Discussion: Fichier SVCHOST
Afficher un message
Vieux 19/01/2005, 17h24   #8 (permalink)
Profil
Invité
Non Inscrit / Non Connecté
Ancienneté  100%
Ancienneté 100%
 
Messages: n/a
Téléchargements:
Uploads:
Par défaut
je ressort ce post pour vous mettre en garde, car svchost n'est pas aussi sympas qu il en á l air!
je n ais plus l url du site ou j ai trouver ça, mais je cite:
Salut,

Je suis désolé de détruire et de saccager la "Légende urbaine", mais un trojan peut être configuré pour utiliser n'importe quel port libre du système...

La liste ne sert à rien...

La meilleure sécurité consiste à supprimer tous les ports d'écoute de votre système... Pas de SVCHOST en écoute donc...
Les services de windows, notamment ceux de windows xp sont en mode d'écoute. C'est à dire qu'ils envoient non seulement un signal pour se faire connaître... Mais en plus ils répondent... Aux requêtes ICMP par exemple; pour n'en citer qu'un. Le mieux est d'empêcher que windows fasse office de phare... Surtout quand un scanner s'attarde sur notre IP range...

Le seul moyen de parvenir à cela est de configurer son firewall... Et de désactiver ou de configurer correctement les services... Et empêcher son système de répondre aux requêtes non sollicitées.

Les services SVCHOST concernant les adresses IP internes ne sont pas dangereuses. Seuls ceux communiquant directement avec l'extérieur le sont...

Voici une explication trés détaillée des services de window xp (Panneau de configuration/Outils d'administration/Services):

- Administration services

Puis fermez les ports suivant avec votre firewall. Ce sont des ports d'écoute. Les ports d'écoute permettent à un attaquant de connaître les failles d'un système et d'en faire son analyse:

- 135
- 445
- 1025
- 1035
- 1098
- 1492
- 1524
- 1568
- 2255
- 2300
- 5000
- Empêcher SYSTEM de recevoir des UDP

Maintenant, il faut aussi empêcher le système de répondre à des requêtes non sollicitées:

- Bloquez Outgoing ping command
- Bloquer Outgoing ping command (ping reply)
- Bloquez Incoming Icmp Time Exceeded (used by TRACEROUTE command)
- Bloquer Outgoing reply on PING command
- Bloquer Other ICMP
- Bloquez IGMP

Les programmes après doivent avoir chacun une règle claire et précise. Par exemple:

- "Generic Host Process for Win32 Services" correspondant à la connection internet ne doit communiquer qu'en UDP/TCP out (sortie). Ne surtout pas autoriser aussi en entrant... Une erreur que trop de gens font...


Voici quelques clés de registre (Regedit) qui permettent de peaufiner les réglages de service xp:


ATTENTION: Sauvegarder bien avant votre registre. Un redémarrage du système est nécessaire pour que les changements soient pris en compte.



1- DDos Exploit


Copier/coller ce qui suit dans notepad et renommer la en DDOS_EXPLOIT.REG. Puis lancez-la et faîtes inscrire les informations dans le registre.


**********Ne pas copier cette ligne************

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\Zones\0]
"1001"=dword:00000003
"1004"=dword:00000003

**********Ne pas copier cette ligne************



2- Empêcher l'activation du port d'écoute 445 ect

Copier/coller ce qui suit dans notepad et renommer la en NOISYPORTMUTE.REG. Puis lancez-la et faîtes inscrire les informations dans le registre.


**********Ne pas copier cette ligne************

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\NetBT\Parameters]
"SmbDeviceEnabled"=dword:00000000

**********Ne pas copier cette ligne************



3- Empêcher Media Player d'ouvrir des connections pour aller chercher des codecs:

Copier/coller ce qui suit dans notepad et renommer la en NOISYPORTMUTEMEDIAPLAYER.REG. Puis lancez-la et faîtes inscrire les informations dans le registre.


**********Ne pas copier cette ligne************

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\P references]
"PlayerScriptCommandsEnabled"=dword:00000000


**********Ne pas copier cette ligne************



4- Rendre obsolète un trojan ou cheval de troie

Cette méthode s'utilise en conjugaison avec des réglages fins du firewall. Si votre firewall est une passoire, cette astuce ne fontionnera pas.

Cette petite modification pointe toutes requêtes non sollicitées vers l'extérieur sur votre host interne; à savoir 127.0.0.1. chez vous donc... Donc quand un trojan cherche a communiquer votre adresse, il le fait sur le IP 127.0.0.1... Sympas ;o)

Copier/coller ce qui suit dans notepad et renommer la en NULLSESSION.REG. Puis lancez-la et faîtes inscrire les informations dans le registre.


ATTENTION: Cette astuce vous empêche aussi de fait de pouvoir faire du DCC send sous irc mirc. A vous de voir...


**********Ne pas copier cette ligne************

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Lsa]
"restrictanonymous"=dword:00000002


**********Ne pas copier cette ligne************


En espérant que cela pourra vous aider à mieux comprendre comment faire en sorte que les services SVCHOST soient plus discrets.



  Réponse avec citation