Besoin regles look'nstop blocage tcp udp port 135 ?

Discussion in 'LnS French Forum' started by divine, Apr 3, 2004.

Thread Status:
Not open for further replies.
  1. divine

    divine Guest

    Bonjour à tous...
    Voilà, apres reparation, mon pc revient à la maison, mais avec les maj win xp en moins, et il a chopé le worm baster et autres du meme genre...J'arrive pas à charger le pack securité...
    Un copain m'a dit d'editer une nouvelle regle dans loo'nstop, (v.2-04 fr)mais j'y arrive pas , meme apres etre allée voir sur le site, c'est un peu du chinois...
    J'ai besoin d'une regle qui bloque les port tcp / udp 135 , dans les deux sens , pour toutes les applications...
    Si quelqu'un a ça quelque part en telechargement, vous me sauvez la vie...
    Merci à tous si vous passez par là..
    Le gros problem, c'est que j'arrive toujours pas à charger mes maj win xp sur le site crosoft, (ça marche pas quand je clique sur l'installation choisie...)ou avec mes cd room perso....j'ai ce message d'erreur: le programme d'installation n'a pas pu verifier l'intégrité du fichier "update.inf"-Assurez vous que le service de cryptographie est en cours d'excecution sur cet ordinateur
    Merci pour votre aide.
     
  2. fumaras

    fumaras Registered Member

    Joined:
    Mar 30, 2004
    Posts:
    24
    Salut divine,
    "Si quelqu'un a ça quelque part en telechargement, vous me sauvez la vie..."

    ( on se croirait dans les Matrix :D )
    Ok, je t'envois la séquence...

    Bon sérieusement :cool:,

    Si le worm blaster est déjà chez toi, ça te servira pas à grand chose de bloquer le port 135, il utilise d'autre port une fois installé pour faire ce qu'il a à faire...
    Ce que tu as réellement besoin, c'est d'éradiquer Blaster et de patcher ton système :

    Pour ça, CLIQUE ICI
    regarde dans la partie "éradiquer le virus" tout y est très bien expliqué.
    Suit dans l'ordre ce qu'il y a marqué (concernant le kit de désinfection, choisi Blaster de Symantec dans la liste).
    Le fait de vouloir télécharger/installer le patch sans avoir d'abord éradiquer Blaster donne le message d'erreur que tu as (ton problème est connu, il est provoqué par le virus Blaster)

    Quand au port 135 rassure toi, une fois que tu auras fait tout ça, il semble bien protégé par Look 'n' Stop avec les régles standar ;) (si tu veux mon jeux de régle regarde la réponse #3 de ce post CLIQUE ICI )

    PS:
    Dans ton post, le "et d'autres du même genre" est très vague, je pense, du moins j'espère pour toi que tu n'as que Blaster, de toute façon, je te conseille vivement d'installer un logicel antivirus ;)

    Fin de transmission :D
     
    Last edited by a moderator: Apr 12, 2004
  3. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Une fois ton PC clean, peut être que le petit programme suivant t'aidera :

    http://perso.wanadoo.fr/jugesoftware/firewallleaktester/eng/wwdc.htm

    il te permet de desactiver DCOM RPC qui ecoute sur le port 135 et que les vers comme MSBlast utilisent (cependant le port 135 restera ouvert mais les vers ne peuvent plus exploité DCOM qui est désactivé) et ensuite il te permet de desactiver RPC Locator qui ecoute sur le port 445, de nombreux vers passent par là egalement. Le port 445 se retrouvera fermé après l'operation.

    Si tu n'es pas sur un réseau local avec partage de fichiers dans le voisinage réseau, tu peut même desactiver NetBIOS :)

    A partir de là, même sans firewall (et stt avant de se connecter) tu es sécurisé, et une fois connecté tu ne crains plus ces vers.
    Ensuite tu as tout ton temps de configurer correctement ton firewall.

    En esperant que ca t'aide.

    gkweb.
     
  4. fumaras

    fumaras Registered Member

    Joined:
    Mar 30, 2004
    Posts:
    24
    merci gkweb pour cette réponse et pour ce programme,
    il m'a l'air bien efficase, grand bravo :) ;).

    J'ai quelques questions importantes qui s'y rapporte avec LnS :
    Quelqu'un qui n'utiliserait pas ton programme mais qui utiliserait LnS riquerait'il une attaque via ces ports ?
    Bien sûr LnS les protéges, mais ces ports sont lié à SVCHOST et comme il faut apparement lui donner l'accés (Generic Host Process)... est ce que ça passerait à travers le firewall ?

    Pas mal de processus lancé par windows via SVCHOST ont l'air de passer au dessus du firewall ou du moins d'autoriser des accés difficilement blocable (je vais dire repérable).
    Je me rapelle d'une histoire avec un des services du menu outils d'administration de windows XP qui laisser joyeusement transféré des données via le port 80 en sortie (ce service autorise l'utilisation de la bande réseau inactive) sans qu'aucun firewall (j'avais pas encore Lns, mais j'avais testé ZoneAlarm) ne bloque ce processus, seul une mise au repos forcé de ce service m'a permis d'arrêter ça ! (Le site qui me posait des problème est AKAMAITECHNOLOGIES.COM, ils ont énormément de serveur, donc à chaque fois c'est une IP différente qui se connecte, je croyait que ce service pour la bande réseau inactive c'était que pour microsoft update, msn messenger,... mon oeil!)
    J'avais mis un petit moment à trouvé le service responsable de cette fuite et qu'aucun firewall ne semblait vouloir arrêter.

    Actuellement, je vois que les seuls ports lié à mon IP en état "d'écoute" sont le port 123 UDP et 1900 UDP (port local je vais dire source).
    Ca doit être certainement le cas pour pas mal de monde.
    Tout le reste a été supprimé par ton application :).
    Je vois également que dans Lns depuis que j'ai appliqué ton programme, au niveau de la liste des logiciels actif j'ai plus rien alors qu'avant j'avais trois Generic Host process.
    Il doit bien y en avoir qui tourne vu que le 123 UDP et 1900 UDP sont en état d'écoute via le process:ID svchost:768 pour le premier et :1032 pour le second.
    Je voudrais savoir ce que tu en penses et qu'en est t'il pour ces deux ports restant encore en état d'écoute/attente ?.

    PS:
    pour l'ambiance
    Service de transfert intelligent en arrière-plan :
    Utilise la bande passante réseau inactive pour transférer des données.
    Pour la majorité des utilisateurs, cette fonctionnalité est peu utilisée et il est recommandé de la laisser sur manuel. Ceux qui utilisent des réseaux très actifs en transfert de données et qui peuvent bénéficier de cette fonctionnalité doivent la laisser sur automatique.
    (il semble être en automatique au départ alors qu'il devrait être en manuel !)
     
  5. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    ok, alors reprenons :)

    Si Look'n'Stop est correctement configuré pour bloquer totalement ces ports en entrée (135, 137/138/139, 445) alors non tu ne peut pas te faire infecté.

    Je dirai que qq qui n'utilise pas de firewall tout court, peut se faire infecté via ces ports par pas mal de vers/trojans, j'ai plusieurs amis ds ce cas qui ne voulaient pas prendre du temps à configurer un firewall (c'est pas toujours simple) et n'en n'avaient simplement pas. Suite à ça je te raconte même pas tout ce qu'ils se sont pris (Gaobot, MSBlast, etc...).
    Désormais, juste le fait de se connecter sans rien télécharger te met en danger si tu n'as pas de firewall.

    Maintenant les avantages de qd même désactiver ces services alors que tu as un firewall sont multiples :

    - si tu configures mal ton firewall ou qu'il a un bug tes arrières sont assurés
    - si tu dois le désactiver temporairement pour une raison ou une autre, encore une fois tu ne risque rien sur ces ports.
    - tu gagnes en ressources, car tu désactives des services (tu aura moins de svchost qui tourneront).
    - et enfin c'est le principe de la défense en plusieurs couches, ou encore comment ne pas mettre tous ses oeufs ds le même panier ;)

    SVCHOST doit bien souvent être autorisé en effet, mais ds ce cas c'est ds le sens sortant, rien ne t'empêche de bloquer efficacement ces ports ds le sens entrant.

    C'est un peu normal je dirai.
    Il faut savoir que SVCHOST prend en charge pas mal de services sous windows, et que pour un svchost donné, tu peut avoir plusieurs services qui tournent en lui.
    Un processus sous windows est composé de plusieurs Thread, svchost est le processus, qui contient plusieurs Threads, appartenant à plusieurs services.
    Au final, si tu donnes les pleins pouvoirs a svchost, tous les threads qu'ils creera (les autres services) seront par défaut autorisés, puisque c'est tjs svchost au final qui fait un accès au réseau.

    Le seul moyen de contrer cela, c'est de restreindre les droits d'accès de svchost, par ex pour le service "client DNS" de windows n'autoriser que le traffic vers les ports 53 des IP des serveurs DNS de ton FAI, ainsi les autres services _utilisant svchost_ (ca n'est pas le cas de tous) seront automatiquement bloqués.

    123 UDP est apparemment NTP (Network Time Protocole) donc si je ne me trompe pas le service Windows "Horloge Windows" que tu peut désactivé totalement, ca te fera un port en moins d'ouvert.
    Apparemment c'est un service qui sert a mettre à l'heure son PC via Internet mais bon, ca sert pas à grand chose.

    1900 UDP est le service windows "Service de découvertes SSDP" qui encore une fois ne sert à rien pour un utilisateur ordinaire (ca ne sert qu'en entreprise) donc tu peux le désactiver également ;)


    Voilà, j'espere que ca t'aura éclairé :)

    gkweb.
     
  6. fumaras

    fumaras Registered Member

    Joined:
    Mar 30, 2004
    Posts:
    24
    Merci beaucoup gkweb pour ces explications très claire et très intéressantes :).

    Pour le reste (non, tu ne te trompes pas), j'ai été fermé tout ça dans les services des outils d'administration et ça a fermé les derniers port en état d'écoute lié à mon IP (j'ai aussi enlevé la syncronisation de l'heure vue qu'elle fonctionne plus après et la régle dans LnS).

    :)
     
  7. fumaras

    fumaras Registered Member

    Joined:
    Mar 30, 2004
    Posts:
    24
    petit problème...

    Je reviens pour signaler un truc bizarre qui m'est arrivée (j'utilise XP SP1 et LnS 2.04p2) :

    Je sais pas si c'est lié à ton programme gkweb ou au blocage de 123 UDP et 1900 UDP dans services (outils d'administration) car c'est les seuls trucs que j'ai modifié depuis dimanche :

    il m'a été impossible de lancer ou de prendre une conversation vocale sous msn messenger! toujours le message du style que mon ordinateur ou le serveur n'accépte pas les conversations audio (je me rapelle plus le message exact).
    J'ai réssayé mes anciennes régles dans Lns, mais toujours pareil, j'ai relancé ton programme pour de nouveau accorder les accés au cas où (j'ai redémarré l'ordi après) mais rien n'y a fait.
    Malheureusement, j'ai oublié de réactiver aussi les port 123UDP et 1900 UDP pour voir.
    J'ai donc fais une restauration du système (celle de dimanche) et là tout refonctionne comme avant (avec les ports ouverts comme avant l'application de ton programme et donc forcément 123 UDP et 1900 UDP de nouveau actif).
    Je vois pas à quoi c'est lié o_O (1900 UDP ?)

    Dommage qu'il est pas eu plus de temps, j'aurais pu relancer ton programme, tout rebloquer, redémarrer et voir si ça venait de là ou pas et en fonction testé aussi les blocages 123 UDP et 1900 UDP.
    Enfin c'est quand même bizarre car je vois pas en quoi ça gêne les conversations audio (bien que j'ai jamais trop fait attention aux ports utilisés pour l'audio et ce que fait ou se sert le programme
    RSVP qui est lié au conversation audio... le blocage de 1900 UDP me semble pour l'instant être celui qui pourrait causer le problème à moins qu'il y ai eu un probleme dans la base de registre avec LnS mais du à quoi ?)

    PS:
    Pour ton programme gkweb, le seul truc que j'ai fait et sur lequel j'ai un doute (non pas que je pense que c'est lié à mon problème, c'était juste pour savoir lequel choisir) c'est quand on choisi de désactiver netbios, il demande de choisir oui ou non avec une explication en anglais, j'ai choisit non car le oui avait l'air de mettre les options netbios par defaut (je me rapelle plus bien).
    Apparement ça l'avais bien désactivé complétement.
    De toute façon, le fait de le réactiver ainsi que les autres port à du (ou aurait du) remettre tout à l'état d'origine.
     
  8. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Je ne vois pas le rapport entre MSN et ce que WWDC désactive, et encore moins avec le service d'heure windows ou le service SSDP.

    Un truc simple si tu as 5mn, désactive DCOM RPC uniquement et redémarres, test MSN, si ca marche tjs désactivé RPC locator, etc... jusqu'a la fin finir par désactiver le service SSDP.

    Ainsi tu verra tout de suite si c'est lié.
     
  9. fumaras

    fumaras Registered Member

    Joined:
    Mar 30, 2004
    Posts:
    24
    Oui, moi aussi, je comprend pas le lien.
    Dès que mon cousin sera en ligne et s'il a quelques minutes, je ferais le test en accordant comme tu le dis 1 seul changement à la fois avec redémarrage et test à chaque fois (ça fait 5 essais, 3 pour ton programme + 2 avec les port 123 et 1900), je verrais bien car si msn messenger fonctionne très bien, le problème survient quand on envoi une invitation vocale ou si quelqu'un l'envoi (ça lui dis qu'elle a été refusé).
    Si ça continue à fonctionner après la cloture de l'ensemble des ports, alors là, gros mystère sur l'origine de ce problème car j'ai rien fais d'autre entre temps !, même le redémarrage, n'a rien changé d'où mon idée de faire une restauration du système à une date ultérieure qui elle a fonctionné.

    Ps: quand je dis que j'ai rien fais depuis ça veut dire pas d'installation ou désinstallation, pas de plantage, pas de modification du registre ou autres en dehors des changements cités plus haut, bref rien de rien, j'ai été très surpris d'ailleurs d'avoir ce problème que j'avais pas 2 jours avant.
     
  10. divine

    divine Guest

    fumaras, merci pour ta reponse, ...
    Quand tu marque ici, le lien me renvoie a la page ou il ya pleinde trucs en anglais...ou dois je aller pour les regles look'nstop ?
     
  11. Paul Wilders

    Paul Wilders Administrator

    Joined:
    Jul 1, 2001
    Posts:
    12,472
    Location:
    The Netherlands
    Essayez-vous encore :)

    cordialement,

    paul
     
Thread Status:
Not open for further replies.