Port 135 tcp microsoft windows rpc

Вопрос

Порт 135 на DC с Windows 2003 был закрыт после установки обновления KB4012598 (уязвимость MS17-010). Брандмауэр на сервере был отключен изначально .

В результате контроллер домена стал работать некорректно

см. вопрос: «Обновление KB4012598 на контроллерах домена Windows 2003»

После того как обновление было снесено, порт остался закрытым

Все ответы

А почему вы решили, что этот порт закрыт, и, если закрыт — что это связано с обновлением? Обновление-то касается протокола SMB, который работает совсем по другим портам.

А этот порт должна прослушивать служба Сопоставитель конечных точек RPC. Посмотрите, что у вас там с ней.

И посмотрите (командой netstat -nao) прослушивается ли этот порт, и если да — каким процессом (найдите его по PID из выдачи команды в Диспетчере задач).

Andry IP Sanner показывает. что 135 порт закрыт.

Проверил по Вашей рекомендации командой netstat -nao и тоже нет строки с этим портом.

Возможно этот порт был закрыт коллегой каким то другим способом, но утверждает. что только ставил заплатку MS17-010.

службу «Сопоставитель конечных точек RPC» в Windows Server 2003 я не нашел

Да, в Win2K3 этот порт прослушивает непосредственно служба «Удалённый вызов процедур (RPC)». Смотрите её состояние и, ели она не работает — ошибки в журналах событий, связанные с ней.

PS Порт никто не закрывал — он просто не прослушивается ни одной программой.

Сама служба RPC запущена, но ее не видят другие службы.

» Не удалось проинициализировать службу удаленного вызова процедур (RPC) ».

Подробно описано в предыдущем вопросе

Какие события связанные со службой есть в журнале событий?

Интересуют полные копии событий, с кодами ошибок.

Активные подключения состояние PID

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 812

этой строки нет на проблемном контроллере домена (команда netstat -nao)

вот не полный перечень ошибок

Тип события: Ошибка
Источник события: DNS
Категория события: Отсутствует
Код события: 140
Дата: 13.06.2017
Время: 23:00:43
Пользователь: Н/Д
Компьютер: KAZAN1
Описание:
DNS-серверу не удалось проинициализировать службу удаленного вызова процедур (RPC). Если она не работает, запустите службу RPC или перезагрузите компьютер. Данными этого события является код ошибки.
—————————————

Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1053
Дата: 14.06.2017
Время: 23:35:35
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: KAZAN1
Описание:
Не удалось определить имя пользователя или компьютера. (Сервер RPC недоступен. ). Обработка групповой политики прекращена.

Тип события: Ошибка
Источник события: NTDS General
Категория события: Глобальный каталог
Код события: 1126
Дата: 14.06.2017
Время: 23:05:01
Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
Компьютер: KAZAN1
Описание:
Active Directory не удается подключиться к глобальному каталогу.

Дополнительные данные
Значение ошибки:
8430 Внутренняя ошибка службы каталогов.
Внутренний ID:
3200c89

Действие пользователя:
Убедитесь, что глобальный каталог находится в лесу и доступен для контроллера домена. Для диагностики можно использовать программу NLTEST.

Port 135 Details

Port(s) Protocol Service Details Source 135 tcp,udp loc-srv Remote Procedure Call (RPC) port 135 is used in client/server applications (might be on a single machine) such as Exchange clients, the recently exploited messenger service, as well as other Windows NT/2K/XP software. If you have remote users who VPN into your network, you might need to open this port on the firewall to allow access to the Exchange server. There is a RPC (a RPC’s Endpoint Mapper component) vulnerability in Windows NT where a malformed request to port 135 could cause denial of service (DoS). RPC contains a flaw that causes it to fail upon receipt of a request that contains a particular type of malformed data. To restore normal functionality victim has to reboot the system. Alternatively, you can upgrade/patch your OS (there is patch downloadable from Microsoft), or you can close port 135. Port 135 is used by Messenger Service (not MSN Messenger) and exploited in popup net send messenger spam [MSKB 330904]. To stop the popups you’d need to filter port 135 at the firewall level or stop the messenger service. The service uses all the following ports: 135/tcp, 135/udp, 137/udp 138/udp, 139/tcp, 445/tcp. MS Security Bulletin [MS03-026] outlines another critical Buffer Overrun RPC vulnerability that can be exploited via ports 135, 139, 445, 593 (or any other specifically configured RPC port). You should filter the above mentioned ports at the firewall level and not allow RPC over an unsecure network, such as the Internet. W32.Blaster.Worm [Symantec-2003-081113-0229-99] — a widely spread worm that exploits the DCOM RPC vulnerability described above (MS Security Bulletin [MS03-026]). The worm allows remote access to an infected computer via ports 4444/tcp and 69/UDP, and spreads through port 135/tcp. To avoid being infected consider closing those ports. Port is also used by Messenger Service (not MSN Messenger) and exploited in popup net send messenger spam [MSKB 330904]. To stop the popups you’d need to filter port 135 at the firewall level or stop the messenger service. The service uses all the following ports: 135/tcp, 135/udp, 137/udp 138/udp, 139/tcp, 445/tcp. W32.Reatle.E@mm [Symantec-2005-080215-5809-99] — a mass-mailing worm that opens a backdoor and also spreads by exploiting the MS DCOM RPC Vulnerability [MS03-026] on port 135/tcp. It uses its own SMTP engine to email itself to gathered email addresses. Opens an FTP server on port 1155/tcp. Opens a proxy server on port 2005/tcp. It also attempts to perform denial of service (DDoS) attack agains known security websites on port 1052/tcp. Note: port 1052 corresponds to the dynamic DNS service. A vulnerability has been identified in LOGO!8 BM (incl. SIPLUS variants) (All versions). The vulnerability could lead to an attacker reading and modifying the device configuration and obtain project files from affected devices. The security vulnerability could be exploited by an unauthenticated attacker with network access to port 135/tcp. No user interaction is required to exploit this security vulnerability. The vulnerability impacts confidentiality, integrity, and availability of the device. At the time of advisory publication no public exploitation of this security vulnerability was known. References: [CVE-2020-7589], [XFDB-183129]	SG
135	tcp,udp	DCE endpoint resolution (official)	Wikipedia
135	tcp,udp	Microsoft EPMAP (End Point Mapper), also known as DCE/RPC Locator service, used to remotely manage services including DHCP server, DNS server and WINS (unofficial)	Wikipedia
135	tcp	loc-srv	NCS local location broker	SANS
135	udp	loc-srv	Location Service	SANS
135	tcp,udp	msrpc	Microsoft RPC services	Nmap
135	tcp,udp	loc-srv	NCS Location Service	Neophasis
135	tcp	threat	Secefa	Bekkoame
135	tcp	threat	W32.Kiman	Bekkoame
135	tcp,udp	threat	Femot	Bekkoame
135	tcp,udp	threat	W32.Blaster.Worm	Bekkoame
135	tcp,udp	threat	W32.Cissi	Bekkoame
135	tcp,udp	threat	W32.Explet	Bekkoame
135	tcp,udp	threat	W32.Francette.Worm	Bekkoame
135	tcp,udp	threat	W32.HLLW.Gaobot	Bekkoame
135	tcp,udp	threat	W32.HLLW.Polybot	Bekkoame
135	tcp,udp	threat	W32.Kassbot	Bekkoame
135	tcp,udp	threat	W32.Kibuv.Worm	Bekkoame
135	tcp,udp	threat	W32.Lovgate	Bekkoame
135	tcp,udp	threat	W32.Maslan	Bekkoame
135	tcp,udp	threat	W32.Mytob	Bekkoame
135	tcp,udp	threat	W32.Reatle	Bekkoame
135	tcp,udp	threat	W32.Spybot	Bekkoame
135	tcp,udp	threat	W32.Welchia	Bekkoame
135	tcp,udp	threat	W32.Yaha	Bekkoame
135	tcp,udp	epmap	DCE endpoint resolution	IANA

26 records found

Notes:
Port numbers in computer networking represent communication endpoints. Ports are unsigned 16-bit integers (0-65535) that identify a specific process, or network service. IANA is responsible for internet protocol resources, including the registration of commonly used port numbers for well-known internet services.
Well Known Ports: 0 through 1023.
Registered Ports: 1024 through 49151.
Dynamic/Private : 49152 through 65535.

TCP ports use the Transmission Control Protocol, the most commonly used protocol on the Internet and any TCP/IP network. TCP enables two hosts to establish a connection and exchange streams of data. TCP guarantees delivery of data and that packets will be delivered in the same order in which they were sent. Guaranteed communication/delivery is the key difference between TCP and UDP.

UDP ports use the Datagram Protocol. Like TCP, UDP is used in combination with IP (the Internet Protocol) and facilitates the transmission of datagrams from one computer to applications on another computer, but unlike TCP, UDP is connectionless and does not guarantee reliable communication; it’s up to the application that received the message to process any errors and verify correct delivery. UDP is often used with time-sensitive applications, such as audio/video streaming and realtime gaming, where dropping some packets is preferable to waiting for delayed data.

When troubleshooting unknown open ports, it is useful to find exactly what services/processes are listening to them. This can be accomplished in both Windows command prompt and Linux variants using the «netstat -aon» command. We also recommend runnig multiple anti-virus/anti-malware scans to rule out the possibility of active malicious software. For more detailed and personalized help please use our forums.

Please use the «Add Comment» button below to provide additional information or comments about port 135.

Are we supposed to be blocking these ports on LOCAL machine or on REMOTE? OR BOTH?? Very unclear.

and how will Windows still work if we block 135? (on OUR or LOCAL)
Please clarify, & many thanks.