[Scanning Firewall]... port ouverts

Résolu/Fermé
Wolfy - 21 févr. 2007 à 10:18
 Momo - 22 mai 2011 à 11:40
Bonjour,

Souhaitant vérifier que mon Firewall est correctement configurer et que mon pc ne fait pas l'objet de hacking, j'ai décider de scanner mes ports.

D'abord en utilisant les nombreux sites dédiés, qui m'indiquent tous que mon PC est sûre, puis, en utilisant des scanner que je faisais travailler sur mon ip internet (et non sur mon localhost)... et là surprise.

Plusieurs dizaine de port ouvert avec superscan (log joint):
* + 8X.XXX.XXX.XXX
|___ 25 Simple Mail Transfer
|___ 80 World Wide Web HTTP
|___ 81 HOSTS2 Name Server
|___ 82 XFER Utility
|___ 83 MIT ML Device
|___ 110 Post Office Protocol - Version 3
|___ 135 DCE endpoint resolution
|___ 139 NETBIOS Session Service
|___ 143 Internet Message Access Protocol
|___ 443 https MCom
|___ 465 ssmtp
|___ 563 snews
|___ 993
|___ 995 SSL based POP3
|___ 1025 network blackjack
|___ 1080 Socks
|___ 1110 Cluster status info
|___ 3128 Squid Proxy
|___ 7900
|___ 8000 iRDMI/Shoutcast Server
|___ 8080 Standard HTTP Proxy
|___ 8088
|___ 8888 NewsEDGE server TCP (TCP 1)
|___ 11523
|___ 31038

Je l'ai arréter car le scan est plutot long..
j'ai trouver ensuite le programme advanced scan ports qui m'a ensuite révéler que ses ports étaient ouverts
Computers count=1
Computer number: 1
Name: XXXXXXXXXXXXXXXXXXXXXXXXXXXXX
IP address: XXX.XXX.XXX.XXX
Ports ( 65536 scanned, 27 opened, 65509 closed )
Port 25 - open
Port 80 - open
Port 81 - open
Port 82 - open
Port 83 - open
Port 110 - open
Port 135 - open
Port 139 - open
Port 143 - open
Port 443 - open
Port 465 - open
Port 563 - open
Port 993 - open
Port 995 - open
Port 1025 - open
Port 1080 - open
Port 1110 - open
Port 1400 - open
Port 3128 - open
Port 4882 - open
Port 7900 - open
Port 8000 - open
Port 8080 - open
Port 8088 - open
Port 8888 - open
Port 11523 - open
Port 31038 - open


Je suis un peu inquiet surtout que si l'on prend les ports 135 à 139, j'ai une règle spécifique qui est sensé interdire tout entrée ou sortie, idem pour les ports utilisé par diskeeper (31038)... est-ce dû au fait que j'utilise mon scanner sur le poste que je scanne? comment se fait il que les sites de test m'indique que tout est ok alors que mes propres tests viennent contredire cela...

merci de votre retour.

Un petit log de hijackthis pour la forme...


Logfile of HijackThis v1.99.1
Scan saved at 10:16:43, on 21/02/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Appz\Kaspersky Anti-Virus\avp.exe
C:\Program Files\Appz\ccxgui\ccXservice.exe
C:\WINNT\System32\cisvc.exe
C:\Program Files\Appz\ccxgui\ccxstream.exe
C:\Program Files\Appz\Diskeeper\DkService.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\system32\nvsvc32.exe
C:\Program Files\Appz\Kerio PF\persfw.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Program Files\Appz\Spy Sweeper\SpySweeper.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Appz\Smart Wallpaper Lite\smartwallpaper.exe
C:\Program Files\Appz\AtomTime Pro\AtomTime.EXE
C:\Program Files\Appz\Kaspersky Anti-Virus\avp.exe
C:\Program Files\Appz\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
C:\WINNT\System32\cidaemon.exe
C:\Program Files\Appz\emule\emule.exe
C:\Program Files\Appz\Advanced Port Scanner\Advanced Port Scanner.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = ArKaNGoD InduS.
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 200.153.170.80:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [nForce Tray Options] "sstray.exe" /r
O4 - HKLM\..\Run: [smartwallpaper] "C:\Program Files\Appz\Smart Wallpaper Lite\smartwallpaper.exe"
O4 - HKLM\..\Run: [Tweak UI] "RUNDLL32.EXE" TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [AtomTime] "C:\Program Files\Appz\AtomTime Pro\AtomTime.EXE"
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Appz\Kaspersky Anti-Virus\avp.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Appz\Logitech\SetPoint\SetPoint.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Appz\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: S'abonner avec l'agrégateur par défaut - C:\Documents and Settings\ArKaNGoD1\Application Data\RssBandit\iecontext_subscribefeed.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Appz\Kaspersky Anti-Virus\scieplugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Appz\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O20 - Winlogon Notify: klogon - C:\WINNT\system32\klogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINNT\SYSTEM32\WRLogonNTF.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Appz\Kaspersky Anti-Virus\avp.exe" -r (file missing)
O23 - Service: ccXgui - [XC]D-Ice - C:\Program Files\Appz\ccxgui\ccXservice.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Appz\Diskeeper\DkService.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Appz\Kerio PF\persfw.exe
O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Appz\Spy Sweeper\SpySweeper.exe


PS: je précise que j'ai mis à jour tous mes modules microsoft (IE, Windows2000, Office...)
A voir également:

7 réponses

Hello,

bon c'est une réponse un peu tardive mais sait-on jamais ça peut peut être intéresser d'autre passant...

Tu vois tout ces ports ouvert sur ton pc car tu le scanne en local. Donc en gros il scanne ton interface 127.0.0.1 qui elle, n'est pas concerné par le firewall (nécessaire pour la communication interne des process entre autre...)

Et les sites web externe scan ton IP public 8x.xx.xx.xx et ne vois pas tout ces services ouvert puisque de l'externe, pas d'accès à ton interface local (127.0.0.1) et ton firewall protège l'accès au service tournant sur lip 8x.xx.xx.Xx (l'ip public de ton FAI)

Mais bon comme dis plut haut c'est bien de mettre un firewall mais le plus sur est tout de même de désactiver tout les services inutiles afin de minimiser les risques + doubler d'un firewall.

@++
5
Jean-François Pillou Messages postés 18301 Date d'inscription lundi 15 février 1999 Statut Webmaster Dernière intervention 16 février 2023 63 274
21 févr. 2007 à 10:23
As-tu scanné en local ? A partir de l'extérieur ?

Ton IP publique est-elle celle de ton ordinateur ?
-1
the great hacker
27 juin 2009 à 18:12
Port 21 - open - FTP
Port 81 - open - BIFROST
Port 139 - open - EXPLORER
c facile a te piraté a partire de ces ports attention il est conseillé de fetrmé ces ports
0
Bonjour Jeff, et merci de me répondre...

En fait, je n'ai qu'un seul Pc branché en ethernet sur ma Box. J'ai donc utilisé l'ip que m'a fournit mon provider (et non l'ip en localhost de type 192.0.168.0.x). à partir du PC sur lequel j'ai installer mon firewall logiciel, j'ai également installer les outils de scan, et cela à fournis les résultats que j'ai précédemment posté.

J'espère avoir été clair.
0
ces quoi que tu as utilisé pour scané les pors ouver
0
sans_surnom Messages postés 195 Date d'inscription vendredi 2 février 2007 Statut Membre Dernière intervention 7 décembre 2007 36
21 févr. 2007 à 10:50
salut!
pour le log hijackthis je ne peux rien te dire mais par contre pour les ports ouverts a priori (je ne les connais pas tous je peux me tromper) rien ne me choque ca me semble normal.
(l'ip c'est 4 chiffre pas 5 ;) )
-1
Oui pour l'ip, j'ai mis un 0 de trop... lol

Pour les ports, ce que je ne comprends pas, c'est pourquoi lorsque je fais des tests via les sites internet, tout est ok (pas de ports ouverts = stealth) alors que là, lorsque je m"autoscanne" j'ai 27 ports ouverts, dont netbios, des ports smtp, des ports proxy....

je comprends pas pourkoi.. faut il impérativement que je m'autoscanne, via un pc tiers? je ne peux pas scanner de pc en local? je ne peux pas scanner mon propre pc seul?
0
personne ne sait pourkoi?
0
LIM > Wolfy
19 juin 2007 à 17:33
JE me trompe sûrement mais bon...
Quand tu scannes une bécanne, ton scanner va ouvrir les ports sur ta machine aussi.
ex : fais net stat quand tu scannes une bécanne tiers tu verras.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Si ta box est une live, free, etc ... elle a certainement son propre pare-feu, qui interdit en gros tout service entrant si tu n'as pas d'avord initié une connexion vers l'extérieur, exemple quand tu consultes le web, tu ouvres un port pour la réponse de ton PC vers l'extérieur. Mias si c'est "l'extérieur" qui veut entrer chez toi, eh bien le pare-feu de ta box lui bloquera tout accès. C'ets pour ça que tes test via le net te disent que ton pc (derrière ta box donc) est sûr. Maintenant, quand tu lances tes test en local sur ta machine, çàd pas depuis le net, eh bien là le pare-feu de ta box ne joue plus aucun rôle et seul ton PC, s'il est équipé d'un pare-feu logiciel, peut bloquer les scans de ports, et les tentatives de connexion à ton PC indésirables, enfin tout ce qui est suspect.

Au vu de ce que tu as décrit, je ne vois que ça comme hypothèse valable.
0
Je sais que le message est vieux, mais il faut bien laisser un peu d'infos consistantes à ceux qui tomberont ici par hasard.

Si tu scannes à partir de ta machine, ben oui, tu verras bien que tout est ouvert. En général ces services écoutent sur toutes les interfaces.

Ça m'exaspère systématiquement, cette manie d'installer plein de services sur une machine puis de mettre un firewall pour fermer les trous qu'on a ouverts.

Pour info, pour "hacker ta machine", il faut le faire pas une de ces voies :

1) une application qui donne accès à ta machine, sans authentification ou avec une authentification trop faible
2) un trou de sécurité (dans os ou application), qui permet de faire comme si on avait le 1. La meilleure manière de s'en prévaloir ? Tourner avec la dernière version, tout le temps et systématiquement (eh oui). Ou ne pas ouvrir ces services si on n'en est pas sûr.

Si tu installes des serveurs en tout genre, je suppose que tu as bien une authentification forte (pas de mot de passe en clair, etc.) ? Idem pour les services que tu ouvres.

Après, avoir ces services exposés, ce n'est pas spécialement un drame (si à jour, maîtrisés, etc.). Mais bon, ça fait tellement plus branché de mettre des firewalls partout ;-)

Eh bien, ça me démangeait (et je sais que plein de gens ne seront pas d'accord).
1
Utilisateur anonyme
27 juin 2009 à 18:22
Je ne suis pas d'accord avec ce que tu dit.
mêmeen local les ports doivent être fermée (hack en local possible)
ils sont peut etre fermée en exterieur par l'ip 80...je sais pas quoi parce que la box bloque tout simpleemnt la connection (pas de redirection de port actif)

Le faite est que sa soit en local ou externe les ports doivent être quand même fermé !
-2
Pas sur l'ip 127.0.0.1 sinon la couche réseau risque d'avoir des soucis de communication interprocess.
IP Local (127.0.0.1 ou loopback) pas pareil que IP privé (en 192.168.X.X par ex enfin celle de la machine sur le réseau local) pas pareil que IP Public (celle de la box)
0
Bien dit man!
0