Re: porte UDP un ascolto

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Luglio 2002 ml@sikurezza.org
Soggetto: Re: porte UDP un ascolto
Mittente: Enrico Branca
Data: 23 Jul 2002 23:44:11 -0000

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Ciao Adriano

Da quello che hai scritto non è che si capisca molto della macchina su
cui hai dei dubbi, magari se metti qualche informazione aggiuntiva non
guasterebbe.

Come prima cosa direi che puoi cercare all'interno della macchina la
cartella in cui sono presenti gli eseguibili, come prima cosa.

Poi se non hai informazioni utili puoi usare il programma fport con
con l'opzione "-a" per vedere tutte le porte aperte e gli eseguibili
associati alla porta.

Se non hai abbastanza informazioni, puoi usare il programma tlist, che
trovi all'interno dei support tools( cd di installazione di windows
200 server, cartella \support\tools\support.cab ), e puoi usare lo
switch -s per vedere il servizio relativo al programma in esecuzione.

Poi puoi usare tlist con lo switch -t per vedere l'albero dei processi
così magari riesci a vedere se l'applicazione che ti crea dei dubbi è
un sostto processo di qualcosa.

Dalle informazioni che hai dato, quello che ho trovato è:

MsgSys.exe – This program opened port 38037 when the Norton Antivirus
Client was started as a service. In checking the properties of this
file, it was actually created by Intel. A thorough search of Intel’s
web page regarding this file revealed nothing. A search of the disk
drive showed that this file was indeed installed during the
installation of Norton Antivirus software.

PORT 38239

SHELLCODE x86 unicode NOOP
SHELLCODE x86 inc ebx NOOP
Classification: Executable code was detected

Non ho trovato nessuna correlazione fra il numero della porta e
qualche programma. Non è una porta che windows 2000 apre di default,
per cui devi aver installato qualche programma di terze parti.
I codici scritti sopra vengono da attacchi rilevati da signature di
snort.
Il link ti da qualche informazione in più sul significato della
segnalazione di snort.

http://www.der-keiler.de/Mailing-Lists/securityfocus/focus-ids/2002-04/0
046.html


Se proprio vuoi sapere cosa fanno gli eseguibili, sempre nei support
tools trovi il programma "depends" che ti controlla le dipendenze del
file, cosi vedi le dll che usa e vedi dove sono posizinate all'interno
del file system e magari riesci a capire che cosa ti gira sulla
macchina.

Spero di esserti stato d'aiuto.

Enrico Branca

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2i

iQA/AwUBPT2i60VqSmXe/tZ/EQI5LgCdFy1lPgq53RuF44r4Qvt4w9M5W5gAn2v2
6HyrbBdSbbQG35RGuXqdFNHZ
=Vths
-----END PGP SIGNATURE-----


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- porte UDP un ascolto, Adriano Meis

Data:
- precedente: I: PHRACK 59 OFFICIAL RELEASE, Gianluca Tiranti
- successivo: Slide Webbit'02, Stefano Venturoli
- indice

Argomento:
- precedente: Re: porte UDP un ascolto, Fabio Pietrosanti (naif)
- successivo: Re: porte UDP un ascolto, Fabio Panigatti - Mailing Lists
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005