Гость
Войти | Профиль | Очистить
Действия ...
Форумы / Windows [игнор отключен] [закрыт для гостей] / Прорвались через фаейвол! / 18 сообщений из 18, страница 1 из 1
15.05.2020, 02:38
    #39957805
Relic Hunter
Relic Hunter
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Прорвались через фаейвол!
Hi All,

Наблюдаю тучу внешних соединений на сервере на порту 9002. Сервер ессно за файером. На файерволе никаких пробросов нет на этот порт. Как такое может быть?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
15.05.2020, 06:24
    #39957817
Basil A. Sidorov
Basil A. Sidorov
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Прорвались через фаейвол!
Можно пример кучки подключений вида:
Код: plaintext
1.
2.
3.
  netstat -an|findstr 127.0.0.1:22
    TCP    127.0.0.1:22           0.0.0.0:0              LISTENING
    TCP    127.0.0.1:22           127.0.0.1:64230        ESTABLISHED
    TCP    127.0.0.1:64230        127.0.0.1:22           ESTABLISHED
?

Ещё хотелось бы понимать - что именно вы вкладываете в понятие "файервол"?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
15.05.2020, 12:24
    #39957939
Dimitry Sibiryakov
Dimitry Sibiryakov
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Прорвались через фаейвол!
Relic HunterКак такое может быть?

UPnP, NAT-PMP и туева хуча других технологий, позволяющих программам автоматически
конфигурировать маршрутизаторы/файерволлы. Кто хоть слушает-то на этом порту? Небось,
какой-нибудь торрент-клиент?..
Posted via ActualForum NNTP Server 1.5
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
15.05.2020, 12:39
    #39957944
vikkiv
vikkiv
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Прорвались через фаейвол!
фаервол какой? внешний? внутренний встроенный в операционку?
есть входящие и исходящие правила
(блокировать надо оба направления, разрешать по необходимости с узкими ограничениями и настройками),
так-же есть преимущества одних правил над другими и т.д., протоколы разные,
кроме софтварного есть ещё хардварные чипы на системах со своими наворотами в обход операционных систем
(особенно на серверах)..

в общем - не достаточно исходной информации чтобы кто-то здесь что-то по делу посоветовал...
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
15.05.2020, 14:43
    #39958019
Akina
Akina
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Прорвались через фаейвол!
Relic Hunter
Наблюдаю тучу внешних соединений на сервере на порту 9002.
А это точно ВНЕШНИЕ соединения? Может, сервер с этого порта сам колотится наружу за каким-то хреном...
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
15.05.2020, 16:21
    #39958073
Relic Hunter
Relic Hunter
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Прорвались через фаейвол!
раутер/файервол - железный Palo Alto кто слушает на этом порту не знаю - SYSTEM. Windows 2012 Server.
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
50.
51.
52.
53.
54.
55.
56.
57.
58.
59.
60.
61.
62.
63.
64.
65.
66.
67.
68.
69.
70.
71.
72.
73.
74.
75.
76.
77.
78.
79.
80.
81.
82.
83.
84.
85.
86.
87.
88.
89.
90.
91.
92.
93.
94.
  TCP    192.168.3.7:9002       45.132.142.41:33389    ESTABLISHED
  TCP    192.168.3.7:9002       45.132.142.41:34623    ESTABLISHED
  TCP    192.168.3.7:9002       45.132.142.41:38189    ESTABLISHED
  TCP    192.168.3.7:9002       45.132.142.41:38865    ESTABLISHED
  TCP    192.168.3.7:9002       45.132.142.41:50095    ESTABLISHED
  TCP    192.168.3.7:9002       45.132.142.41:51609    ESTABLISHED
  TCP    192.168.3.7:9002       45.132.142.41:57149    ESTABLISHED
  TCP    192.168.3.7:9002       45.132.142.41:58895    ESTABLISHED
  TCP    192.168.3.7:9002       92.118.161.37:34247    ESTABLISHED
  TCP    192.168.3.7:9002       172.98.67.55:39871     ESTABLISHED
  TCP    192.168.3.7:9002       172.98.67.55:52267     ESTABLISHED
  TCP    192.168.3.7:9002       172.98.67.55:54243     ESTABLISHED
  TCP    192.168.3.7:9002       178.162.222.41:34135   ESTABLISHED
  TCP    192.168.3.7:9002       178.162.222.41:37655   ESTABLISHED
  TCP    192.168.3.7:9002       178.162.222.41:48655   ESTABLISHED
  TCP    192.168.3.7:9002       178.162.222.41:48943   ESTABLISHED
  TCP    192.168.3.7:9002       178.162.222.41:58279   ESTABLISHED
  TCP    192.168.3.7:9002       178.162.222.41:60215   ESTABLISHED
  TCP    192.168.3.7:9002       185.216.34.232:33102   ESTABLISHED
  TCP    192.168.3.7:9002       185.216.34.232:33448   ESTABLISHED
  TCP    192.168.3.7:9002       185.216.34.232:34208   ESTABLISHED
  TCP    192.168.3.7:9002       185.216.34.232:37950   ESTABLISHED
  TCP    192.168.3.7:9002       185.216.34.232:38942   ESTABLISHED
  TCP    192.168.3.7:9002       185.216.34.232:44540   ESTABLISHED
  TCP    192.168.3.7:9002       185.216.34.232:45900   ESTABLISHED
  TCP    192.168.3.7:9002       185.216.34.232:46182   ESTABLISHED
  TCP    192.168.3.7:9002       185.216.34.232:47795   ESTABLISHED
  TCP    192.168.3.7:9002       185.216.34.232:48650   ESTABLISHED
  TCP    192.168.3.7:9002       185.216.34.232:48806   ESTABLISHED
  TCP    192.168.3.7:9002       185.216.34.232:54703   ESTABLISHED
  TCP    192.168.3.7:9002       185.216.34.232:55054   ESTABLISHED
  TCP    192.168.3.7:9002       185.216.34.232:58238   ESTABLISHED
  TCP    192.168.3.7:9002       185.216.34.232:59254   ESTABLISHED
  TCP    192.168.3.7:9002       185.216.34.232:60062   ESTABLISHED
  TCP    192.168.3.7:9002       185.216.34.232:60572   ESTABLISHED
  TCP    192.168.3.7:9002       185.216.34.232:60758   ESTABLISHED
  TCP    192.168.3.7:9002       185.216.34.232:60844   ESTABLISHED
  TCP    192.168.3.7:9002       196.52.2.22:36067      ESTABLISHED
  TCP    192.168.3.7:9002       196.52.2.22:38097      ESTABLISHED
  TCP    192.168.3.7:9002       196.52.2.22:42671      ESTABLISHED
  TCP    192.168.3.7:9002       196.52.2.22:43627      ESTABLISHED
  TCP    192.168.3.7:9002       196.52.2.22:44399      ESTABLISHED
  TCP    192.168.3.7:9002       196.52.2.22:44849      ESTABLISHED
  TCP    192.168.3.7:9002       196.52.2.22:53805      ESTABLISHED
  TCP    192.168.3.7:9002       196.52.2.22:55705      ESTABLISHED
  TCP    192.168.3.7:9002       196.52.2.22:58140      ESTABLISHED
  TCP    192.168.3.7:9002       196.52.2.22:58156      ESTABLISHED
  TCP    192.168.3.7:9002       196.52.2.22:58168      ESTABLISHED
  TCP    192.168.3.7:9002       196.52.2.22:58172      ESTABLISHED
  TCP    192.168.3.7:9002       196.52.2.22:58186      ESTABLISHED
  TCP    192.168.3.7:9002       196.52.2.22:58188      ESTABLISHED
  TCP    192.168.3.7:9002       196.52.2.114:33067     ESTABLISHED
  TCP    192.168.3.7:9002       196.52.2.114:35081     ESTABLISHED
  TCP    192.168.3.7:9002       196.52.2.114:37867     ESTABLISHED
  TCP    192.168.3.7:9002       196.52.2.114:44581     ESTABLISHED
  TCP    192.168.3.7:9002       196.52.2.114:45536     ESTABLISHED
  TCP    192.168.3.7:9002       196.52.2.114:45552     ESTABLISHED
  TCP    192.168.3.7:9002       196.52.2.114:45564     ESTABLISHED
  TCP    192.168.3.7:9002       196.52.2.114:45570     ESTABLISHED
  TCP    192.168.3.7:9002       196.52.2.114:45588     ESTABLISHED
  TCP    192.168.3.7:9002       196.52.2.114:45590     ESTABLISHED
  TCP    192.168.3.7:9002       196.52.2.114:45655     ESTABLISHED
  TCP    192.168.3.7:9002       196.52.2.114:47613     ESTABLISHED
  TCP    192.168.3.7:9002       196.52.2.114:55653     ESTABLISHED
  TCP    192.168.3.7:9002       196.52.2.114:57717     ESTABLISHED
  TCP    192.168.3.7:9002       196.244.191.82:36602   ESTABLISHED
  TCP    192.168.3.7:9002       196.244.191.82:36618   ESTABLISHED
  TCP    192.168.3.7:9002       196.244.191.82:36630   ESTABLISHED
  TCP    192.168.3.7:9002       196.244.191.82:36634   ESTABLISHED
  TCP    192.168.3.7:9002       196.244.191.82:36646   ESTABLISHED
  TCP    192.168.3.7:9002       196.244.191.82:36652   ESTABLISHED
  TCP    192.168.3.7:9002       196.244.191.82:42907   ESTABLISHED
  TCP    192.168.3.7:9002       196.244.191.82:43889   ESTABLISHED
  TCP    192.168.3.7:9002       196.244.191.82:45765   ESTABLISHED
  TCP    192.168.3.7:9002       196.244.191.82:47117   ESTABLISHED
  TCP    192.168.3.7:9002       196.244.191.82:48273   ESTABLISHED
  TCP    192.168.3.7:9002       196.244.191.82:49033   ESTABLISHED
  TCP    192.168.3.7:9002       196.244.191.82:52737   ESTABLISHED
  TCP    192.168.3.7:9002       196.244.191.82:57987   ESTABLISHED
  TCP    192.168.3.7:9002       217.170.197.26:38605   ESTABLISHED
  TCP    192.168.3.7:9002       217.170.197.26:38757   ESTABLISHED
  TCP    192.168.3.7:9002       217.170.197.26:40169   ESTABLISHED
  TCP    192.168.3.7:9002       217.170.197.26:41303   ESTABLISHED
  TCP    192.168.3.7:9002       217.170.197.26:49017   ESTABLISHED
  TCP    192.168.3.7:9002       217.170.197.26:50166   ESTABLISHED
  TCP    192.168.3.7:9002       217.170.197.26:50184   ESTABLISHED
  TCP    192.168.3.7:9002       217.170.197.26:50196   ESTABLISHED
  TCP    192.168.3.7:9002       217.170.197.26:50200   ESTABLISHED
  TCP    192.168.3.7:9002       217.170.197.26:50210   ESTABLISHED
  TCP    192.168.3.7:9002       217.170.197.26:50214   ESTABLISHED
  TCP    192.168.3.7:9002       217.170.197.26:51335   ESTABLISHED
  TCP    192.168.3.7:9002       217.170.197.26:55319   ESTABLISHED
  TCP    192.168.3.7:9002       217.170.197.26:59633   ESTABLISHED
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
15.05.2020, 16:45
    #39958087
bga83
bga83
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Прорвались через фаейвол!
Relic Hunter
раутер/файервол - железный Palo Alto
а настроен он как?

Relic Hunter
кто слушает на этом порту не знаю
так а процесс то какой обрабатывает соединения на этом порту?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
15.05.2020, 16:55
    #39958094
Relic Hunter
Relic Hunter
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Прорвались через фаейвол!
bga83
Relic Hunter
раутер/файервол - железный Palo Alto
а настроен он как?

Relic Hunter
кто слушает на этом порту не знаю
так а процесс то какой обрабатывает соединения на этом порту?


Не понял про фаервол? Пробросов портов там нет на этот сервер. Какой процесс слушает - не знаю, netstat -b пишет, что не удалось определить владельца, ну оно и понятно, это системный процесс. Тут вопрос не в этом. Каг они пролезли через фаервол???
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
15.05.2020, 17:00
    #39958098
kdv
kdv
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Прорвались через фаейвол!
Relic Hunter,

мощно. 45.132.142.41 - это Бангладеш.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
15.05.2020, 17:04
    #39958102
miksoft
miksoft
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Прорвались через фаейвол!
Relic Hunter
Пробросов портов там нет на этот сервер.
А может уже есть?
И что в логах файервола?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
15.05.2020, 17:11
    #39958108
Dimitry Sibiryakov
Dimitry Sibiryakov
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Прорвались через фаейвол!
Relic Hunternetstat -b пишет, что не удалось определить владельца

Ну так запусти его с повышенными правами и/или используй -o.

Relic HunterКаг они пролезли через фаервол???

Повторяю медленно: UPnP и туева хуча других протоколов, позволяющих сетевым программам
работать на компьютерах идиотов обычных пользователей.
Posted via ActualForum NNTP Server 1.5
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
15.05.2020, 17:13
    #39958113
Relic Hunter
Relic Hunter
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Прорвались через фаейвол!
Dimitry Sibiryakov
Повторяю медленно: UPnP и туева хуча других протоколов, позволяющих сетевым программам
работать на компьютерах идиотов обычных пользователей.
что за программы?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
15.05.2020, 17:21
    #39958118
Dimitry Sibiryakov
Dimitry Sibiryakov
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Прорвались через фаейвол!
Relic Hunterчто за программы?

https://ru.wikipedia.org/wiki/Bacula
Posted via ActualForum NNTP Server 1.5
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
15.05.2020, 20:48
    #39958211
vikkiv
vikkiv
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Прорвались через фаейвол!
netstat -ano
и смотришь по PID в Task Manager, хотя если не админ - то может конечно не доступно быть..

или в зависимости от твоей версии Server / PowerShell:
Get-NetTCPConnection|select LocalAddress,LocalPort,RemoteAddress,RemotePort,State,@{n='Process';e={(ps -id $_.OwningProcess).ProcessName}}|ogv

хотя если не админ - то может конечно не доступно быть что в cmd/netstat что в PS

твоя копия соединений не совсем отвечает на вопрос какое это соединение,
- входящее подключение (установленное внешней системой)
или
- исходящее подключение (установленное самим сервером)

посмотри правила фаервола - какое из них разрешает

на самом сервере свой внутренний фаервол включен (операционки)?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
15.05.2020, 21:03
    #39958217
vikkiv
vikkiv
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Прорвались через фаейвол!
может сервис запущен который сам сифонит на внешние системы,
т.е. стоит провести аудит твоего сервера (кто и что устанавливал, кто имел доступ и т.д.),
но если обнаружится что какая-то библиотека левая или
что-то подозрительное устанавливали - то систему придётся переставлять с нуля

есть ещё такой вариант как команда resmon / "Resource Monitor" (вкладка "Network" - Listening Ports)
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
15.05.2020, 22:20
    #39958232
Relic Hunter
Relic Hunter
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Прорвались через фаейвол!
vikkiv,

PID 4 - System
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
16.05.2020, 15:34
    #39958363
vikkiv
vikkiv
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Прорвались через фаейвол!
Relic Hunter,

ну судя по тому что локальный порт статичный 9002, (как официальный вариант Dynamid с их софтом, из франции,
занимаются распределёнными системами, может предоставляешь им серверные ресурсы забесплатно)
а дистанционные: динамичные - то соединение скорее всего вхоящее
(т.е. твоя система на этом порту сама ожидает - и принимает подключения)
в netstat -ano или resmon у PID=4 это будет 9002 в "listening ports" - т.е. сторонний инициатор (входящее)

а т.к. процесс system - то явно какой-то процесс использует стандартные Windows системные возможности через API
часто system с pid=4 (стандартный практически самый первый) работает с 80м портом по всяким системным нуждам

с др. стороны - если через внешний локальный firewall
внешнее подключение до внутреннего сервера добирается
то на маршрутизаторе полюбому правила должны по идее стоять
принимающие внешнее соединение на определённом порту
и пробрасывающие на определённое устройство с IP:port на внутренней сетке
(или соединение устанавливается в обход твоего firewall, неправильные настройки, др. устр. смотрящие наружу)

если это действительно чёрная активность которую на сервере никто специально не настраивал
- то возможно какие-то внутренние библиотеки скомпрометированны/подменены

в общем проверяй инфраструктуру - почему фаервол пропускает входящие (хотя ты говоришь не должен, т.к. правил проброса нет)
у меня напр. pid=4 на 9001-м тоже слушает, (кроме NetBIOS,SMB и пр. функций)
но я ему ни на вход, ни на выход не позволяю (Windows FireWall)
со всеми сетевыми правилами настроенными отдельно,
всё остальное закрыто и на IN и на OUT.

ну и в конце концов проверь почему у сервера свой firewall не активен и пропускает соединения (не настроен),
может пора серьёзно поговорить / уволить админа или кто там напортачил самодеятельностью.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
17.05.2020, 00:08
    #39958499
Sergey Orlov
Sergey Orlov
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Прорвались через фаейвол!
Relic Hunter
Dimitry Sibiryakov
Повторяю медленно: UPnP и туева хуча других протоколов, позволяющих сетевым программам
работать на компьютерах идиотов обычных пользователей.
что за программы?

Поставь тот же teamviewer и посмотри куда он побежит...
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
Форумы / Windows [игнор отключен] [закрыт для гостей] / Прорвались через фаейвол! / 18 сообщений из 18, страница 1 из 1
Целевая тема:
Создать новую тему:
Автор:
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение
созд. / загр.: 278ms
Закрыть
start [/forum/topic.php?fid=26&mobile=1&tid=1492199]:
 0ms
get settings:
 8ms
get forum list:
 13ms
check forum access:
 3ms
check topic access:
 3ms
track hit:
 177ms
get topic data:
 9ms
get forum data:
 2ms
get page messages:
 51ms
get tp. blocked users:
 1ms
others: 11ms
total:  278ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]