Neues zum Port 135

Im Zusammenhang mit dem Blaster-Wurm ist in letzter Zeit viel über die Möglichkeiten diskutiert worden, den offenen Port 135 zu schliessen, über den Blaster auf NT-Rechner gekommen ist. Zwar hat MS in diesem Fall schnell einen Patch für die RPC-Komponente zur Verfügung gestellt; aber viele User fragen sich zu Recht, ob bei einem weiterhin offenen Port 135 nicht neue Gefahren drohen, denn der Patch schließt ja nicht den Port. Die Möglichkeit den zugrundeliegenden Dienst Remoteprozeduraufruf (RPC) zu beenden, führte unweigerlich zu einem kastrierten und kaum noch funktionsfähigen Windows. Viele wollten auch die Alternative einer Firewall nicht praktizieren, so dass sich die Frage stellte, welche Möglichkeiten es noch gab. Ein merkwürdiges Phänomen lag darin, dass auf einigen NT-Maschinen der Port 135 mit der Deaktivierung der DCOM-Komponente geschlossen war, auf anderen aber nicht.Wenn man z.B. mit einem Tool wie Open Ports analysierte, welcher Prozess den 135er-Port in dem zweiten Fall öffnete, wurde ein svchost-Prozess angeführt, dessen Identität mit tasklist /svc und der dazugehörigen PID-Nummer als RPCSs identifiziert werden konnte. Es stellte sich also die Frage, warum der Dienst RPCSs in dem einen Fall den Port öffnet, in dem anderen aber nicht.
Aufgrund eines Hinweises von grc.com. (Vielen Dank an Steele für den Link) , habe ich gelernt, dass der Port 135 auch von den Diensten Taskplaner (Schedule) und MSDTC benutzt wird.
Erstaunlich ist nun folgendes : Wenn man den Taskplaner deaktiviert, der über einen anderen svchost-Prozess und eine andere PID läuft als der Remoteprozeduraufruf (RPC), dann öffnet der Prozess Remotprozeduraufruf (RPC) den Port 135 nicht mehr : Port 135 ist dann dicht.
Ob man allerdings den Taskplaner deaktivieren möchte, muss man jeweils für sich abwägen, da er z.B. die wichtige Prefetching-Funktion beim Bootvorgang ermöglicht und bei automatischen Updates aktiviert sein muss.

 

Was den 1025er anbetrifft : Ich habe auf meinen XP-Systemen folgendes getestet : Taskplaner deaktiviert -> Port 1025 wird durch einen Prozess "System" geöffnet.Taskplaner aktiviert -> nach Reboot:Taskplaner öffnet Port 1025 (also was das : 'Taskplaner öffnet keinen Port' angeht, hast du schon recht). Der Prozess "System" von oben öffnet jetzt Port 1026.

 

Befürchten ist gut. Das ist so sicher wie das Amen in der Kirche.
Aber zum 1025 nochmal. Die Frage lautete ja nicht, wie man den schließen könne, sondern DU meintest, dass der Taskplaner keinen Port zu öffnen scheine. Dem aber ist nicht so und ob er nun 1025, 1026 oder 27374 (SCNR) öffnet, ist eh wurscht.

 

Bei Win 98 ist das was anderes, da hab ich den Taskplaner auch längst ausgemustert. Nur wie du ja selbst bei Chip-Online geschrieben hast, der Port 1025 wird bei XP durch das System, also nicht durch einen Dienst, ohnehin geöffnet.Win 98 ist ja, was Ports anbetrifft, die durch das OS geöffnet werden, noch ganz unschuldig. Bei XP dagegen gibt es diesbezüglich eine inflationäre Entwicklung .Erschwerend kommt dabei hinzu, dass sich MS auch nicht genau in die Karten schauen läßt, was die diesbezüglichen Funktionszusammenhänge anbetrifft, so dass man befürchtemn muss, dass das Sicherheitsloch im RPC-Dienst nicht das letzte Osterei war.

 

Warum betrachtest du es denn umgekehrt? Macht doch gar keinen Sinn.

Bei meinem Win98 zum Bleistift hab ich den Taskplaner in Rente geschickt (lange vor solchen Verquickungen) und rate mal, welche Ports bei mir nie offen sind.

 

>Räusper...doch, und zwar Port 1025

Tja, mit dem Port 1025 ist das so eine eigene Geschichte.Er wird ja vom System ohnehin geöffnet, auch wenn der Taskplaner deaktiviert ist. Ein junger, renommierter Sicherheitsexperte des Chip-Online-Forum schrieb dazu folgendes :

Insbesondere bei Usern des IE ist dieser Port [gemeint ist :Port 1025] meist deshalb offen, weil er einer der ersten oberhalb von Port 1024 ist und damit generell für Browser und andere Anwendungen bereitgehalten wird. Also keine Panik. Das Teil wurde vom System geöffnet.

IRON erstellt am 18.01.03 15:01

Das entspricht auch genau meiner Erfahrung. Wenn nun der Taskplaner aktiviert ist, dann krallt er sich eben diesen unpriviligierten Port und der System-Prozess weicht dann auf 1026 aus.Umgekehrt betrachtet : Das Deaktivieren des Taskplaner schließt den Port 1025 nicht.

 

Herrjehminiee...watt geht denn hier ab

Räusper...doch, und zwar Port 1025

 

>Muss ich jetzt innerlich dem Iron Abbitte leisten, da dieser immer der Meinung war, dass es möglich ist, den Port 135 zu schließen und ich für mich entschieden hatte, dass es nicht möglich ist

Wenn du mit Iron Steele meinst: Dem muss man ohnehin immer dankbar sein. Allerdings war es in diesem Fall ja auch wichtig herauszufinden, wie man das ohne Nebenwirkungen tut.Tatsache ist, dass er mich durch den grc.com-Link auf die Idee gebracht hat, den Zusammenhang der beiden Dienste Schedule(Taskplaner) und Remoteprozedurraufruf (RPC) genauer zu untersuchen.Das Komische an der Sache ist ja, dass der Taskplaner für sich als Dienst gar keinen Port zu öffnen scheint. Active Ports führt eben nicht den Taskplaner als den Prozess an, der den Port 135 öffnet, sondern den Remoteprozeduraufruf (RPC).Der läßt sich aber aus den schon oft angesprochenen Gründen nicht schliessen.
Schlussfolgerung :
Der Port 135 ist allein durch das Deaktivieren des Schedule-Service (Taskplaner) und der DCOM-Komponente zu schliessen.Man benötigt dafür keine Firewall.

 

LOL
Entschuldigung akzeptiert

 

Hallo Franzkat,
da ich auch zu denen gehöre, die den Port 135 unter XP bisher ohne zuhilfenahme der XP-Firewall nicht schließen konnten, habe ich Deinen Tip mit der Deaktivierung des Taskmanagers befolgt ( einfach über XP-Antispy deaktiviert ) und habe über
"shields up - all service Ports" die ersten 1056 Ports überprüfen lassen.
( Ohne die XP-Firewall). Das Ergebnis macht mich eigentlich sprachlos. Sämtliche Ports sind "closed", darüber hinaus werden die Ports 135, 137, 138, 139, 445 und 593 als "stealth" angezeigt. Ich habe keine Erklärung dafür, aber ich freue mich darüber.
Ich danke Dir für diese Information!
martin

Muss ich jetzt innerlich dem Iron Abbitte leisten, da dieser immer der Meinung war, dass es möglich ist, den Port 135 zu schließen und ich für mich entschieden hatte, dass es nicht möglich ist?