ICQ inbound port 1000 open! - Privacy en beveiliging

zondag 7 november 2004 02:49

Acties:

Verwijderd

Topicstarter

Hallo beste tweakers,

Ik zit hier met een gat in mijn systeem, namelijk dat ICQ vanaf een client via freeproxy in het netwerk een open poort 1000 inbound veroorzaakt. Ik heb die met speciale regels gedicht , maar dan kan vanaf de client niet meer worden ingelogd met ICQ.

Die poort moet dus blijkbaar open blijven staan. Toch vreemd dat het om een inbound gaat en dat vertrouw ik niet. Systeem is volledig gescanned op spyware en virussen (allen geupdate met de nieuwste versies software)

Heb een proxy server (freeproxy 3.72) geïnstalleerd op een win XP Pro bak. Firewall is Agnitum Outpost 2.1.303.4009 (314). Met een scan op www.grc.com is alles in stealth modus, behalve die poort 1000 die van ICQ is. Het valt me op dat poort 1000 ook op freeproxy wordt gezet.

Is er een mogelijkheid om die poort 1000 inbound toch stealth te krijgen en ook te laten werken voor ICQ? 1 portscan op mijn IP en het is bingo

Ik heb dus al met regels proberen te dichten (alleen specifiek poort 1000 inbound voor freeproxy, kan niet icq regelen omdat het via de proxy gaat)
Verder Agnitum site en de freeproxy site afgestruind, maar helaas niets.....

Mijn hoop is op jullie gevestigd

zondag 7 november 2004 03:08

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Ik snap niet waarom je dit een veiligheidsprobleem vind cq. ik gok dat je het IP protocol niet helemaal doorhebt? Is er een service die op die poort luistert? Ja. Heeft die bekende veiligheidsproblemen? Gebruik dan een andere client.
Is het nodig? Ja, anders kan niemand jouw benaderen als jij hen niet al eerder hebt benaderd. Hoe wil je anders dat iemand waar jij niet al een verbinding mee hebt, jouw een bericht laten sturen?

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zondag 7 november 2004 12:58

Acties:

Verwijderd

Topicstarter

Dit is een veiligheidsprobleem omdat bij een eventuele portscan van buitenaf 1 poort wagenwijd open staat. Dus er is al te zien dat er een PC achter hangt (in stealth modus niet dus. Dan lijkt het erop dat op mijn IP geen pc zit of inet uit is, geen poging tot hacken dus

) Maar op die poort kan men ook nog eens proberen binnen te dringen.

En ja, ik begrijp wel dat programma s poorten open moet gooien om te kunnen werken. Maar hoe kan dat dat dat b.v. firefox, maar ook andere progjes ook poorten gebruikt terwijl die volledig stealth blijven? Dat wil ik dus ook met ICQ bereiken.

Het ligt iig niet aan freeproxy zie ik nu, want als ICQ uit staat, is de poort wel stealth en potdicht terwijl de proxy blijft draaien. ICQ flikt dit geintje dus. Wat is hier verder aan te doen behalve alle software vervangen? (waar ik dus niet op zit te wachten)

Dit staat ook nog eens bij poort 1000 na de grc.com scan:

Trojan Sightings: Connecter, Der Späher / Der Spaeher, Direct Connection, DerSpaeher (oftewel: deze poort kan ook gebruikt worden voor dit type trojan horse. Reden des te meer om die te dichten dunkt me zo

)

Bedankt voor je input!

zondag 7 november 2004 13:20

Acties:

Verwijderd

Verwijderd schreef op 07 november 2004 @ 12:58:
Dit is een veiligheidsprobleem omdat bij een eventuele portscan van buitenaf 1 poort wagenwijd open staat. Dus er is al te zien dat er een PC achter hangt (in stealth modus niet dus. Dan lijkt het erop dat op mijn IP geen pc zit of inet uit is, geen poging tot hacken dus ) Maar op die poort kan men ook nog eens proberen binnen te dringen.

En ja, ik begrijp wel dat programma s poorten open moet gooien om te kunnen werken. Maar hoe kan dat dat dat b.v. firefox, maar ook andere progjes ook poorten gebruikt terwijl die volledig stealth blijven? Dat wil ik dus ook met ICQ bereiken.

Het ligt iig niet aan freeproxy zie ik nu, want als ICQ uit staat, is de poort wel stealth en potdicht terwijl de proxy blijft draaien. ICQ flikt dit geintje dus. Wat is hier verder aan te doen behalve alle software vervangen? (waar ik dus niet op zit te wachten)

Dit staat ook nog eens bij poort 1000 na de grc.com scan:

Trojan Sightings: Connecter, Der Späher / Der Spaeher, Direct Connection, DerSpaeher (oftewel: deze poort kan ook gebruikt worden voor dit type trojan horse. Reden des te meer om die te dichten dunkt me zo )

Bedankt voor je input!

Ook al staat een poort stealth, met bijv. een -P0 scan in nmap, zonder ICMP pakketjes, kan je hem alsnog zien hoor. Als een poort open is is ie te detecteren. Dat kan niet anders, anders zou niemand er data heen kunnen sturen.

zondag 7 november 2004 13:47

Acties:

Verwijderd

Topicstarter

Aha, ok. Bedankt voor de tip

zondag 7 november 2004 14:11

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Verwijderd schreef op 07 november 2004 @ 12:58:
Dit is een veiligheidsprobleem omdat bij een eventuele portscan van buitenaf 1 poort Dit staat ook nog eens bij poort 1000 na de grc.com scan:

Trojan Sightings: Connecter, Der Späher / Der Spaeher, Direct Connection, DerSpaeher (oftewel: deze poort kan ook gebruikt worden voor dit type trojan horse. Reden des te meer om die te dichten dunkt me zo )

Nope, helemaal niet relevant. Het gaat om de service die er achter draait, niet het poortnummer zelf. Als ik een trojan op pak-em-beet poort 80 laat draaien noemt grc dat waarschijnlijk een webserver; totaal niet het geval.

Overigens kan je met 'port knocking' het wel voor elkaar krijgen "stealth" te zijn en toch een service draaien maar nogmaals: je kunt dan natuurlijk geen instant messengers of andere applicaties gebruiken waar willekeurige mensen van buiten je proberen te benaderen.

Kortom: zoek uit hoe het IP protocol eigenlijk werkt en bedenk dat schreeuwerige teksten op een test-website niet per se overeenkomen met veiligheid en/of practische zaken

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)