port 1025 open ..

message from bruno on 12 Jun 2004
bonjour a tous

une question svp sur le site grc.com
je lance un scan des port usuel et il me marque failed car il me dit le port
1025 open .. ok
mon firewall reagit bien sur et bloque pdt 1/2 h une ip .. et bien sur
lorsque je rescan derriere, c est au vert .. je viens de comprendre
seulement maintenant que c est l ip bloque qui doit rendre le port 1025
inacessible .. je pense sinon je vois pas pourquoi toutles les 1er fois sont
rouge et la deuxieme st verte ..
d ou ma question : port 1025 .. pourqoui lui ? ou peut etre ma failles ..
dois je simplement interdire le port 1025 ? a quoi peut il servir .il
faudrait le savoir a vant que je le fassse non ?

il sert a certains services ? comment puis je ameliorer
qu en pense vous..

amicalement
bruno
 
RomZ replied to bruno on 12 Jun 2004
Le port 1025 est le port utilisé par Windows pour le "fameux" protocole RPC,
dont les failles ont provoqué l'arrivée de virus tels que Blaster. Il serait
donc judicieux de vérifier premièrement si tu as au moins la mise à jour
KB824146 dispo chez Microsoft, deuxièmement de vérifier que ce port est bien
bloqué par ton firewall pour les accès provenant d'Internet. Si ton PC est
un PC familial, il n'y a aucune raison d'ouvrir le port 1025 à
l'extérieur...

"bruno" <jdawson_titanic@neuf.fr> a écrit dans le message de
news:urO2kbFUEHA.2940@TK2MSFTNGP09.phx.gbl...
 
JacK [MVP] replied to RomZ on 12 Jun 2004
'lut,

Non : 135, 139, 445 ou 593 .

1025 est d'un des tout premiers pots enregistrés (1024-5000) et peut être
utilisé par n'importe quelle application, les ports enregistrés sont
utilisés en ordre croissant selon leuer disponibilité.
 
Romain GARRIGUES replied to JacK [MVP] on 12 Jun 2004
OK, OK.j'ai répondu un peu vite..
en fait, il semblerait que ce port est ouvert par Windows depuis Win2000.
Les avis divergent sur sa provenance mais il est rapporté que de nombreux
troyens l'utilisent.
l'article sur RPC était sur http://www.linklogger.com/TCP1025.htm

En tout cas, le port ne doit pas être ouvert à "l'extérieur"..

"JacK [MVP]" <jack@nospam.org> a écrit dans le message de
news:e1KVuWHUEHA.704@TK2MSFTNGP09.phx.gbl...
 
JacK [MVP] replied to Romain GARRIGUES on 12 Jun 2004
'lut,

S'il n'y a pas de serveur sur la machine, *aucun* port ne doit être ouvert
en IN.

Quant au OUT, inutile de fermer ce port avec un FW, s'il l'est, c'est le
1026 qui sera utilisé par l'application concernée, si le 1026 l'est, c'est
le 1027 etc... ;) Chercher p^ltôt quelle application utilise ce port à
l'aide de TCPview par exemple et voir si c'est légitime.

Trojans utilisant par défaut ce port :

TCP : AcidkoR, BDDT, DataSpy Network X, Fraggle Rock , KiLo, MuSka52,
NetSpy, Optix Pro , Paltalk, Ptakks, Real 2000, Remote Anything, Remote
Explorer Y2K, Remote Storm, RemoteNC

UDP : KiLo, Optix Pro , Ptakks, Real 2000, Remote Anything, Remote Explorer
Y2K, Remote Storm, Yajing

Garder à l'exprit qu'on peut très facilement changer le port utilisé par un
trojan et utiliser n'importe lequel au choix, la plupart des trojans récents
le permettent depuis l'interface ;)
 
bruno replied to JacK [MVP] on 12 Jun 2004
bonjour jack

une question stp
je suis alle sur le site optimix pour la config des services... j ai copie
un peu dessus de mon cote et tout a l heure j ai eu l erreur suivante

peut tu m aider a savoir si ca vient d'un changement dans mes services et
lequel ..

merci par avance jack

amicalement

bruno

Type de l'événement : Informations
Source de l'événement : Application Popup
Catégorie de l'événement : Aucun
ID de l'événement : 26
Date : 12/06/2004
Heure : 15:49:49
Utilisateur : N/A
Ordinateur : TOTO-4KGT5PWD85
Description :
Application popup : Explorer.EXE - Erreur d'application : L'instruction à
"0x77f47ec4" emploie l'adresse mémoire "0x00000067". La mémoire ne peut pas
être "written".

Cliquez sur OK pour terminer le programme.

Pour plus d'informations, consultez le centre Aide et support à l'adresse
http://go.microsoft.com/fwlink/events.asp.
 
JacK [MVP] replied to bruno on 12 Jun 2004
'lut,

C'est un popup messenger qui n'a pas pu se lancer, tant mieux.
http://www.techspot.com/vb/showthread/t-2800.html

Utilise un FW et désactive éventuellement le service affichage des messages
si tu n'en a pas l'utilité.
 
bruno replied to JacK [MVP] on 12 Jun 2004
rebonjour

j abuse mais bon .

je sais pas si c est lie, je compte sur toi pour me le dire -:)
je sais pas si j ai une bebete, spyware ou autres et si mon erreur popup est
lie mais dans mon firewall il apparait parfoiis "windows explorer" ce qui n
est pas normal .. je l enleve donc et "seulement" de temps en temps il
revient .. mais comme je touche certains services en ce moment selon les
avis de chacun.. tu comprend le pb ..

dis moi ton avis la dessus .. qu en penses tu ..

je suis suspendu a ton aide jack .. sauve moi !!!!!!!!!!!

amicalement
bruno :-)
 
JacK [MVP] replied to bruno on 12 Jun 2004
'lut,

Il n'y aucune raison pour autoriser Explorer à avoir accès au W3.

Comme je ne sais pas ce que tu as fais dans les services ni ceux que tu
utilises, je n'ai pas la moindre idée..

Par exemple, je n'utilise pas le DHCP (tous mes postes sont en IP fixes), je
l'ai désactivé mais il peut être indispensable à quelqu'un d'autre.
 
bruno replied to JacK [MVP] on 12 Jun 2004
rebonjour

je sais qu il n ya pas de raison pour trouver explorer dans le firewall ..
il s y met lorsque qq chose se declenche je pense ..mais quoi

j ai un poste normal, adsl standard et rien de special.. applicationd du pc
"familiale" pourrait ton dire

je veux bien te passer la liste des services et leur etat chez moi .. mais
comment faire pour eviter de se retaper la liste a la main .. tu as une
astuce pour te lister tout ca ..

excuse pour le derangement

bruno
 
JacK [MVP] replied to bruno on 12 Jun 2004
'lut,

PrintScreen et coller dans un logiciel tel que paint. Sauvegarder sous jpg.
Ne pas poster la pièce sur le NG, éventuellement par courrier perso.

Utgiliser un logiciel tel que TCPView pour voir les connexions. Interdire
dans ton FW Windows explorer d'accès au W3.
Il y a également un ver qui peut être responsable :
http://www.sophos.com/virusinfo/analyses/w32delodera.html
 
bruno replied to JacK [MVP] on 12 Jun 2004
bonjour jack

as tu recu mon email avec les pieces jointes ??

passe une bonne soiree jack

amicalement

bruno
 
JacK [MVP] replied to bruno on 12 Jun 2004
'lut,
Non.

Ecrire ici, comme indiqué en sig : http://www.cerbermail.com/?csaLJS6yvZ
 
bruno replied to JacK [MVP] on 13 Jun 2004
grace au ptit prg de JF je t envoi le resultat .. au cas ou qq chose t
intrigue
je t ai renvoye 6 fichier word hier a ton adresse securise jack.. si ca
arrive pas je comprend pas pourquio ?
un scan sur secuser, firewall norton actif et antivirus protect desactive ..
rien de detece
 
bruno replied to JacK [MVP] on 13 Jun 2004
bonjour jack

ci dessous la liste de tous les services chez moi dans l ordre d apparition
et comment ils sont configures .
dis moi si certains posent pb selon toi..

acces distance registre DESAC
acces perif inter desac
aquisition image manuel
adsl autoconnect auto
affichage message desac
aide et support manu
appel proced distan auto
applic syst com manu
assit netbios desac
audio auto
avertissemnt desac
carte puce deac
wmi manu
cliche volume manu
client suivi lien manu
dhcp auto
dns desac
compatibi avec chang amnu
config auto sans fil desac
conne secondaire desac
connec reseau manu
dde reseau manu
dectec noyau auto
distribu transac manu
dsdm dde manu
empl protege auto
explo ordi desac
extension wmi manu
fournisseur de la prise en charg manu
gestion applic manu
getion compte securite manu
gestion connexion auto acce distan desac
gestion de connextion distant manu
disque logique manu
album manu
gestion sesssion aide manu
gestion telechar manu
horlog desac
hote perif univ manu
infrac de gestion auto
journal even auto
journau et aler perfor manu
localisateur d appel manu
maj auto desac
ms sofware shadow copy manu
nla manu
norton intern securit auto
notif evemement auto
onduleur desac
ouv de session resau manu
pare feu de connec inter auto
parefeur ipv6 manu
partage de bureau manu
planif de tache auto
plug and play auto
prise en charge carte puce desac
qos rsvp manu
routage desac
script blocking auto
serveur auto
service com de gravage desac
service adminis du gestion disque loggique manu
ssdp desact
passerelle manu
numero serie desac
rappor erreur desac
restauration sys auto
transfert intell manu
indexation manu
norton antivir auto
crypto auto
ipsec desac
service terminal server man
spooler desac (pas d imprimante)
station de travail auto
stocka amovi manuel
symantec event auto
symante network manu
symantec passwor manu
symantec proxy auto
systeme evenement de com+ manu
telephonie manu
telnet manu
theme auto
webclient desac
windows install manu

merci d avance .. comme convenu pour la facturation :-) :-)
amicalement

bruno
 
bruno replied to JacK [MVP] on 12 Jun 2004
salut jack

bon j ai plus d info qd a explorer dans mon firewall
ca ne me dit rien qui vaillent et aide moi si tu peux

qd je demande les regles pour explorer il me donne

- window explorer email : 25 -110
- window explorer ftp data transfer :20 - 21 et 1024 - 65535 rien que ca
- gopher 70
window explorer : 80 81 82 83 443 1080 8080 8088 11523 - 1900
web folder 1375 1039 2404 - 1040 a 1050
tcp outrule : 135 -524

dis moi jack j ai un pb serieux la .. tu peux me dire

je vire explorer de la liste et attends de te nouvelle

merciiiiii d avance ..

je te revaudrai ca :-)

bruno
 
Claude =?iso-8859-1?Q?LaFreni=E8re?= [climenole] replied to bruno on 13 Jun 2004
Le 12 juin 2004

Pas windows explorer : ce machin n'a rien à faire sur le web.
Port 25 = smtp simple mail transfer protocol : envoi de courrier
Port 110 = pop3 : réception de courrier

Pas de Windows Explorer sur le web
Ports pour le FTP : file transfer protocol
port 20 ftp data
port 21 ftp control

1025 à 65535 : mode ftp passif
Le ftp est utilisé parfois par IE et autres navigateurs quand tu télécharge
des trucs .Tu peux utiliser parfois le http pour de tels téléchargements
ou utiliser un machin comme Filezilla pour le transfer de fichiers en FTP de
serveurs Unix vers ton PC (ex. Sun Microsystem )

Vieux protocole de m---- pas obligatoire : pratiquement pas utilisé.

NON NON et NON : WE jamais sur le web.

Internet Explorer :
Port distants :
Port 80 : HTTP : sites ordinaires
Port 443 : HTTPS (sites sécurisés)
Port 1080 : socks
Port 8080: proxy
C'est tout.

Non pas ce machin.Spécifique à IE et pratiquement pas utilisé.
Pas de Web folder.

??? bloque ça

Pense à utiliser un navigateur alternatif plutôt que IE :
FireFox ou Mozilla.
Opera : adware mais il existe des cracks...
Les autres machins Avant, MyIE 2 etc sont des surcouches d'IE
(méfie toi de MyIE : sur le site ils proposent UC More : un spyware !!!!)

Amicalement.
 
bruno replied to Claude =?iso-8859-1?Q?LaFreni=E8re?= [climenole] on 13 Jun 2004
bonjour claude

pour l explorateur intenet j utilise now "avant browser" qui est assez sympa
.. reste les mails je dois trouver un bon prg de mail .. je vais y regarder

pour explorer dans le firewall, j ai dis explorer "tout bloquer" donc je
dois etre "tranquille", ce qui m iniquietait le plus etait la raison qui le
faisait venir .. un services mal configure ou inutile, une bebete (crois pas
trop avec tous les scan que je fais) alors qu est ce qui le fait venir comme
ca surtout que cest relativement recent .. donc boquer pour l instant mais
je prefererai ne pas du tout l avoir dans la liste ..

bon je te passe mes services comme ils sont aujourd hui.. je demande conseil
encore un peu plus dans l ordree d apparition

acces distance registre DESAC
acces perif inter desac
aquisition image manuel
adsl autoconnect auto
affichage message desac
aide et support manu
appel proced distan auto
applic syst com manu
assit netbios desac
audio auto
avertissemnt desac
carte puce deac
wmi manu
cliche volume manu
client suivi lien manu
dhcp auto
dns desac
compatibi avec chang amnu
config auto sans fil desac
conne secondaire desac
connec reseau manu
dde reseau manu
dectec noyau auto
distribu transac manu
dsdm dde manu
empl protege auto
explo ordi desac
extension wmi manu
fournisseur de la prise en charg manu
gestion applic manu
getion compte securite manu
gestion connexion auto acce distan desac
gestion de connextion distant manu
disque logique manu
album manu
gestion sesssion aide manu
gestion telechar manu
horlog desac
hote perif univ manu
infrac de gestion auto
journal even auto
journau et aler perfor manu
localisateur d appel manu
maj auto desac
ms sofware shadow copy manu
nla manu
norton intern securit auto
notif evemement auto
onduleur desac
ouv de session resau manu
pare feu de connec inter desac (icf)
parefeur ipv6 manu
partage de bureau manu
planif de tache auto
plug and play auto
prise en charge carte puce desac
qos rsvp manu
routage desac
script blocking auto
serveur auto
service com de gravage desac
service adminis du gestion disque loggique manu
ssdp desact
passerelle manu
numero serie desac
rappor erreur desac
restauration sys auto
transfert intell manu
indexation manu
norton antivir auto
crypto auto
ipsec desac
service terminal server man
spooler desac (pas d imprimante)
station de travail auto
stocka amovi manuel
symantec event auto
symante network manu
symantec passwor manu
symantec proxy auto
systeme evenement de com+ manu
telephonie manu
telnet manu
theme auto
webclient desac
windows install manu

merci de ton aide claude ..ton indulgence stp, je suis eleve..

amicalement -:)

bruno
 
Claude =?iso-8859-1?Q?LaFreni=E8re?= [climenole] replied to bruno on 13 Jun 2004
Le 13 juin 2004

Pour les différents logiciels de courrier:

http://arobase.org/softs/index.htm

Pour Windows Explorer : aucun accès.
Ne pas confondre avec Internet Explorer...

essai celui-là en manuel...

désactivé

tu peux la laisser en manuel

désactivé

désactivé

désactivé

désactivé

Comme ça , ça devrait aller.

Amicalement.
 
Claude =?iso-8859-1?Q?LaFreni=E8re?= [climenole] replied to Claude =?iso-8859-1?Q?LaFreni=E8re?= [climenole] on 13 Jun 2004
Le 13 juin 2004
 
bruno replied to Claude =?iso-8859-1?Q?LaFreni=E8re?= [climenole] on 13 Jun 2004
excuse moi mais qd tu dis

anant: ok .. que veut tu dire ?

amicalement

bruno
 
Claude =?iso-8859-1?Q?LaFreni=E8re?= [climenole] replied to bruno on 13 Jun 2004
Le 13 juin 2004

Faute de frappe : Avant (Browser) : ok !
 
bruno replied to Claude =?iso-8859-1?Q?LaFreni=E8re?= [climenole] on 14 Jun 2004
bonjour claude

merci pour les services a desactiver encore .. je le ferai ce soir ..
tu vas rigoler mais j ai desactiver le fait d etre averti des alerte
firewall .. j ai tout bloque sauf autorisation, plus sur et les test sont
meileurs et les alertes d acces que j ai me prenne le choux alors j ai
decoche et evidement c est plus calme .. put__ d intenet on peut pas etre
tranquille !!
bon sinon ca va .. pas se souci particulier et avec tout ce que je fais
tourner en controle, je pense que ma couche est propre..
tu parle souvent d antivir et scan email etc.. le mien bip bien de temps en
temps sur notamement SWEN donc si lui ou stinger, secuser devant bipper sur
d autres sur mon pc, je pense honnetement que ca le ferai, mais la non chez
moi pas de bebete connu du grand public apparemment .. je t avoue que je
rigole de temps a autre de te lire !!! .. :-) .. tu n a pas la langue dans
ta poche .. t a bien raison ..
j apprecie bcp discuter avec vous et apprendre aussi.. cet esprit d entraide
.. bravo

allez je te laisse.. je te reconctaterai a l occas avec les leak test que tu
m avais conseiller
http://www.firewallleaktester.com/index.html
je vais les reprendre un par un

pour a2 j ai la version "simple" .. me suis enregistre et en avant .. mais
la aussi .. clean

qd je vois les mer.. que certains attrapes, le miens parait tres calmes et
ne me fait pas bcp de misere .. un ptit reboot bureau de temps a autres mais
c est pas mechant

je te laissse, passe une bonne journee .. keep cool

amicalement

bruno
 
Claude =?iso-8859-1?Q?LaFreni=E8re?= [climenole] replied to bruno on 14 Jun 2004
Le 14 juin 2004

Ça parle au diable ! Tu es devenu un PRO maintenant !
Parfait : je vais enfin pouvoir aller m'évacher dans mon hamac .
À ton tour maintenant de prendre en charge les mal-pris du web.
Je te fait parvenir un voile blanc et bleu style Mère Thérésa :-D

Ouais ... ça ne me rend pas spécialement populaire mais tant pis.
J'ai heurté beaucoup d'âmes sensibles sur ce forum.
Les vierges offensées sont nombreuses ici :-))))
(Pour parler franchement,je suis un gros méchant LOL)

Toi aussi.

A+
 
bruno replied to JacK [MVP] on 12 Jun 2004
salut

je viens de te renvoyer en utilisant ton liens
ecrire ici comme indique en sig.
j ys suis alle et ca m avouer mon prg de mail et j ai envoye a l adresse
indique alors je sais pas si cett fois ca va marche mon adresse est

jdawson_nospam@neuf.fr

enleve _nospam

amicalement

bruno
 
bruno replied to JacK [MVP] on 12 Jun 2004
salut

je t ai envoye a ta boite les copie d ecran de mes services
merci de tes conseil

j ai fais de mon mieux

amicalement

bruno
 
JF replied to JacK [MVP] on 12 Jun 2004
Bonjour JacK [MVP] !

Cet outil devrait être très utile.

STARTUPTRACKER
Control Programs That Run at Startup
www.dougknox.com/xp/tips/xp_startup_programs.htm
Liste dans un fichier texte tout ce qui est lancé, en
cours de fonctionnement, ainsi que les services utilisés
 
bruno replied to JF on 13 Jun 2004
bonjour jack/jf

ci dessous la liste de tous les services chez moi dans l ordre d apparition
et comment ils sont configures .
dis moi si certains posent pb selon toi..

acces distance registre DESAC
acces perif inter desac
aquisition image manuel
adsl autoconnect auto
affichage message desac
aide et support manu
appel proced distan auto
applic syst com manu
assit netbios desac
audio auto
avertissemnt desac
carte puce deac
wmi manu
cliche volume manu
client suivi lien manu
dhcp auto
dns desac
compatibi avec chang amnu
config auto sans fil desac
conne secondaire desac
connec reseau manu
dde reseau manu
dectec noyau auto
distribu transac manu
dsdm dde manu
empl protege auto
explo ordi desac
extension wmi manu
fournisseur de la prise en charg manu
gestion applic manu
getion compte securite manu
gestion connexion auto acce distan desac
gestion de connextion distant manu
disque logique manu
album manu
gestion sesssion aide manu
gestion telechar manu
horlog desac
hote perif univ manu
infrac de gestion auto
journal even auto
journau et aler perfor manu
localisateur d appel manu
maj auto desac
ms sofware shadow copy manu
nla manu
norton intern securit auto
notif evemement auto
onduleur desac
ouv de session resau manu
pare feu de connec inter auto
parefeur ipv6 manu
partage de bureau manu
planif de tache auto
plug and play auto
prise en charge carte puce desac
qos rsvp manu
routage desac
script blocking auto
serveur auto
service com de gravage desac
service adminis du gestion disque loggique manu
ssdp desact
passerelle manu
numero serie desac
rappor erreur desac
restauration sys auto
transfert intell manu
indexation manu
norton antivir auto
crypto auto
ipsec desac
service terminal server man
spooler desac (pas d imprimante)
station de travail auto
stocka amovi manuel
symantec event auto
symante network manu
symantec passwor manu
symantec proxy auto
systeme evenement de com+ manu
telephonie manu
telnet manu
theme auto
webclient desac
windows install manu

merci d avance .. comme convenu pour la facturation :-) :-)
amicalement

bruno
 
bruno replied to JacK [MVP] on 12 Jun 2004
rebonjour

affichages des msg desactive avant le popup pourtant ..
je crains toujours d avoir fait une betises dans ces services que je ne
connais pas bien encore

je suis a l ecoute de tes conseil pour meiux faire

amicalement jack

bruno
 
bruno replied to JacK [MVP] on 12 Jun 2004
rebonjour

ok pour ton msg .. j utilise un firewal .. y a t il un pb ?
donne moi un peu plus d explic si tu peux .. puis je ameliorer ..

d avance merci

un etudiant es 'securite pc' :-)

amicalement

bruno
 
bruno replied to JacK [MVP] on 12 Jun 2004
salut jack

amicalement votre

bruno/f5jrx
 

Archived message: port 1025 open .. (Microsoft WinXP)
 
Note: To make this discussion more readable on the page the original messages have been edited to remove most of the references and quoting.