www.MegaLab.it

[nannolo]

Ciao a tutti,
vorrei sapere per cosa viene utilizzata la porta 49153 dato che in "idle" il pc mi fa parecchie connessioni in uscita verso il gateway su questa porta. A fare queste connessioni è "svchost.exe" di windows.
Grazie in anticipo

[Seba:-)]

Ciao... Allora... la porta 49153 sinceramente non so a che cosa serva, ma sinceramente non pare nulla sìdi normale. Questa porta non appartiene alle porte che usa normalmente il sistema (ad esempio quella http, l'80), ma pare una di quelle tipiche di eMule o programmi del genere.
Per prima cosa io ti consiglio di togliere quelle schifezza di Peer Guardian e di installare un firewall serio come Comodo Firewall o Onlone Armor...
Poi ricorda: se non sai di che cosa si tratta, bloccala

[Fred]

Tanto per escludere virus et similia posta il log di hijackthis

[nannolo]

Ciao,
io non uso emule tanto meno programmi p2p, quindi escluderei questa possibilità. Come firewall uso il buon vecchio sygate, pg lo uso perché ho la necessità di bloccare alcune serie di indirizzi IP.

Per il log di hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.32.57, on 10/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\windows\system32\spoolsv.exe
C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
C:\windows\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\windows\system32\svchost.exe
C:\windows\SOUNDMAN.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programmi\PeerGuardian2\pg2.exe
C:\Programmi\NetGear\PS121\PS121v2.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\windows\System32\svchost.exe
C:\windows\System32\spool\DRIVERS\W32X86\3\E_S00MT1.EXE
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Hijackthis v2.0.2 (Executable).exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8118
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [PeerGuardian] C:\Programmi\PeerGuardian2\pg2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - Global Startup: NETGEAR PS121v2.lnk = C:\Programmi\NetGear\PS121\PS121v2.exe
O4 - Global Startup: Sygate Personal Firewall.lnk = C:\Programmi\Sygate\SPF\Smc.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: stunnel - Unknown owner - C:\Programmi\stunnel\stunnel.exe

PS: oggi invece della 49153 fa delle connessioni sulla 49152

[Seba:-)]

Ciao,
io non uso emule tanto meno programmi p2p, quindi escluderei questa possibilità. Come firewall uso il buon vecchio sygate, pg lo uso perché ho la necessità di bloccare alcune serie di indirizzi IP.

Per il log di hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.32.57, on 10/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\windows\system32\spoolsv.exe
C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
C:\windows\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\windows\system32\svchost.exe
C:\windows\SOUNDMAN.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programmi\PeerGuardian2\pg2.exe
C:\Programmi\NetGear\PS121\PS121v2.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\windows\System32\svchost.exe
C:\windows\System32\spool\DRIVERS\W32X86\3\E_S00MT1.EXE
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Hijackthis v2.0.2 (Executable).exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8118
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [PeerGuardian] C:\Programmi\PeerGuardian2\pg2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - Global Startup: NETGEAR PS121v2.lnk = C:\Programmi\NetGear\PS121\PS121v2.exe
O4 - Global Startup: Sygate Personal Firewall.lnk = C:\Programmi\Sygate\SPF\Smc.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: stunnel - Unknown owner - C:\Programmi\stunnel\stunnel.exe

PS: oggi invece della 49153 fa delle connessioni sulla 49152

Proprio non saprei il Log non ha nulla di strano mi pare tutto OK...
Non è che forse sei mirato da un cracker in qualche modo... ma non saprei...

[nannolo]

non credo proprio... (almeno spero!) vabbè che qui sono un novizio ma me la cavo piuttosto bene con i PC. Ho notato invece che questa cosa appena installato Windows non me la fa... mi succede dopo aver fatto gli aggiornamenti. Io non credo che sia una "minaccia" alla sicurezza tutta via ero curioso di sapere per quale motivo fa tutto questo diciamo "broadcast".

[clic]

@nannolo non so da dove Seba abbia capito che usi peerguardian comunque è opportuno fare una doverosa distinzione :
peerguardian non è un firewall ma un IP blocker ed a differenza di un vero firewall, non fa distinzioni di protocollo e porte ma blocca semplicemente un elenco di indirizzi presenti nelle solite liste tipo bluetack &C

con quale tool hai rilevato questa connessione ed inoltre sei riuscito a scoprire chi sta all'altro capo del filo o il processo rimane solo in ascolto?

[nannolo]

Ciao, seba l'ha capito dal fatto che avevo postato un'immagine di PG con le connessioni che venivano effettuate. Con il sygate ho visto che in "idle" il PC stava sempre trasmettendo qualcosa sulla rete, e mi sono detto fammi dare un'occhiata. Con il netstat di windows mi sono accorto che era "svchost" a fare queste connessioni. Comunque più che ascolto fa letteralmente broadcast da tutte le mie porte sulla 49153. Per es:

192.168.0.2:323 to 192.168.0.1:49153
192.168.0.2:324 to 192.168.0.1:49153
192.168.0.2:325 to 192.168.0.1:49153
192.168.0.2:326 to 192.168.0.1:49153
....
....

e così via... chiaramente 192.168.0.2 è il mio IP all'interno della LAN e 192.168.0.1 è il gateway. Chiaramente rimango aperto a chiarimenti su queste connessioni per me inspiegabili e soprattutto se è una minaccia per la mia sicurezza

PS: ribadisco che oggi ho notato che fa le connessioni sulla 49152 anzi che la 49153. Non è che ho le traveggole ma ieri le faceva su quest'ultima. E per finire sono connessioni col protocollo TCP.

[Amantide]

Facendo un po' di ricerca in rete pare di capire che tutte le porte si suddividono in 3 range:

1. Porte conosciute 1-1023
2. Porte registrate 1024-49152
3. Porte dinamiche o private 49152–65535

Come puoi vedere le porte che interessano a te sono proprio quelle dinamiche.
A questo punto non ti resta che fare la ricerca su Google cercando Dynamic o Private Port Numbers

[nannolo]

Si questa cosa la sapevo già, tuttavia cercare su Google non mi ha portato nessun risultato soddisfacente. Comunque continuerò a fare ricerche e in caso di esito positivo ve le farò sapere

[Amantide]

Bhe, essendo delle portre dinamiche, in teoria potrebberò essere assegnate ad un applicazione qualsiasi e quindi su Google non troveresti nulla di preciso.

Prova ad usare qualche TCP Sniffer per tracciare meglio il traffico.

EDIT:
I primi 2 programmi credo che farebbero al caso tuo
http://www.nirsoft.net/network_tools.html

[clic]

qui c'è un interessante grafico del SANS Institute sulle statistiche d'uso di quella porta


http://isc.sans.org/port.html?port=49153

[nannolo]

@amantide sinceramente non ci avevo pensato agli sniffer comunque domani pomeriggio provo e vi faccio sapere
@clic davvero interessante vedere come a novembre sia calato drasticamente l'uso di questa porta

[nannolo]

Ciao, oggi ho provato a fare lo sniffing con "SmartSniff" e penso di aver capito come mai queste connessioni. Questo di seguito è il contenuto di un pacchetto inviato:

Codice: Seleziona tutto

HTTP/1.1 200 OK
CONTENT-LENGTH: 515
CONTENT-TYPE: text/xml; charset="utf-8"
DATE: Tue, 11 Nov 2008 13:14:09 GMT
EXT:
SERVER: Linux/2.6.8.1, UPnP/1.0, Intel SDK for UPnP devices /1.2

<s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"><s:Body>
<u:GetCommonLinkPropertiesResponse xmlns:u="urn:upnp-org:serviceId:WANCommonInterfaceConfig">
<NewWANAccessType>DSL</NewWANAccessType>
<NewLayer1UpstreamMaxBitRate>480000</NewLayer1UpstreamMaxBitRate>
<NewLayer1DownstreamMaxBitRate>7680000</NewLayer1DownstreamMaxBitRate>
<NewPhysicalLinkStatus>Up</NewPhysicalLinkStatus>
</u:GetCommonLinkPropertiesResponse>
</s:Body> </s:Envelope>

A questo punto mi sembra ovvio che lo fa per rilevare la presenza di porte UPnP sul router (ho un Netgear DG834GT). E sarebbe spiegato anche il SO, come indicato sopra è linux.
Detto questo, ditemi se sto bestemmiando oppure è fattile a vostro parere.