通过X-SCAN端口检测带来的疑问！！

伯夷叔齐

（一）今天用X-SCAN对自己的电脑进行了扫描，结果发现有服务在用UDP协议调用123端口时，产生漏洞，如图：



（二）从图中显示，这并不是一般的开放服务端口显示，而是实实在在的漏洞，而最后扫描结果，HTTP列表里，红框里显示的是低风险漏洞，但下面的NESSUS ID：10884  不理解这个意思，是不是进程或服务的身份号？？请高手释疑，谢谢大家：



（三）用NETSTAT -A -B -N命令查看端口调用，结果发现四个DLL文件调用SVCHOST.EXE，调用123端口，但通过在线病毒扫描，此四个DLL文件都正常：



（四）1、在COMODO里设置禁止SVCHOST.EXE出站肯定不可能，尽管可以解决此漏洞问题，但会造成网络出错；2、由于123端口其中的功能是使电脑与INTERNET时间同步，因此在控制面板里的日期时间选择项里关闭时间同步，但扫描结果依然显示123端口漏洞；3、无法在服务里找到这个NTP（Network Time Protocol）服务项。由于不知道此漏洞产生于哪个服务，因此，只有在全局规则里设置禁止通过123端口用UDP协议出站，再次扫描，此漏洞问题解决！


写此帖，主要是想找到问题的根本，1、究竟通过什么方法可以查找到是哪个DLL调用了SVCHOST.EXE去造成了UDP协议下的123端口的漏洞，如何在不设置全局端口规则的条件下解决此漏洞；2、全局规则里如果设置了阻止服务通过UDP协议123端口出站，那么是否电脑与互联网时间就无法同步？

谢谢大家的释疑！！

zoes

不是漏洞，123端口是　Windows Time服务打开的，默认是打开的，禁用这个服务就没有问题了。

另外，CFP对127.0.0.1的本地连接的访问是放行的，你从别的机器上用X-scan扫描一下应该是看不到123端口　的。

[ 本帖最后由 zoes 于 2008-2-19 09:25 编辑 ]

伯夷叔齐

原帖由 zoes 于 2008-2-19 09:21 发表
不是漏洞，123端口是　Windows Time服务打开的，默认是打开的，禁用这个服务就没有问题了。

另外，CFP对127.0.0.1的本地连接的访问是放行的，你从别的机器上用X-scan扫描一下应该是看不到123端口　的。

非常感谢你的回答，但很遗憾的是，禁止了WINDOWS TIME服务项后，显示此漏洞依然存在。

dd2006

毛豆应该是不拦截本机扫描本机的，你可以用其他电脑来扫这台计算机

伯夷叔齐

原帖由 dd2006 于 2008-2-19 10:49 发表
毛豆应该是不拦截本机扫描本机的，你可以用其他电脑来扫这台计算机

不知道是否理解错误，我想，漏洞和端口开放并非同一回事，漏洞是板上钉钉的事情，危害远远大于用于某服务的开放端口，漏洞也有方向性，出站的漏洞，也许黑客直接扫描不到，但哪个木马进入电脑，恰好能够利用电脑上的某端口出站并建立与外部的连接，那就很可怕了。从万无一失的角度，所以我才发此贴，以引起大家的讨论。

如果我说的有错误，请指正，我也好学习到更多。

pastport

对这类扫描 要从别的计算机扫自己 才比较准确
类似的扫描器还有流光、Retina
注意:要用别的电脑扫自己

木马利用漏洞
这时候HIPS就是最好的工具
程序要有作用要先运行
在运行阶段就被HIPS拦截了

PS.X-SCAN 不是介绍说有提供解决方案么
我是没用过
你看一下吧 程序使用说明啥的

伯夷叔齐

原帖由 pastport 于 2008-2-19 13:26 发表
对这类扫描 要从别的计算机扫自己 才比较准确
类似的扫描器还有流光、Retina
注意:要用别的电脑扫自己

木马利用漏洞
这时候HIPS就是最好的工具
程序要有作用要先运行
在运行阶段就被HIPS拦截了

PS. ...

说得很有道理，我也托别人用X-SCAN扫描了我的电脑，没有任何问题。非常感谢你的释疑。

星之梦

原帖由 zoes 于 2008-2-19 09:21 发表
另外，CFP对127.0.0.1的本地连接的访问是放行的

勾上防火墙警报设置里的Enable alerts for loopback requests就不是放行了。

Magis

水一个，密切关注此帖，希望能变成漏洞端口相关知识脱盲帖

毛豆对扫描不做回答吧，只是显示超时。说得不对还望提示！