Posez votre question Signaler

Connexion sur Port 445 pourquoi faire.

all-black 13Messages postés 4 octobre 2005Date d'inscription - Dernière réponse le 21 nov. 2005 à 01:03
Bonjour,

Window XP - SP2

Quelqu'un peut il m'expliquer pourquoi j'ai une connexion dans l'état ESTABLISHED entre ma machine et une machine distante inconnue.

Je la vois enfaisant netstat -nb et ca donne

Connexions Actives
Adresse Locales Adresses Distantes
TCP 82.103.38.XXX:445 84.102.87.XXX:3370
[système]

Appremment j'ai pas de problème de spy.
Je suis derrière un parre feu MC Afee.
J'ai fait adware rien
Et un Hijack rien
Et une analyse antivirus bien sur.


Si quelqu'un peux me dire à quoi ca sert cette connexion et qu'est ce que je vais faire sur cette machine distante cela assouvirais ma curiosité.

Merci pour vos réponses
Lire la suite 

Connexion sur Port 445 pourquoi faire »

15 réponses
Réponse
+6
moins plus
brupala 36106Messages postés 16 juillet 2001Date d'inscription ModérateurStatut 30 mai 2012Dernière intervention 4 oct. 2005 à 23:52
:-<<
445, c'est du réseau windows.
il te faut bloquer ce port tcp dans ton firewall ainsi que les 135,138,139
udp et tcp.
tu ne devrais pas avoir client réseau microsoft et partage fichiers d'installés sur ta connexion internet.

Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+4
moins plus
brupala 36106Messages postés 16 juillet 2001Date d'inscription ModérateurStatut 30 mai 2012Dernière intervention 19 nov. 2005 à 00:45
une bonne raison:
les broadcast ne passent pas sur internet.
les paquets sur le port 445 ne sont pas des broadcast en principe.
sur 137,138, oui c'est du netbios, c'est presque fait pour.
135, il y a les 2.
pour la connexion établie, attention tu as aussi des connexions en boucle sur toi m^eme.
par contre, si les paquets arrivent directement sur ton adresse publique, tu as raison , c'est forcément des scan. soit de virus, soit autres.

Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+3
moins plus
kmf31 1579Messages postés 30 mars 2005Date d'inscription 18 nov. 2005 à 19:10
Le port 445 fait de loin la medaille d'or pour les virus/vers qui scannent en permanence les pcs pour trouver une faille. Apres sur les places du podium il y a le groupe des 130+blabla (135, 137, 139) et aussi le 113. J'ai fait une fois un test de 24 heures:

port 445 => 4796 attaques
port 135 => 2332 attaques
port 113 => 241 attaques
port 139 => 165 attaques
port 137 => 82 attaques


Alors s'il y a une connexion 445 established bien que un test de ports affiche ce port comme ferme il se peut on'est deja passe du cote victime au cote zombie-malfaiteur qui essaie de contaminer d'autres pcs.

Mais bien il y a aussi des utilisations legitimes pour le 445 mais franchement je ferais quand meme passer un anti-virus et ce serait aussi bien de mettre un pare feu qui filtre la direction sortant pour les applications si ce n'est pas deja fait (comme Zone Alarme, Kerio, ...) car pour ca le pare feu Windows ne semble pas tres fort.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+1
moins plus
brupala 36106Messages postés 16 juillet 2001Date d'inscription ModérateurStatut 30 mai 2012Dernière intervention 5 oct. 2005 à 20:02
c'est à dire que sur une connexion vers internet, les ports 135, 445, 139 tcp et udp
et 137,138 udp doivent etre fermés.
vérifies que ton firewall est bien actif et efficace !
pour tester:
http://assiste.free.fr/p/scan_de_ports_gratuits_en_ligne/scan_de_ports_en_ligne.php

Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
brupala 36106Messages postés 16 juillet 2001Date d'inscription ModérateurStatut 30 mai 2012Dernière intervention 5 oct. 2005 à 00:15
aussi:
http://www.silicon.fr/getarticle.asp?ID=10409

Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
all-black 13Messages postés 4 octobre 2005Date d'inscription 5 oct. 2005 à 17:45
OK,

Merci pour ta réponse.


Le port 445 était masqué au niveau du firewall. Donc je comprends pas. J'avais fait un scan avec le symantec security check et il était bien noté masqué.

Là j'ai supprimer le service et il semblerait que depuis il n'y ait plus de connexion.

Mais j'ai le même problème avec le 135.
sauf que là la connexion est ouverte à travers une cascade de ddl


La dernière est
Window\system32\mclsp.dll
.......
Et c'est scvhost.exe

Je sais pas si je peux supprimer le service ??

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
brupala 36106Messages postés 16 juillet 2001Date d'inscription ModérateurStatut 30 mai 2012Dernière intervention 5 oct. 2005 à 18:35
si tu n'as pas besoin du réseau windows, oui à coup sûr.
par contre, si tu en as besoin ... tout dépend.
le port 135 sert à beaucoup de choses .
il ne doit en tout cas jamais etre ouvert sur une connexion internet:
http://grc.com/port_135.htm

Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
all-black 13Messages postés 4 octobre 2005Date d'inscription 5 oct. 2005 à 19:27
OK,

Ce que tu veux dire par :

'il ne doit en tout cas jamais etre ouvert sur une connexion internet'

C'est qu'en fait il ne doit y avoir que des connexions entre des machines d'un même réseau local.

Ce qui a l'heure actuelle n'est pas mon cas car il y a plusieurs abonné neuf telecom connectés à ma machine.

J'ai suivi ton lien pour finalement aller sur une page de support microsoft.

On peut arrêter DCOM.

Le tout c'est d'être sur qu'on en a pas besoin.

Et ca c'est une autre histoire car comme tu dit ca fait beaucoup de chose.

Je sais pas quoi faire et en plus je comprends pas ce port est masqué !!

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
all-black 13Messages postés 4 octobre 2005Date d'inscription 7 oct. 2005 à 07:31
Bonjour,

Tous les tests donnent tous les ports fermés.

Pourtant les connexions continuent et il n'y en a pas qu'une de temps en temps.

Je vais testé la hot line Mc Afee

Merci pour les réponses.

--------------------------------------------------
http://www.blackcode.com/scan/index.php

Premier scan aucun port ouvert < 1000

SCAN RESULTS:
Your system is secured. No open ports were found.

SCAN RESULTS:
Congratulations, no open ports used by trojans were detected during the scan. If you want to know more about the trojans scanned in your system, you can go to the Trojan Library clicking here.

 Ajouter un commentaire
Michael.G - 18 nov. 2005 à 18:27
Le mystére de ce soit disont the alien case, crois-tu que microsft va laisser les utilisateurs de son os de se cacher comme ils veulent... pourquoi crois-tu que microsoft ne font ce qu'ils fallaient faire pour avoir un logiciel qui est bien batit pour bien protéger cela pour lui serait une catastrophe; comment veux-tu que microsft sache si tu utilise un pirate ou un legal....

le port 445, le port 139, 135...tel que messenger, media player, les updates, netmeeting le RAS ( remote access service) tout cela sont des outils de microst pour rentré dans ton systemes pour savoir qui est dans ton systemes.

demarer, Run ou executez : tapez COMMAND
C:> netstat -ano
pour avoir la liste de ceux qui sont connecté a toi.


tu dois désactivé le netbios aussi, désinstalle messenger, bloc les mise a jour, cesse l'utilisation de media player et download winamp, cesse internet explorer utilise opera.com maintenant il est gratuit (bloque les popup dans tools)

il y a encore beacoup a chercher pour mieux comprendre les logiciels de microsft car il y a du bien et du mal.<

salut et a la prochaine.
Joyeux noel et bonne année a tous. et toutes.
Ajouter un commentaire
Réponse
+0
moins plus
brupala 36106Messages postés 16 juillet 2001Date d'inscription ModérateurStatut 30 mai 2012Dernière intervention 18 nov. 2005 à 22:45
Attention, ce qui est parfois nommé "attaques" n'est que le processus normal d'un réseau windows.
Il suffit juste de considérer que ça ne doit pas passer par une connexion internet.
par un vpn uniquement.

Ajouter un commentaire - Site web
kmf31- 19 nov. 2005 à 00:09
Tu veux dire qu'une bonne partie de l'activite de scan des ports (sur une connexion internet) n'est en realite qu'un broadcast benin de certains PCs Windows disons mal configures qui confondraient simplement leur reseau local avec l'internet ?

Pour l'internet j'ai un peu mal de saisir cette notion car les paquets que je vois ont bel et bien mon IP (et pas une adresse Broadcast avec .255 a la fin) comme adresse cible.
Par contre sur le reseau local au boulot, je vois en effet de nombreux paquets Broadcast.
Ajouter un commentaire
Réponse
+0
moins plus
kmf31 1579Messages postés 30 mars 2005Date d'inscription 19 nov. 2005 à 01:26
Merci pour les explications. En fait chez moi il n'y a rien qui tourne sur le port 445 car je suis entierement en Linux et j'ai tous les ports fermes (pour la direction entree et les paquets NEW, INVALID). Quand je veux je peux ajouter de regles de logs dans mon pare feu (un script iptables) pour voir ce qui arrive mais si je fais ca en permanence ca fait exploser mes fichiers logs.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
antissn 20 nov. 2005 à 18:49
cher ami, <br>
votre teste est surprenant et nous a donné une avance sur certains détails manquant. il semble aussi que en désactivant le netbios regleré ou d'enlevé microsoft network comme service reglerait quasiment tout.

on dirait que microsft l'a fait de manière que si sont service n'est pas actif pas d'internet. donc on n'est pris pour que le port 445 soit mis en action.

Ce qui est des par feu comme vous dites, c de l'Eau qui se mélange a tout. pourtant si on pouvait réussir a bloquer les ecritures des fichier qui sont externe peut etre cela pourrait aidé . nous avons mis un port virtuel laissant le 445 prend sur le 139 qui se redirige au 80 et on s'aperçoit que monsieur Google essai de s'infiltré dans notre systeme.

une nouvelle menace donc a faire attention, Google est un groupe qui s'infiltre dans votre systeme heureusement panda était la.

 Ajouter un commentaire
brupala- 21 nov. 2005 à 01:03
:-))
Ajouter un commentaire
Posez votre question
Ce document intitulé « Connexion sur Port 445 pourquoi faire. » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?