tapez : netstat -ano pour XP / ou neststat -an pour 2000

le port 135 n'apparait plus

 

voila pour 135

[Gen]

Dis-moi tesgaz, cette astuce a très bien marché chez moi mais chez un pôte j'arrive à rien le 135 est toujours en écoute ... y'aurait-il quelque chose que j'aurais oublié qui n'est pas marqué ici ? (OS : Xp pro comme moi, sans SP1 comme moi)

[pitbac23]

j'ai fais une suggestion que je devais bloquer le port 135

 

mais est ce que ca changera mon probleme ?

 

par exemple j'a i4 pages ouvrant ca

 

Signed Program Download

 

The certificate for this program is valid.

A certificate contains information asserting that a specific software program is genuine. This ensures that no other program can assume the identity of the original program. Certificates are also dated when they are issued. When you try to download software, Internet Explorer verifies the information in the certificate and that the current date precedes the certificate's expiration date. If the information is not current and valid at the time of download, Internet Explorer can display a warning.

 

This program's publisher has obtained a certificate for this program from a recognized certificate issuer, so that the authenticity of this program can be verified.

Any software or component you install can potentially harm your computer.

To view details about the software, click the underlined program name in the dialog box. If the program name is not underlined, the publisher did not furnish an Internet address to obtain additional information.

Given what you know about this software, its publisher, and your computer, you must decide whether to proceed with installing and running this software. Additionally, if you trust this software publisher completely, you can choose to bypass this dialog box in the future for all software from this publisher that has certificates, and automatically install and run their software.

 

If, given this information, you still do not feel confident in installing this software, then click No.

et j'en ai des chiers comprend plus rien

 

 

j'ai entendu dire par simous que fermer le services DCOM+ causait enormement de probleme au niveau application et qu'une reinstallation complete du system devais etre fais

je ne retrouve plus le post mais il parlait de ca avec yakuza

Modifié le 5 septembre 2003 par pitbac23

[Invité tesgaz]

pour Gen,

 

en principe,

 

pour le 135, tout est là, j'en ai fermer sur 7 ou 8 PC à des copains,

jusqu'a present pas eu de probleme apres les tests le port 135 été bien fermé

 

 

pour Pitbac

j'ai entendu dire par simous que fermer le services DCOM+ causait enormement de probleme au niveau application et qu'une reinstallation complete du system devais etre fais

je ne retrouve plus le post mais il parlait de ca avec yakuza

 

 

Pitbac, tu melange tout, il a désactivé le service RPC dans les services, ce que je t'ai donné ne ferme que le port , pas le service !

Modifié le 5 septembre 2003 par tesgaz

[Gen]

Pour fermer le port 5000 c'est ici ... (je crois qu'il faut arrêter le Service de découverte SSDP ...

 

Tesgaz > Ben ouais la fermeture du TCP 135 a très bien marché chez moi pourtant ... mais là rien à faire ...

Modifié le 5 septembre 2003 par Gen

[Invité tesgaz]

Gen,

 

c'est à dire que j'ai fait la totale à chaque fois, comme indiqué sur le site de HCS qu'a donné Greywolf : http://www.hsc.fr/ressources/breves/min_sr...rv_res_win.html

 

est-ce que tu as fait pareil ?

[Gen]

Non en fait j'applique les 3 clés de registres que tu donnes dans ton astuce ... et comme ça ne marchait pas j'ai fait fermer les services en trop (tout ça par Msn ) puis je lui ai fait désactiver "NetBIOS avec TCP/IP" dans l'onglet WINS de sa connexion ... mais toujours rien ... mais je vais tenter de lui faire digérer la page entière de hsc (ce qui ne va pas être une mince affaire )...