|
|
|
Прорвались через фаейвол!
|
|||
|---|---|---|---|
|
#18+
Hi All, Наблюдаю тучу внешних соединений на сервере на порту 9002. Сервер ессно за файером. На файерволе никаких пробросов нет на этот порт. Как такое может быть? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.05.2020, 02:38 |
|
||
|
Прорвались через фаейвол!
|
|||
|---|---|---|---|
|
#18+
Можно пример кучки подключений вида: Код: plaintext 1. 2. 3. Ещё хотелось бы понимать - что именно вы вкладываете в понятие "файервол"? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.05.2020, 06:24 |
|
||
|
Прорвались через фаейвол!
|
|||
|---|---|---|---|
|
#18+
Relic HunterКак такое может быть? UPnP, NAT-PMP и туева хуча других технологий, позволяющих программам автоматически конфигурировать маршрутизаторы/файерволлы. Кто хоть слушает-то на этом порту? Небось, какой-нибудь торрент-клиент?.. Posted via ActualForum NNTP Server 1.5 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.05.2020, 12:24 |
|
||
|
Прорвались через фаейвол!
|
|||
|---|---|---|---|
|
#18+
фаервол какой? внешний? внутренний встроенный в операционку? есть входящие и исходящие правила (блокировать надо оба направления, разрешать по необходимости с узкими ограничениями и настройками), так-же есть преимущества одних правил над другими и т.д., протоколы разные, кроме софтварного есть ещё хардварные чипы на системах со своими наворотами в обход операционных систем (особенно на серверах).. в общем - не достаточно исходной информации чтобы кто-то здесь что-то по делу посоветовал... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.05.2020, 12:39 |
|
||
|
Прорвались через фаейвол!
|
|||
|---|---|---|---|
|
#18+
Relic Hunter Наблюдаю тучу внешних соединений на сервере на порту 9002. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.05.2020, 14:43 |
|
||
|
Прорвались через фаейвол!
|
|||
|---|---|---|---|
|
#18+
раутер/файервол - железный Palo Alto кто слушает на этом порту не знаю - SYSTEM. Windows 2012 Server. Код: plaintext 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32. 33. 34. 35. 36. 37. 38. 39. 40. 41. 42. 43. 44. 45. 46. 47. 48. 49. 50. 51. 52. 53. 54. 55. 56. 57. 58. 59. 60. 61. 62. 63. 64. 65. 66. 67. 68. 69. 70. 71. 72. 73. 74. 75. 76. 77. 78. 79. 80. 81. 82. 83. 84. 85. 86. 87. 88. 89. 90. 91. 92. 93. 94. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.05.2020, 16:21 |
|
||
|
Прорвались через фаейвол!
|
|||
|---|---|---|---|
|
#18+
Relic Hunter раутер/файервол - железный Palo Alto Relic Hunter кто слушает на этом порту не знаю ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.05.2020, 16:45 |
|
||
|
Прорвались через фаейвол!
|
|||
|---|---|---|---|
|
#18+
bga83 Relic Hunter раутер/файервол - железный Palo Alto Relic Hunter кто слушает на этом порту не знаю Не понял про фаервол? Пробросов портов там нет на этот сервер. Какой процесс слушает - не знаю, netstat -b пишет, что не удалось определить владельца, ну оно и понятно, это системный процесс. Тут вопрос не в этом. Каг они пролезли через фаервол??? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.05.2020, 16:55 |
|
||
|
Прорвались через фаейвол!
|
|||
|---|---|---|---|
|
#18+
Relic Hunter, мощно. 45.132.142.41 - это Бангладеш. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.05.2020, 17:00 |
|
||
|
Прорвались через фаейвол!
|
|||
|---|---|---|---|
|
#18+
Relic Hunter Пробросов портов там нет на этот сервер. И что в логах файервола? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.05.2020, 17:04 |
|
||
|
Прорвались через фаейвол!
|
|||
|---|---|---|---|
|
#18+
Relic Hunternetstat -b пишет, что не удалось определить владельца Ну так запусти его с повышенными правами и/или используй -o. Relic HunterКаг они пролезли через фаервол??? Повторяю медленно: UPnP и туева хуча других протоколов, позволяющих сетевым программам работать на компьютерах идиотов обычных пользователей. Posted via ActualForum NNTP Server 1.5 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.05.2020, 17:11 |
|
||
|
Прорвались через фаейвол!
|
|||
|---|---|---|---|
|
#18+
Dimitry Sibiryakov Повторяю медленно: UPnP и туева хуча других протоколов, позволяющих сетевым программам работать на компьютерах идиотов обычных пользователей. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.05.2020, 17:13 |
|
||
|
Прорвались через фаейвол!
|
|||
|---|---|---|---|
|
#18+
Relic Hunterчто за программы? https://ru.wikipedia.org/wiki/Bacula Posted via ActualForum NNTP Server 1.5 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.05.2020, 17:21 |
|
||
|
Прорвались через фаейвол!
|
|||
|---|---|---|---|
|
#18+
netstat -ano и смотришь по PID в Task Manager, хотя если не админ - то может конечно не доступно быть.. или в зависимости от твоей версии Server / PowerShell: Get-NetTCPConnection|select LocalAddress,LocalPort,RemoteAddress,RemotePort,State,@{n='Process';e={(ps -id $_.OwningProcess).ProcessName}}|ogv хотя если не админ - то может конечно не доступно быть что в cmd/netstat что в PS твоя копия соединений не совсем отвечает на вопрос какое это соединение, - входящее подключение (установленное внешней системой) или - исходящее подключение (установленное самим сервером) посмотри правила фаервола - какое из них разрешает на самом сервере свой внутренний фаервол включен (операционки)? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.05.2020, 20:48 |
|
||
|
Прорвались через фаейвол!
|
|||
|---|---|---|---|
|
#18+
может сервис запущен который сам сифонит на внешние системы, т.е. стоит провести аудит твоего сервера (кто и что устанавливал, кто имел доступ и т.д.), но если обнаружится что какая-то библиотека левая или что-то подозрительное устанавливали - то систему придётся переставлять с нуля есть ещё такой вариант как команда resmon / "Resource Monitor" (вкладка "Network" - Listening Ports) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.05.2020, 21:03 |
|
||
|
Прорвались через фаейвол!
|
|||
|---|---|---|---|
|
#18+
vikkiv, PID 4 - System ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.05.2020, 22:20 |
|
||
|
Прорвались через фаейвол!
|
|||
|---|---|---|---|
|
#18+
Relic Hunter, ну судя по тому что локальный порт статичный 9002, (как официальный вариант Dynamid с их софтом, из франции, занимаются распределёнными системами, может предоставляешь им серверные ресурсы забесплатно) а дистанционные: динамичные - то соединение скорее всего вхоящее (т.е. твоя система на этом порту сама ожидает - и принимает подключения) в netstat -ano или resmon у PID=4 это будет 9002 в "listening ports" - т.е. сторонний инициатор (входящее) а т.к. процесс system - то явно какой-то процесс использует стандартные Windows системные возможности через API часто system с pid=4 (стандартный практически самый первый) работает с 80м портом по всяким системным нуждам с др. стороны - если через внешний локальный firewall внешнее подключение до внутреннего сервера добирается то на маршрутизаторе полюбому правила должны по идее стоять принимающие внешнее соединение на определённом порту и пробрасывающие на определённое устройство с IP:port на внутренней сетке (или соединение устанавливается в обход твоего firewall, неправильные настройки, др. устр. смотрящие наружу) если это действительно чёрная активность которую на сервере никто специально не настраивал - то возможно какие-то внутренние библиотеки скомпрометированны/подменены в общем проверяй инфраструктуру - почему фаервол пропускает входящие (хотя ты говоришь не должен, т.к. правил проброса нет) у меня напр. pid=4 на 9001-м тоже слушает, (кроме NetBIOS,SMB и пр. функций) но я ему ни на вход, ни на выход не позволяю (Windows FireWall) со всеми сетевыми правилами настроенными отдельно, всё остальное закрыто и на IN и на OUT. ну и в конце концов проверь почему у сервера свой firewall не активен и пропускает соединения (не настроен), может пора серьёзно поговорить / уволить админа или кто там напортачил самодеятельностью. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.05.2020, 15:34 |
|
||
|
Прорвались через фаейвол!
|
|||
|---|---|---|---|
|
#18+
Relic Hunter Dimitry Sibiryakov Повторяю медленно: UPnP и туева хуча других протоколов, позволяющих сетевым программам работать на компьютерах идиотов обычных пользователей. Поставь тот же teamviewer и посмотри куда он побежит... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.05.2020, 00:08 |
|
||
|
|
start [/forum/topic.php?fid=26&msg=39958098&tid=1492199]: |
0ms |
get settings: |
10ms |
get forum list: |
16ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
134ms |
get topic data: |
9ms |
get forum data: |
4ms |
get page messages: |
54ms |
get tp. blocked users: |
1ms |
| others: | 242ms |
| total: | 478ms |
| 0 / 0 |
