查看: 4704|回复: 10
收起左侧

[讨论] 通过X-SCAN端口检测带来的疑问!!

[复制链接]
伯夷叔齐
发表于 2008-2-19 02:12:04 | 显示全部楼层 |阅读模式
(一)今天用X-SCAN对自己的电脑进行了扫描,结果发现有服务在用UDP协议调用123端口时,产生漏洞,如图:



(二)从图中显示,这并不是一般的开放服务端口显示,而是实实在在的漏洞,而最后扫描结果,HTTP列表里,红框里显示的是低风险漏洞,但下面的NESSUS ID:10884  不理解这个意思,是不是进程或服务的身份号??请高手释疑,谢谢大家:



(三)用NETSTAT -A -B -N命令查看端口调用,结果发现四个DLL文件调用SVCHOST.EXE,调用123端口,但通过在线病毒扫描,此四个DLL文件都正常:



(四)1、在COMODO里设置禁止SVCHOST.EXE出站肯定不可能,尽管可以解决此漏洞问题,但会造成网络出错;2、由于123端口其中的功能是使电脑与INTERNET时间同步,因此在控制面板里的日期时间选择项里关闭时间同步,但扫描结果依然显示123端口漏洞;3、无法在服务里找到这个NTP(Network Time Protocol)服务项。由于不知道此漏洞产生于哪个服务,因此,只有在全局规则里设置禁止通过123端口用UDP协议出站,再次扫描,此漏洞问题解决!


写此帖,主要是想找到问题的根本,1、究竟通过什么方法可以查找到是哪个DLL调用了SVCHOST.EXE去造成了UDP协议下的123端口的漏洞,如何在不设置全局端口规则的条件下解决此漏洞;2、全局规则里如果设置了阻止服务通过UDP协议123端口出站,那么是否电脑与互联网时间就无法同步?

谢谢大家的释疑!!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
zoes
发表于 2008-2-19 09:21:58 | 显示全部楼层
不是漏洞,123端口是 Windows Time服务打开的,默认是打开的,禁用这个服务就没有问题了。

另外,CFP对127.0.0.1的本地连接的访问是放行的,你从别的机器上用X-scan扫描一下应该是看不到123端口 的。

[ 本帖最后由 zoes 于 2008-2-19 09:25 编辑 ]
伯夷叔齐
 楼主| 发表于 2008-2-19 10:33:50 | 显示全部楼层
原帖由 zoes 于 2008-2-19 09:21 发表
不是漏洞,123端口是 Windows Time服务打开的,默认是打开的,禁用这个服务就没有问题了。

另外,CFP对127.0.0.1的本地连接的访问是放行的,你从别的机器上用X-scan扫描一下应该是看不到123端口 的。

非常感谢你的回答,但很遗憾的是,禁止了WINDOWS TIME服务项后,显示此漏洞依然存在。
dd2006
发表于 2008-2-19 10:49:09 | 显示全部楼层
毛豆应该是不拦截本机扫描本机的,你可以用其他电脑来扫这台计算机
伯夷叔齐
 楼主| 发表于 2008-2-19 11:02:33 | 显示全部楼层
原帖由 dd2006 于 2008-2-19 10:49 发表
毛豆应该是不拦截本机扫描本机的,你可以用其他电脑来扫这台计算机

不知道是否理解错误,我想,漏洞和端口开放并非同一回事,漏洞是板上钉钉的事情,危害远远大于用于某服务的开放端口,漏洞也有方向性,出站的漏洞,也许黑客直接扫描不到,但哪个木马进入电脑,恰好能够利用电脑上的某端口出站并建立与外部的连接,那就很可怕了。从万无一失的角度,所以我才发此贴,以引起大家的讨论。

如果我说的有错误,请指正,我也好学习到更多。
pastport
发表于 2008-2-19 13:26:40 | 显示全部楼层
对这类扫描 要从别的计算机扫自己 才比较准确
类似的扫描器还有流光、Retina
注意:要用别的电脑扫自己

木马利用漏洞
这时候HIPS就是最好的工具
程序要有作用要先运行
在运行阶段就被HIPS拦截了

PS.X-SCAN 不是介绍说有提供解决方案么
我是没用过
你看一下吧 程序使用说明啥的
伯夷叔齐
 楼主| 发表于 2008-2-19 13:57:30 | 显示全部楼层
原帖由 pastport 于 2008-2-19 13:26 发表
对这类扫描 要从别的计算机扫自己 才比较准确
类似的扫描器还有流光、Retina
注意:要用别的电脑扫自己

木马利用漏洞
这时候HIPS就是最好的工具
程序要有作用要先运行
在运行阶段就被HIPS拦截了

PS. ...

说得很有道理,我也托别人用X-SCAN扫描了我的电脑,没有任何问题。非常感谢你的释疑。
星之梦
发表于 2008-2-19 14:52:49 | 显示全部楼层
原帖由 zoes 于 2008-2-19 09:21 发表
另外,CFP对127.0.0.1的本地连接的访问是放行的


勾上防火墙警报设置里的Enable alerts for loopback requests就不是放行了。
Magis
头像被屏蔽
发表于 2008-2-19 16:09:43 | 显示全部楼层
水一个,密切关注此帖,希望能变成漏洞端口相关知识脱盲帖
小小之家 该用户已被删除
发表于 2008-2-19 16:40:42 | 显示全部楼层
毛豆对扫描不做回答吧,只是显示超时。说得不对还望提示!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-2 10:43 , Processed in 0.137650 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表