Конференция VBStreets

[ANDLL]

Периодически(иногда довольно часто) ZoneAlram выкидывает такие сообщения:

Description Packet sent from 222.223.135.2 (UDP Port 33581) to 82.151.102.112 (UDP Port 1027) was blocked
Rating Medium
Date / Time 2005/06/08 21:59:20+4:00 GMT
Type Firewall
Protocol UDP
Program
Source IP 222.223.135.2:33581
Destination IP 82.151.102.112:1027
Direction Incoming
Action Taken Blocked
Count 1
Source DNS
Destination DNS HOME

Что бы они могли означать и можно ли жать галочку "Больше не показывать..."? Или наооборот надо бить тревогу?

[Ennor]

Ну что, какой-то китаец пытается ломануться к тебе по UDP на порт 1027. Вообще, в последнее время я часто вижу в сети пакеты на этот порт, даже слишком часто, но я так и не понял, кто (или что) им пользуется. IANA на эту тему весьма лаконична:

Код: Выделить всё

exosee          1027/tcp   ExoSee
exosee          1027/udp   ExoSee
#                          Chagdali Ismail <chagdali@free.fr> June 2003

Возможно, Alibek и/или Sebas смогут нам раскрыть эту тайну, т.к. мне тоже интересно - может, какой новый вирь завелся, а я и не знаю? И на securitylab тишина на эту тему...

[ANDLL]

Ну что, какой-то китаец пытается ломануться к тебе по UDP на порт 1027.

И на сколько реадьны шансы на то, что у него это получится?

[Ennor]

Пока стоит и работает зоналарм - нулевые. Я использовал этот файерволл со времен лавсана, и он ни разу ничего не пропустил. Так что на баунс инкамов можешь спокойно забить и переключиться в режим "Do not show any informational alerts".

[ANDLL]

А если бы брандмауэра не было бы, то что? Он смог бы как-то навредить моему компьютеру?

[Konst_One]

вот, что нашел по возможным троянам по этому порту:

1027= Clandestine, DataSpy Network X, KiLo, UandMe

[Konst_One]

народ в инете говорит, что это

Код: Выделить всё

Sygate Personal Firewall

рассылает такие пакеты по данным портам

[Konst_One]

вот смотри:

However, about the Sygate smc.exe listening to port 1027 - this is for
2 reasons:
1st- smc.exe is a part of the Sygate Secure Enterprise, more
specifically the firewall product. This piece of software blocks
attacks from Internet-bound viruses and hackers. This program is
important for the stable and secure running of your computer and should
not be terminated.
(quoted from:
http://www.liutilities.com/products/win ... ocesslibra ry/smc/ )

2nd - Microsoft operating systems tend to allocate one or more
unsuspected, publicly exposed services (probably DCOM, but who knows)
among the first handful of ports immediately above the end of the
service port range (1024+).
(and)
The most distressing aspect of this, is that these service ports are
wide open to the external Internet. If Microsoft wants to allow DCOM
services and clients operating within a single machine to
inter-operate, that's fine. But in that case the DCOM service ports
should be "locally bound" so that they are not wide open and flapping
in the Internet breeze.
(from: http://grc.com/port_1027.htm )

Sooo....on Port 1027 having a tool from the firewall snooping/sniffing
about is not a terrible thing to have