Kamis, 30 Desember 2010

Cek Port Aktif di Komputer

Kita tentu sdh paham jika komunikasi TCP/IP menggunakan port number untuk komunikasi di jaringan. Aplikasi baik maupun jahat menggunakan port number ini untuk berkomunikasi. Oleh karena itu kita perlu tahu port yang aktif di PC kita.

Anda ingin tahu port berapa saja yang aktif dikomputer anda ?
Anda ingin tahu host mana yang terhubung ke komputer anda ?
Anda ingin tahu aplikasi baik atau jahatkah yang aktif dibalik port tersebut ?
Anda ingin tahu caranya mematikan port tersebut ?

Sedikit tips berikut mungkin membantu anda :

1. Jalankan DOS prompt, dari start-run ketikkan cmd kemudian enter
2. Ketikkan netstat -an (perintah ini akan menunjukkan seluruh port aktif dan ip address yang terhubung)
3. Untuk memastikan aplikasi apa yang aktif dibalik port tersebut, ketikkan netstat -anb (perintah ini akan menunjukkan file aplikasi yang terlibat dalam aktifasi port, list yang meuncul akan menunjukkan seluruh file yang terlibat, file dalam tanda [ ] adalah file exe terakhir yang menjalankan port tersebut.
4. Perintah lain yang bisa digunakan adalah netstat -ano
5. Selain file yang aktif dengan perintah diatas kita bisa melihat PID atau nomor proses di Windows. Kita bisa mnegecek status PID ini dengan perintah tasklist atau tasklist /SVC untuk menampilkan service nya , akan muncul informasi PID, memory yang dipakai, nama image dan nama service.
6. Untuk memastikan apakah aplikasi tsb legal atau tidak, bisa dicek labih lanjut ke registri informasi service tersebut. Ketikkan regedit dari DOS prompt dan Klik Edit-Find masukkan service yang dicurigai tsb.
7. Kemudian Jika ternyata aplikasi ilegal, untuk mematikan PID proses yang sedang berjalannya, ketikkan taskkill /F /PID /T

Sedikit Tips diatas bisa digunakan untuk melacak adanya file jahat seperti Trojan yang aktif di PC Kita. Berikut contoh kasus :

Hasil tampilan netstat -ano

Active Connections

Proto Local Address Foreign Address State PID
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 2744
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1524
TCP 0.0.0.0:443 0.0.0.0:0 LISTENING 2744
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING 616
TCP 0.0.0.0:1680 0.0.0.0:0 LISTENING 616
TCP 0.0.0.0:3306 0.0.0.0:0 LISTENING 3828
TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING 1480
TCP 0.0.0.0:5432 0.0.0.0:0 LISTENING 2856
TCP 0.0.0.0:5800 0.0.0.0:0 LISTENING 2224
TCP 0.0.0.0:5900 0.0.0.0:0 LISTENING 2224
TCP 0.0.0.0:12345 0.0.0.0:0 LISTENING 2492

Terlihat diatas ada port 12345 terbuka yang biasanya dipakai oleh Trojan, kita perlu mengecek lebih lanjut dengan tasklist utk memastikan aplikasi yg berjalan dibalik port tersebut. Hasilnya

Image Name PID Session Name Session# Mem Usage
========================= ====== ================ ======== ============
System Idle Process 0 Console 0 28 K
System 4 Console 0 48 K
smss.exe 1092 Console 0 60 K
csrss.exe 1156 Console 0 2,768 K
winlogon.exe 1180 Console 0 948 K
services.exe 1224 Console 0 1,500 K
lsass.exe 1236 Console 0 1,764 K
svchost.exe 1480 Console 0 1,748 K
svchost.exe 1524 Console 0 1,252 K
svchost.exe 1680 Console 0 8,656 K
svchost.exe 1756 Console 0 3,352 K
vsmon.exe 1876 Console 0 10,908 K
spoolsv.exe 460 Console 0 1,384 K
AeXNSAgent.exe 576 Console 0 11,852 K
CCSRVC.exe 588 Console 0 92 K
ShellKer.exe 616 Console 0 2,084 K
iviRegMgr.exe 712 Console 0 108 K
jqs.exe 728 Console 0 1,396 K
MDM.EXE 756 Console 0 460 K
svchost.exe 824 Console 0 288 K
NTRtScan.exe 880 Console 0 9,148 K
nvsvc32.exe 1772 Console 0 396 K
svchost.exe 1816 Console 0 296 K
explorer.exe 924 Console 0 5,904 K
pg_ctl.exe 900 Console 0 148 K
svchost.exe 1832 Console 0 260 K
TmPfw.exe 1124 Console 0 2,576 K
TmProxy.exe 2040 Console 0 3,460 K
winvnc4.exe 2224 Console 0 360 K
TmListen.exe 2492 Console 0 9,292 K

Dengan tasklist /SVC kelihatan

TmListen.exe 2492 tmlisten

Berarti TmListen.Exe tersebut dijalankan oleh Service tmlisten di Windows. Dari registry kita lihat apakah tmlisten itu,dari HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\tmlisten kelihatan sbb :

Key Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\tmlisten
Value 3
Name: ImagePath
Type: REG_EXPAND_SZ
Data: "C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe"
Value 4
Name: DisplayName
Type: REG_SZ
Data: OfficeScan NT Listener
Value 5
Name: DependOnService
Type: REG_MULTI_SZ
Data: Netman
WinMgmt
Value 8
Name: Description
Type: REG_SZ
Data: Receives commands and notifications from the OfficeScan server and facilitates communication from the client to the server.

Ternyata port 12345 dipakai oleh aplikasi TrendMicro untuk berkomunikasi dengan server Antivirusnya.

Semoga bermanfaat. Tks
Diposting oleh di

3 komentar:

Haidar al-Farisi mengatakan...

Asslmkm mas artikelnya mamen banget ! maksih banget buat ilmu nya ya mas . hehe, ditunggu posting berikutnya . saya bookmark blog mas . :D

21 Maret 2012 pukul 22.25
Haidar al-Farisi mengatakan...

Asslmkm mas artikelnya mamen banget ! maksih banget buat ilmu nya ya mas . hehe, ditunggu posting berikutnya . saya bookmark blog mas . :D

21 Maret 2012 pukul 22.27
nurman mengatakan...

terima kasih mas

27 Januari 2014 pukul 20.09

Posting Komentar

Langganan: Posting Komentar (Atom)