Svchost.exe y el puerto UDP 1026

Hola a todos:

Tengo un par de dudas que plantear para ver si me podeis echar una mano. Tengo instalado en una máquina que hace de servidor de correo, el outpost Firewall y lo que hago con él es solo permitir que entre y salga el correo, que el antivirus se actualice y poco más.

Mis dudas son las siguientes:

+ ¿Hay que bloquear a svchost.exe para que no pueda emitir nada fuera a internet pero sí a la red local interna?
+ Estos días me están apareciendo varios carteles que svchost.exe se intenta conectar a máquinas externas por el puerto 1026. ¿No habria problema en bloquear estas conexiones sin que algo deje de funcionar?

Haber si me podeis echar una mano, compañeros. Un saludo y gracias .

svchost ejecuta los servicios indicados en el registro, si es parte importante en el proceso de ejecución de estos servicios es normal que abra puertos, quizas sería más importante controlar que servicios arrancar al iniciar y cual parar, para que abra menos puertos.

Te paso un documento que encontre del svchost.exe y los puertos:



Como vimos anteriormente, SVCHOST.exe puede aparecer varias veces cargado en el sistema, de hecho, mientras escribo éste artículo, SVCHOST.exe aparece en la lista de procesos 6 veces, ocupando algo así como 45MB de memoria, este aparece cargando los servicios DcomLaunch, TermService, RpcSs,AudioSrv, Browser, CryptSvc, Dhcp, dmserver, ERSvc, EventSystem, FastUserSwitchingCompatibility, helpsvc, HidServ, lanmanserver, lanmanworkstation, Netman, Nla, rasAuto, RasMan, Schedule, seclogon, SENS, SharedAccess, ShellHWDetection, Tapisrvc, Themes, trkWks, winmgmt, wscsvc, wuauserv, WZCSVC, LmHosts, SSDPSRV, upnphost, WebClient, stisvc y HTTPFilter, pero, como si fuera poco, si tienes un Firewall, y alguna vez has visto listados los puertos que el proceso SVCHOST.exe tiene para sí, encontraras que SVCHOST.exe es el responsable de tener abiertos varios puertos del sistema.


"SVCHOST.exe no solo es el responsable de cargar varios servicios,
tambien abre numerosos puertos de conexion a nuestro sistema."


En mi caso, SVCHOST.exe tiene abiertos los siguientes puertos:

Con protocolo TCP: 135 y 2869

Con protocolo UDP: 53, 1035, 1036, 1900, 2030 y 3031

Cuando estes en busca de procesos maliciosos como Adware, software espía, etc, puedes confiar en que los puertos abiertos relacionados con SVCHOST.exe no han sido abiertos con mala intencion. Claro que ataques externos en contra de esos puertos (por ejemplo: Ataques a Llamadas a Procedimiento Remoto RPC "call—RPC—attacks" en contra del puerto 135) no se pueden descartar.

En el mundo de los Firewalls, al proceso del archivo SVCHOST.exe, se le conoce como [GENERIC HOST PROCESS FOR WIN32 SERVICES].

La mayoría de los Firewalls traen reglas predefinididas cuando las conexiones son de salida, pero cuando hay peticiones entrantes, toca definir dos reglas:

Si el protocolo es TCP
Si la conexion es de tipo ENTRADA
BLOQUEAR

Si el protocolo es UDP
Si la conexion es de tipo ENTRADA
BLOQUEAR

Hay casos raros, muy raros... en que las reglas predefinidas de conexiones de salida no son suficientes, si este es su caso, (si experimenta momentos en que el Firewall le pregunta sobre que una aplicacion solicita conexion de salida usando protocolo TCP), convendría definir esta regla:

Si el protocolo es TCP
Si la conexion es de tipo SALIDA
BLOQUEAR

Espero que con todo esto te sirva de ayuda

Hola ninoroda:

Muchas gracias por el documento que me posteaste, ahora me quedan las dudas mucho mas claras que antes. La verdad es que tengo al servidor este con los mínimos servicios iniciados pero ya sabes que algunos no se pueden parar.

Creo que voy a tener que actualizar mis reglas del Outpost y capar bastante más las conexiones del svchost.exe

Gracias .

Yo supongo que con que capes la entrada sobre esos puertos ya tienes mucho ganado. Te paso la dirección de donde lo encontré que pone más cosas sobre este ejecutable.

http://www.wilkinsonpc.com.co/free/a...chost-exe.html