Ni en netstat, ni en servicios, pero me dice que está abierto el puerto

Buenas tardes,

He hecho un escaneo en dos webs de escaneos de puertos, ambas me dicen que tengo el puerto 25 abierto.

Una de ellas es muy prestigiosa (hasta donde sé): "GRC | ShieldsUp". Puesta esta me dice esto en la descripción del puerto 25 abierto:

"Since it is more likely that you may have an open SMTP, SPAM-relaying proxy running on your system, than a real SMTP server, this is something you'll want to look into immediately. Spammers routinely use such open proxies to relay their content, so you probably don't want to be aiding them, nor to have your IP address associated with their activities.

You may provide your IP address (as shown above) to this site http://www.abuse.net/relay.html to have them safely check your system's port 25 for use as an open SMTP eMail forwarding proxy."

El caso es que miro en "Servicios" de mi pc (Windows 2003) y no veo el servicio SMTP instalado, también miro en el IIS y tampoco ahí está instalado.

Procedo a hacer un netstat -an -p tcp y no veo que el puerto 25 esté en estado "listening" con lo cual no sé ni que está pasando ni que hacer.
Bueno, si sé que hacer, bloquear con mi firewall "Comodo" el puerto 25 de entrada y salida ya que como insisto, no tengo en este pc un servidor de correos ni nada parecido.

Toda sugerencia del porque pasa sería bienvenida, ya que estoy confuso totalmente, y no sé donde ni como está activo y en estado "listening" ese puerto . (Digo Listening porque debe estarlo entiendo, ya que netstat me dice que no está en estado Listening)

Muchas gracias por adelantadoo !

Pues eso huele a troyano que tira pa'tras.

¿Con el Comodo puedes analizar lo que va pasando?. Logicamente con un netstat no vas a sacar nada porque en caso de ser un troyano ya se encarga el que lo diseña de que permanezca oculto.

Yo miararía en el log del router a ver si es posible ver lo que pasa por el puerto 25. Digo el router porque al ser externo al PC digamos que está "libre de culpa". Si ves tráfico o intentos de tráfico, está claro que tienes un bicho (dejalo suficientes horas, no esperes que pase algo en 5 minutos).

Suerte
Hooker

Gracias por responder John Lee !!

Tengo pocos conocimientos de seguridad aunque estoy en ello, con un curso, pero quería comentarte:

1.Yo creía que un troyano, una de las maneras de detectarlo era viendo las conexiones activas con netstat , aunque puede que en el momento en el que miras el netstat no esté actuando con lo que no verías nada. Lo que se me ocurre estaría bien (y debe existir seguramente) es una especie de netstat que guardara lo que ha pasado durante unos días que tú le parametrices, o hasta un tamaño en megas que le parametrices, al estilo visor de sucesos pero con conexiones. Así vería, como dices tú, lo del log en el router, ya que al fin y al cabo me refiero a eso, a un archivo .log , como el que me comentas del router.

2.En la descripción que destaco en color verde se dice algo que es como si mi pc estuviera actuando de servidor smtp , del que se servirían los spammers para ellos quedar "inmunes" o algo así? . Lo del relay me suena bastante a eso, a no controlar los dominios a los que les mandas los emails

3.Finalmente en Comodo Firewall he bloqueado el puerto 25 y ahora me aparece inivisible (que es mejor que cerrado hata donde sé).

4.Ya tengo en el router redirigido el puerto 25 a una ip de un equipo en VMWare, con lo cual en este debería aparecer cerrado o invisible, osea, mi pregunta es como teniendo en mi router el puerto redirigido a 192.168.12.6, me dicen los scan de puertos que mi máquina (la que me está dando el problema) que tiene la 192.168.12.8 , tiene el puerto abierto, no comprendo como se puede abrir un puerto hacia una ip cuando ya está redirigido a otra ip.

5.¿Entonces no es tan fiable netstat para descubrir troyanos? Hasta donde sé, yo cumplo lo típico: antivirus actualizado, firewall actualizado y con ciertas reglas, no bajarme software de www.telodoytodogratis.com , no entrar como admin en el pc, tener la contraseña del admin con Mayúsculas, carácteres y números, etc.

Nada, le pasaré un antitroyanos, haber que me va encontrando, pero de momento en el firewall ya lo he bloqueado como comento.

Otra cosa: En msconfig, en el apartado inicio, veo todo normal, nada extraño, aunque lo revisaré de nuevo porque sé que los troyanos para ejecutarse en los reinicios se "agarran" ahí, en el msconfig, en el apartado "Inicio".

Muchas gracias !

Ufff, vamos por parte.

En el caso que tengas un troyano, virus o lo que sea, cualquier comando del sistema operativo deja de ser fiable. Precisamente se trata de eso.

Cuando uno tiene el puerto 25 abierto suena a que te han colocado un servidor SMTP para usarlo desde fuera, o al menos LO HAN INTENTADO. Puede que el software esté instalado en tu ordenador pero tal vez no puedan aprovecharlo desde el exterior.

LOs troyanos pueden ser de resoulución inversa, es decir, es el troyano el que se pone en contacto con el atacante con lo cual cualquier regla de filtrado del router vale de poco al iniciarse la comunicación desde tu LAN hacia fuera. No suele ser el caso de los servidores SMTP, pero podría.

El punto 4 es perfectamente posible. Un puerto SOLO PUEDE SER USADO POR UN SERVICIO, por lo tanto, si tienes el VMWare apagado, no es de extrañar que otra máquina u otro servicio lo esté usando.

De todas formas no entiendo bien el punto 4. Tu pasas el scan sobre la 12.8 y por lo tanto la información que sacas es de esa IP, no del router.

Insisto, mira a ver que posibilidades tiene el ruoter de mostrar un log de lo que está pasando, que suelen ser muchas. Monitoriza el trafico de salida hacia el puerto 25 independientemente de donde venga. Quita firewall y todo tipo de cosas y solo asi podrás comprobar si tienes un bicho o no.

Saludos
Hooker

Muchas gracias de nuevo por tu tiempo.

Pues he mirado en el log del router, y aparecen cosas muuuy interesantes:

1.Hay una conexión que ha tenido éxito al puerto 23 de un portatil que tengo en la LAN, este portátil está sin proteger ya que no está detrás del servidor de seguridad ISA Server. Me parece extraño de todas formas que el servicio Telnet esté habilitado en ese portátil, pero quizás es lo que tú comentas, aún no estando habilitado, pueden hacer uso de él?

2.Hay varias conexiones hacia el puerto 25, pero hacia el servidor Exchange esperado, osea que en este sentido nada por lo que alarmarse, ya que en dicho servidor recibo emails correctamente , y está detrás del servidor de seguridad ISA Server, que no es que sea infalible, pero creo que es muy bueno.

Por cierto, comentar que he hecho un scan online de puertos y aún en este servidor Exchange aparece como cerrado , y creo que es fruto de las políticas del ISA (pero no estoy seguro).

Si hago el mismo scan online en otros VMWare que tengo en la LAN o en la red perimetral, me aparecen cerrado el puerto 25

Pero.........y aquí viene lo curioso pero creo que ya he encontrado el porque:
Si hago un scan online en cualquiera de las 5 máquinas virtuales desde la web (Shields UP), siempre me aparece el puerto 25 abierto, con lo cual, para mi la explicación es fácil: Esta web sólo mira los puertos abiertos en el router, sea cual sea el pc desde el que hagas el scaneo de puertos.

Muchas gracias por lo del log del router, porque como te digo, gracias a él acabo de ver la conexión a telnet (TCP 23) a un portátil que no pasa, que no está detrás del ISA Server, y además no está en el dominio.

3.Sabía algo o estoy leyendo algo sobre los troyanos inversos, que tienen el server en sus equipos y el cliente en el de la víctima, de esa manera el cliente (como siempre) se conecta al servidor (al atacante) y no tiene que hacer filtros NAT-Transversal en el router de la víctima.

Pero imagino que si los atacantes han evolucionado hacia los troyanos inversos, las empresas de seguridad sabrán o estarán muy al día de esto, ya que yo mismo, siendo un "newbie" (creo que es la palabra) sé que existen. Quiero decir con todo esto que ya no será tan fácil hacer un troyano inverso, si se tiene un buen producto de seguridad instalado en la LAN claro, o en el equipo, lo cual a nivel usuario no está extendido.

Gracias Hooker !