---

Jeg kan se på min firewall-log at jeg ofte bliver angrebet via port 24432.

Er det muligt at lukke denne port ?

(XPsp2-SystemSuite firewall-adsl-intet netværk)

\Olsen

---

Olsen skrev:

> Jeg kan se på min firewall-log at jeg ofte bliver angrebet via port 24432.

> Er det muligt at lukke denne port ?

Er den da åben?

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

Bertel Lund Hansen wrote:
> Olsen skrev:
>
>> Jeg kan se på min firewall-log at jeg ofte bliver angrebet via port
>> 24432.
>
>> Er det muligt at lukke denne port ?
>
> Er den da åben?

Hvordan ser jeg det ?

---

Olsen skrev:

>>> Jeg kan se på min firewall-log at jeg ofte bliver angrebet via port
>>> 24432.

>>> Er det muligt at lukke denne port ?

>> Er den da åben?

> Hvordan ser jeg det ?

Ved at du opdager at der er kommet fremmede på dit system.

Hvordan ser du at du bliver angrebet?

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

Bertel Lund Hansen wrote:

> Hvordan ser du at du bliver angrebet?

Det skriver min log.
\Olsen

---

Olsen skrev:

>> Hvordan ser du at du bliver angrebet?

> Det skriver min log.

Hvis det banker på din dør, kan du høre at du bliver 'angrebet'.
Det betyder ikke at døren er åben.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

"Olsen" <snyd@c.dk> skrev i en meddelelse
news:4406c877$0$47060$edfadb0f@dread15.news.tele.dk...
> Bertel Lund Hansen wrote:
>> Olsen skrev:
>>
>>> Jeg kan se på min firewall-log at jeg ofte bliver angrebet via port
>>> 24432.
>>
>>> Er det muligt at lukke denne port ?
>>
>> Er den da åben?
>
> Hvordan ser jeg det ?

grc.com har et online tool som hedder ShieldsUP! - det kan laver en
"portscan" på din IP og fortæller hvilke porte som står åbne.
http://www.grc.com/

ShieldsUP!
The Internet's quickest, most popular, reliable and trusted, free Internet
security checkup and information service. And now in its Port Authority
Edition, it's also the most powerful and complete. Check your system here,
and begin learning about using the Internet safely

---

"-" <@> writes:

>grc.com har et online tool som hedder ShieldsUP! - det kan laver en
>"portscan" på din IP og fortæller hvilke porte som står åbne.
>http://www.grc.com/

Der er vist ikke som sådan noget galt med ShieldsUP!, men...

>The Internet's quickest, most popular, reliable and trusted, free Internet
>security checkup and information service.

....gør måske, at man bør kigge forbi http://grcsucks.com/ også.

Mvh.
   Klaus.

---

Den Thu, 2 Mar 2006 12:13:12 +0000 (UTC) skrev Klaus Ellegaard:
> "-" <@> writes:
>
>>grc.com har et online tool som hedder ShieldsUP! - det kan laver en
>>"portscan" på din IP og fortæller hvilke porte som står åbne.
>>http://www.grc.com/
>
> Der er vist ikke som sådan noget galt med ShieldsUP!, men...

Jo, masser.

- "Telnet er åben, men det betyder ikke noget"... (ok, den har han så
fået fixet siden sidst jeg var inde på siden).

- "the SSH services and their security add-on packages have a long history of
many widely exploited buffer overflow vulnerabilities."

- Samt et enkelt stealth-fly, sammen med oplysning om at der overhovedet
ikke er nogen tegn på at der er en computer på IP-adressen, selvom
både telnet og ssh er åbne.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis wrote:
>>Der er vist ikke som sådan noget galt med ShieldsUP!, men...
>
>
> Jo, masser.
>
> - "Telnet er åben, men det betyder ikke noget"... (ok, den har han så
> fået fixet siden sidst jeg var inde på siden).
>
> - "the SSH services and their security add-on packages have a long history of
> many widely exploited buffer overflow vulnerabilities."
>
> - Samt et enkelt stealth-fly, sammen med oplysning om at der overhovedet
> ikke er nogen tegn på at der er en computer på IP-adressen, selvom
> både telnet og ssh er åbne.

Du mangler:

1) Kun TCP scannes.

2) Kun port 0-1055 scannes.


Hvad skal man bruge en scanner til der kun afsøger 0,8 %?

---

"Christian E. Lysel" <sunsite.dk@spindelnet.dk> writes:

>Hvad skal man bruge en scanner til der kun afs=F8ger 0,8 %?

Jeg tror, både du og Kent har glemt at læse manualen.

Mvh.
   Klaus.

---

Den Thu, 2 Mar 2006 21:57:04 +0000 (UTC) skrev Klaus Ellegaard:
> "Christian E. Lysel" <sunsite.dk@spindelnet.dk> writes:
>
>>Hvad skal man bruge en scanner til der kun afs=F8ger 0,8 %?
>
> Jeg tror, både du og Kent har glemt at læse manualen.

Står der i den hvordan man får den til ikke at kalde SSH fuld af
huller? Eller hvordan man får den til ikke at ævle om stealth-fly?

Eller står der at Hr. Gibson er en spade der ikke skal tages
alvorligt, og skulle det i så fald være nok til ikke at advare folk
om hans skrammel?

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis <nospam@nospam.invalid> writes:

>> Jeg tror, både du og Kent har glemt at læse manualen.

>Står der i den hvordan man får den til ikke at kalde SSH fuld af
>huller?

Du har vist stadig ikke fået læst den?

Den siger, at "SSH services and their security add-on packages
have a long history of many widely exploited buffer overflow
vulnerabilities".

Det er ikke helt forkert. Der har været en SSH-baseret orm til
Linux, og SSHv1 er stadig defekt.

>Eller hvordan man får den til ikke at ævle om stealth-fly?

Nej, det er unægteligt et udmærket kritikpunkt. Bemærk at jeg
allerede i min første artikel fremførte dette. Men så igen...
kan du vise mig en manual der rakker ned på det produkt, den
beskriver?

>Eller står der at Hr. Gibson er en spade der ikke skal tages
>alvorligt, og skulle det i så fald være nok til ikke at advare folk
>om hans skrammel?

....som jeg påpegede i min første artikel.

Mvh.
   Klaus.

---

Den Fri, 3 Mar 2006 17:42:10 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>
>>> Jeg tror, både du og Kent har glemt at læse manualen.
>
>>Står der i den hvordan man får den til ikke at kalde SSH fuld af
>>huller?
>
> Du har vist stadig ikke fået læst den?
>
> Den siger, at "SSH services and their security add-on packages
> have a long history of many widely exploited buffer overflow
> vulnerabilities".
>
> Det er ikke helt forkert. Der har været en SSH-baseret orm til
> Linux, og SSHv1 er stadig defekt.

"En"... Teksten får det til at lyde som om at SSH er en større
risiko end Internet Explorerm eller en upatched XP. Og så svært
skulle det vel heller ikke være at checke versions-strengen man
får tilbage?

Var det iøvrigt ikke ham der anbefalede Windows, "fordi sikkerheden
er meget bedre"?

>>Eller hvordan man får den til ikke at ævle om stealth-fly?
>
> Nej, det er unægteligt et udmærket kritikpunkt. Bemærk at jeg
> allerede i min første artikel fremførte dette. Men så igen...
> kan du vise mig en manual der rakker ned på det produkt, den
> beskriver?

Nej, men jeg kan ikke lige se hvordan at læse manualen ellers skulle
være relevant.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis <nospam@nospam.invalid> writes:

>"En"... Teksten får det til at lyde som om at SSH er en større
>risiko end Internet Explorerm eller en upatched XP. Og så svært
>skulle det vel heller ikke være at checke versions-strengen man
>får tilbage?

Det er en port-probe. Den prøver ikke at undersøge noget som
helst nærmere. (Og den giver heller ikke indtryk af, at den
gør det).

>Var det iøvrigt ikke ham der anbefalede Windows, "fordi sikkerheden
>er meget bedre"?

Der er ingen tvivl om, at Gibson forstår meget lidt af det,
der sker på IT-sikkerhedsområdet. Det er endog veldokumenteret.

Det eneste, jeg påpeger, er, at hans ShieldsUp! faktisk gør
det, den reklamerer med: tjekker TCP-porte. Eneste ulempe er,
at den ævler om noget stealth-hejs, men det ændrer jo ikke
på selve funktionaliteten.

Mvh.
   Klaus.

---

Den Fri, 3 Mar 2006 18:03:51 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>
>>"En"... Teksten får det til at lyde som om at SSH er en større
>>risiko end Internet Explorerm eller en upatched XP. Og så svært
>>skulle det vel heller ikke være at checke versions-strengen man
>>får tilbage?
>
> Det er en port-probe. Den prøver ikke at undersøge noget som
> helst nærmere. (Og den giver heller ikke indtryk af, at den
> gør det).
>
>>Var det iøvrigt ikke ham der anbefalede Windows, "fordi sikkerheden
>>er meget bedre"?
>
> Der er ingen tvivl om, at Gibson forstår meget lidt af det,
> der sker på IT-sikkerhedsområdet. Det er endog veldokumenteret.
>
> Det eneste, jeg påpeger, er, at hans ShieldsUp! faktisk gør
> det, den reklamerer med: tjekker TCP-porte. Eneste ulempe er,
> at den ævler om noget stealth-hejs, men det ændrer jo ikke
> på selve funktionaliteten.

Ja, som jeg også skrev, hvis man kun kigger efter om der står
"closed" eller ej, er den fin. Man skal bare se bort fra alt
andet tekst.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis <nospam@nospam.invalid> wrote:

> Den Fri, 3 Mar 2006 18:03:51 +0000 (UTC) skrev Klaus Ellegaard:

<snip>

> > Det eneste, jeg påpeger, er, at hans ShieldsUp! faktisk gør
> > det, den reklamerer med: tjekker TCP-porte. Eneste ulempe er,
> > at den ævler om noget stealth-hejs, men det ændrer jo ikke
> > på selve funktionaliteten.
>
> Ja, som jeg også skrev, hvis man kun kigger efter om der står
> "closed" eller ej, er den fin. Man skal bare se bort fra alt
> andet tekst.

Det er da meget rart at blive mindet om det, hvis Discard PING from WAN
side skulle være blevet slået til.

---

Klaus Ellegaard <klausellegaard@msn.com> wrote:

> "-" <@> writes:
>
> >grc.com har et online tool som hedder ShieldsUP! - det kan laver en
> >"portscan" på din IP og fortæller hvilke porte som står åbne.
> >http://www.grc.com/
>
> Der er vist ikke som sådan noget galt med ShieldsUP!, men...

Det ville være rart med oplysning om alternativer. Jeg var engang inde
på en tilsvarende side som jeg læste om på sslug, men kan selvfølgelig
ikke huske adressen.

---

hlexa@hotmail.com (Axel Hammerschmidt) writes:

>> Der er vist ikke som sådan noget galt med ShieldsUP!, men...

>Det ville være rart med oplysning om alternativer.

Jeg kender ikke umiddelbart nogen alternativer (jeg plejer at få
en ven til at køre nmap mod mig).

Faktisk er ShieldsUP et udmærket værktøj, og jeg har ikke grund
til at tro, der er noget galt med det. Jeg har endda selv brugt
den et par gange.

Hvis man skal kritisere noget, så er det dens "STEALTH"-vås. Og
ikke mindst risikoen for, at brugeren går hen og tror, at Gibson
ved noget som helst om IT-sikkerhed.

Mvh.
   Klaus.

---

Den Thu, 2 Mar 2006 21:14:22 +0000 (UTC) skrev Klaus Ellegaard:
> hlexa@hotmail.com (Axel Hammerschmidt) writes:
>
>>> Der er vist ikke som sådan noget galt med ShieldsUP!, men...
>
> Hvis man skal kritisere noget, så er det dens "STEALTH"-vås.

Jeg ville udvide det til at omfatte alle dens forklaringer på
hvad der er godt og skidt. Eller for at være helt præcis, ikke dem
alle, men en alm. bruger er ikke i stand til at vurdere hvilke af
dem der er brugbare.

Hvis man kun kigger på om der står "closed" eller ej, så er den ok,
bare man lige husker at den altså ikke checker alle porte.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Klaus Ellegaard wrote:
>>Det ville være rart med oplysning om alternativer.
>
>
> Jeg kender ikke umiddelbart nogen alternativer (jeg plejer at få
> en ven til at køre nmap mod mig).

netstat -na

---

"Christian E. Lysel" <sunsite.dk@spindelnet.dk> writes:

>> Jeg kender ikke umiddelbart nogen alternativer (jeg plejer at f=E5=20
>> en ven til at k=F8re nmap mod mig).

>netstat -na

Jeg tror ikke, jeg vil forlade mig på en lokal status i den sammenhæng.

Mvh.
   Klaus.

---

Klaus Ellegaard wrote:
> "Christian E. Lysel" <sunsite.dk@spindelnet.dk> writes:
>
>
>>>Jeg kender ikke umiddelbart nogen alternativer (jeg plejer at f=E5=20
>>>en ven til at k=F8re nmap mod mig).
>
>
>>netstat -na
>
>
> Jeg tror ikke, jeg vil forlade mig på en lokal status i den sammenhæng.

Tro mig, "netstat -na" er langt bedre end ShildsUp! til at undersøge
om man har en listner kørende på port 24432, specielt fordi ShildsUp!
ikke scanner port 24432.

---

"Christian E. Lysel" <sunsite.dk@spindelnet.dk> writes:

>Tro mig, "netstat -na" er langt bedre end ShildsUp! til at unders=F8ge
>om man har en listner k=F8rende p=E5 port 24432, specielt fordi ShildsUp!=
>ikke scanner port 24432.

Du har stadig ikke læst manualen.

Mvh.
   Klaus.

---

Klaus Ellegaard wrote:
> "Christian E. Lysel" <sunsite.dk@spindelnet.dk> writes:
>
>
>>Tro mig, "netstat -na" er langt bedre end ShildsUp! til at unders=F8ge
>>om man har en listner k=F8rende p=E5 port 24432, specielt fordi ShildsUp!=
>>ikke scanner port 24432.
>
>
> Du har stadig ikke læst manualen.

Hvilken manual har du i tankerne?

Hvordan starter man en scanning af alle IP protokoller og TCP og UDP
porte med ShieldsUp!?

Hvordan starter man en scanning med mere end 1055 porte?


Hvad betyder "All service port"?

...Although it is possible to have higher-numbered ports listening for
incoming connections, our scan of the entire "service port range" will
detect all standard services running and listening on the standard
service ports...

Hvorfor siger min "netstat -na" at jeg har listner kørende på bla. port
5060, 5061, 5800, 5900, 8010, 8100, 9010, 9100, 11878, 13106, når
ShildsUp definiere Alle service port til 0-1023?

Hvorfor er port 0 en service port?

Hvorfor har IANA applikationer på porte udover 1023? (Se evt.
http://www.iana.org/assignments/port-numbers)


Hvorfor har "Port Aythority Database" færre oplysninger end IANA (se fx
port 43331), når -- citat start ..."And now in its Port Authority
Edition, it's also the most powerful and complete."... citat slut -- ?

---

"Christian E. Lysel" <sunsite.dk@spindelnet.dk> writes:

>Hvordan starter man en scanning af alle IP protokoller og TCP og UDP=20
>porte med ShieldsUp!?

You don't. Det fremgår af manualen.

>Hvordan starter man en scanning med mere end 1055 porte?

You don't. Det fremgår af manualen.

>Hvad betyder "All service port"?

>=2E..Although it is possible to have higher-numbered ports listening for =
>incoming connections, our scan of the entire "service port range" will=20
>detect all standard services running and listening on the standard=20
>service ports...

Lige præcis.

>Hvorfor siger min "netstat -na" at jeg har listner k=F8rende p=E5 bla. po=
>rt=20
>5060, 5061, 5800, 5900, 8010, 8100, 9010, 9100, 11878, 13106, n=E5r=20
>ShildsUp definiere Alle service port til 0-1023?

Fordi ShieldsUp definerer "all service ports" til at være til og med 1055.

>Hvorfor er port 0 en service port?

Mjah, det er jo til gengæld et udmærket spørgsmål. Passer udmærket
overens med min kommentar om, at Gibson faktisk ikke har styr på
IT-sikkerhed.

>Hvorfor har IANA applikationer p=E5 porte udover 1023? (Se evt.=20
>http://www.iana.org/assignments/port-numbers)

Fordi de ikke er begrænset af well-known ports - det fremgår af
manualen til ShieldsUp.

>Hvorfor har "Port Aythority Database" f=E6rre oplysninger end IANA (se fx=
>=20
>port 43331), n=E5r -- citat start ..."And now in its Port Authority=20
>Edition, it's also the most powerful and complete."... citat slut -- ?

Jeg gentager: fordi Gibson ikke har begreb om IT-sikkerhed.

I øvrigt har du stadig ikke læst manualen.

Mvh.
   Klaus.

---

Klaus Ellegaard <klausellegaard@msn.com> wrote:

> hlexa@hotmail.com (Axel Hammerschmidt) writes:
>
> >> Der er vist ikke som sådan noget galt med ShieldsUP!, men...
>
> >Det ville være rart med oplysning om alternativer.
>
> Jeg kender ikke umiddelbart nogen alternativer (jeg plejer at få
> en ven til at køre nmap mod mig).
>
> Faktisk er ShieldsUP et udmærket værktøj, og jeg har ikke grund
> til at tro, der er noget galt med det. Jeg har endda selv brugt
> den et par gange.

Siden har været der længe og var vidst een af de første med port
scan-rapport. Det er nok derfor jeg kan huske adressen. Men jeg har
forbrugsafregnet og med al den grafik ville jeg gerne spare lidt
håndøre.

> Hvis man skal kritisere noget, så er det dens "STEALTH"-vås. Og
> ikke mindst risikoen for, at brugeren går hen og tror, at Gibson
> ved noget som helst om IT-sikkerhed.

Ja, men det er det den udbredte kendskab til sitet som gør ham nyttig.

---

Axel Hammerschmidt wrote:
>
> Det ville være rart med oplysning om alternativer. Jeg var engang inde
> på en tilsvarende side som jeg læste om på sslug, men kan selvfølgelig
> ikke huske adressen.

Det skulle vel ikke være http://scan.sygate.com/

--
Kasper Dupont -- Rigtige mænd skriver deres egne backupprogrammer
#define _(_)"d.%.4s%."_"2s" /* This is my new email address */
char*_="@2kaspner"_()"%03"_("4s%.")"t\n";printf(_+11,_+6,_,6,_+2,_+7,_+6);

---

Kasper Dupont
<81416720125316872339@expires.14.apr.2006.kasperd.net.invalid> wrote:

> Axel Hammerschmidt wrote:
> >
> > Det ville være rart med oplysning om alternativer. Jeg var engang inde
> > på en tilsvarende side som jeg læste om på sslug, men kan selvfølgelig
> > ikke huske adressen.
>
> Det skulle vel ikke være http://scan.sygate.com/

Tak for forslaget. Nej, det var en privatperson, en deltager på sslug.
Ingen grafik. En fordel for dem med en forbrugsafregnet forbindelse. Det
kørte på en Linux maskine.

---

On Thu, 02 Mar 2006 11:27:10 +0100, Olsen wrote:
>>> Jeg kan se på min firewall-log at jeg ofte bliver angrebet via port
>>> 24432.
>>
>>> Er det muligt at lukke denne port ?
>>
>> Er den da åben?
>
> Hvordan ser jeg det ?

netstat er værktøjet til at se, hvilke porte, som der er programmer, der
lytter på.

--
Greetings from Troels Arvin, Copenhagen, Denmark

---

Hej Olsen, du skrev i dk.edb.sikkerhed:

[port 24432]

>>> Er det muligt at lukke denne port ?
>>
>> Er den da åben?
>
> Hvordan ser jeg det ?

Du kan gå ind på det meget omtalte Steve Gibson-site, vælge ShieldsUP!
og dér _ikke_ bare klikke på 'almindelige serviceporte' e.l. men vælge
"User-Specified Custom Port Probe".

Tast portnummeret ind og klik så på ovenstående.

Man kan også via denne teste et vilkårligt udvalg af porte,
'portserier' etc. Klikker du blot på "User-Specified Custom Port Probe"
uden at skrive noget portnummer, fremkommer der en letforståelig
vejledning i form af eksempler.

--
Hygge fra Århus - Rudi
http://stegen.dk/pclinks1.htm