PDA

【閒聊】沒想到入口網站會需要svchost才能瀏覽?



贊助商連結

micro2
2005-08-26, 12:10 PM
話說小弟自從使用費爾防火牆3.0專業版後,在無意間發現如果把svchost的對外連線封鎖,用IE瀏覽www.tw.yahoo.com和www.pchome.com.tw,會出現找不到網頁的訊息,如果放行svchost,又可以瀏覽,而其它網站並無此情形,就算封鎖svchost,照樣可正常瀏覽,不過後來在http://www.imageshack.us/index.php,發現也會出現和入口網站同樣的情形,而大部分的論壇並不會因為svchost的封鎖而無法瀏覽,這讓小弟想到著名的RPC漏洞就是因為svchost造成CPU的使用率居高不下,因為曾經受過這個漏洞的虧,所以才想實驗看看,看看關閉svchost的對外連線,是否會影響網路的正常瀏覽,如果網路都可正常運作(包括:MSN、OE、FTP..等),那麼駭客利用
Svchost入侵的管道就等於直接封鎖了,也就不會成為RPC漏洞的受害者了~

http://img135.imageshack.us/img135/1456/svchostanti9xp.th.jpg (http://img135.imageshack.us/my.php?image=svchostanti9xp.jpg)

另外,以上作的實驗,都是把lsass,system也一併封鎖的狀態下所作的,所以說想利用lsass,system漏洞入侵的駭客也別想了~
因為都已經被封鎖了~ :D

小弟猜,就算沒有安裝修正檔,只要把這些容易有漏洞的都封鎖了,
電腦被入侵的機率也就相對的減低很多了,至少駭客也不想自找麻煩,去入侵一台很難搞的主機,除非他跟你有深仇大恨~ :D

總結,關於svchost這點,似乎無解,還是需要靠漏洞修補程式去
補洞,希望駭客們不要看到這篇,不然這招很快又要失效了~ :|||:

贊助商連結

asplinux2000
2005-08-26, 12:30 PM
我封鎖了沒有事情哩.....另外= =+

圖片:
http://home.so-net.net.tw/asplinux2000/mypc/block.png
micro2
2005-08-26, 12:38 PM
我封鎖了沒有事情哩.....另外= =+
您Yahoo的網址Key錯了..Orz...
tw.yahoo.com
等等補圖上來...= =a

網址並沒有錯,在IE輸入www.tw.yahoo.com會被自動轉址為:http://tw.yahoo.com/
asplinux2000
2005-08-26, 12:41 PM
網址並沒有錯,在IE輸入www.tw.yahoo.com會被自動轉址為:http://tw.yahoo.com/

喔呵呵@@a
歹事歹勢= ="
誤會您了 :|||:
micro2
2005-08-26, 12:50 PM
喔呵呵@@a
歹事歹勢= ="
誤會您了 :|||:

想請問您用的防火牆是和我一樣的嗎?
能否PO個圖參考一下~ :)
asplinux2000
2005-08-26, 12:57 PM
想請問您用的防火牆是和我一樣的嗎?
能否PO個圖參考一下~ :)

我用的跟您不一樣,我用Sygate Persional Firewall Pro

圖片here:
http://home.so-net.net.tw/asplinux2000/mypc/block.png
micro2
2005-08-26, 02:30 PM
我用的跟您不一樣,我用Sygate Persional Firewall Pro

圖片here:
http://home.so-net.net.tw/asplinux2000/mypc/block.png

我想你用的防火牆應該是只有檔svchost的某些Port,而不是檔svchost的所有port,之前我用的kerio防火牆,也和你一樣,只有
打勾與否而已,當初svchost也是設定為阻擋,記得那時上網也沒問題(印象中~),可能費爾比較適合中階者使用吧? 因為太詳細了,連svchost在監聽中的所有port都會list出來,允許你單獨對svchost的每一個監聽port作出入管制~

我曾經實驗過,如果只關掉svchost的某個port(svchost的其它port為放行),入口網站就無法瀏覽,可見得入口網站有利用到svchost被禁止的該port,後經反覆實驗發現,每次入口網站都會走svchost不同的port,也就是如果svchost在監聽中的port有5個,
那麼入口網站只會走其中的一個port,所以到底會走那一個port並不一定~

不過入口網站會走svchost是肯定的~ :circle:

PS:以上我說的"入口網站"都是以我舉例的網站而言~
stilonx
2005-08-31, 04:20 PM
我用NORTON防火牆,程式控制對於SVCHOST毫無反應.....不過日誌倒是有它的紀錄。

TCP svchost.exe -bbe1l7: 135 0 0 0 23:41:00 正在接收
UDP svchost.exe bt2.uglab.org: 123 0 0 0 23:40:43
UDP svchost.exe -bbe1l7: 1039 1092 14373 0 23:40:23
UDP svchost.exe -BBE1L7: 123 0 0 0 23:40:43
UDP svchost.exe -bbe1l7: 1284 10110 64141 0 23:38:02
UDP svchost.exe -bbe1l7: 1314 3791 38695 0 23:37:56
UDP svchost.exe -bbe1l7: 1318 14121 166570 0 23:37:55
UDP svchost.exe bbe1l7: 1615 40014 410147 0 23:37:09
UDP svchost.exe -BBE1L7: 1900 0 0 0 23:40:37