Opis najczęściej wykorzystywanych portów sieciowych.pdf

ARAKIS

Strona 1

MAPAALARMÓW Ranking aktywności RankingizDarknetu Statystyki FAQ Opisportów

Numer

portu

Usługa

Opis

FTP

Aktywność na porcie 21/TCP jest często związana z poszukiwaniem anonimowych serwerów FTP (File

Transfer Protocol). Serwery takie często pozwalają na anonimowe zapisanie i odczytanie danych, stąd

są atrakcyjnym celem dla osób szukających miejsc do przechowywania nielegalnego oprogramowania.

W przeszłości w wielu implementacjach FTP znajdowano powaŜne luki, takie jak przepełnienia bufora,

umoŜliwiające uzyskanie uprawnień administratora. Skanowanie moŜe mieć na celu zidentyfikowanie

(lub od razu wykorzystanie) potencjalnie dziurawej wersji serwera FTP.

22 SSH

Port 22/TCP jest najczęściej kojarzony z usługą SSH (Secure Shell). SSH umoŜliwia zdalną,

bezpieczną (dzięki szyfrowaniu transmisji) pracę, przede wszystkim na systemach Unix. Jednak w

przypadku wielu implementacji, w serwerach SSH (lub w bibliotekach, z których SSH korzysta, w

szczególności OpenSSL) znajdowano luki umoŜliwiające zdalne uzyskanie uprawnienia root. Ze

względu na powyŜsze oraz fakt, Ŝe często SSH jest jedyną zdalnie udostępnianą usługą, port 22/TCP

stał się jednym z popularniejszych celów ataku.

23 TELNET

Na porcie 23/TCP znajduje się usługa telnet, umoŜliwiająca zdalną pracę. PoniewaŜ telnet przesyła

dane w sposób jawny, naraŜając je na podsłuch, usługa ta uznawana jest za niebezpieczną i często

zastępowana jest przez SSH. Pomimo tego, wiele dystrybucji systemu Unix ma serwer telnet

domyślnie włączony. Bardzo często za pomocą telnet zarządzane są takŜe routery i switche.

Skanowanie portu 23/TCP moŜe oznaczać próbę identyfikacji systemu operacyjnego, gdyŜ większość

systemów przedstawia się swoim charakterystycznym bannerem. W przeszłości w serwerach telnet

znajdowano takŜe luki umoŜliwiające zdalne uzyskanie uprawnienia administratora systemu (root)

25 SMTP

Skanowanie portu 25/TCP jest często wykonywane przez spamerów, szukających otwartych serwerów

pocztowych, które moŜna wykorzystać do rozsyłania spamu. Serwery pocztowe, w szczególności

sendmail, w przeszłości słynęły z licznych luk umoŜliwiających zdalne uzyskanie uprawnień

administratora systemu (root). ChociaŜ publikowanych luk jest obecnie niewiele, w dalszym ciągu się

zdarzają. SMTP wykorzystywano takŜe do rozpoznania uŜytkowników systemu (za pomocą poleceń

vrfy i expn), co umoŜliwiało w następstwie wykonanie prostego ataku słownikowego na konta

uŜytkowników, na przykład za pomocą usługi telnet. Przez pocztę elektroniczną propaguje się teŜ

wiele wirusów i robaków.

42 WINS

Skanowanie portu 42/TCP ma związek z wykrytą luką w usłudze WINS (Microsoft Windows). Exploit

na lukę został opublikowany w sieci. Usługa WINS nie występuje w standardowej instalacji systemu

Windows.

53 DNS

DNS (Domain Name System) jest systemem rozwiązywania nazw i jednym z podstawowych

protokołów internetowych. Za pomocą DNS odwzorowywane są nazwy DNS na numery IP i

odwrotnie. Skanowanie portu 53/UDP moŜe być próbą uzyskania wersji serwera DNS lub próbą

włamania (w przeszłości w implementacjach serwerów DNS, w szczególności ISC BIND, znajdowano

wiele luk). Z kolei zapytania na port 53/TCP mogą oznaczać próby przeprowadzenia transferu strefy,

co umoŜliwiłoby uzyskanie adresów i nazw DNS wszystkich komputerów w domenie.

79 FINGER

Na porcie 79/TCP tradycyjnie rezyduje usługa finger. Za pomocą tej usługi moŜna uzyskać informacje

o uŜytkownikach systemu, a takŜe o systemie operacyjnym. Usługę tę moŜna teŜ często wykorzystać

w charakterze pośrednika do wysyłania zapytań finger do innych systemów. W serwerze finger

znajdowano teŜ luki umoŜliwiające uzyskanie zdalnego dostępu do systemu. Słynny robak Internet

Worm w 1988 wykorzystywał między innymi usługę finger do propagacji.

80 HTTP

Na porcie 80/TCP rezyduje serwer HTTP. Serwery HTTP tworzą globalną sieć WWW. Serwery WWW

są jednym z najpopularniejszych celów ataków. Często zawierają luki umoŜliwiające zdalne

wykonanie dowolnego kodu z przywilejami uŜytkownika, z którego prawami uruchomiony jest serwer.

Luki te znajdują się zarówno na poziomie implementacji samego serwera jak i na poziomie

udostępnianych przez nie rozmaitych skryptów (na przykład CGI lub PHP) oraz baz danych.

Popularność serwerów WWW i ich podatność na ataki spowodowała, Ŝe są częstym celem rozmaitych

robaków sieciowych. Do tej grupy robaków naleŜą między innymi słynne CodeRed, Nimda oraz

Welchia/Nachi.

http://www.arakis.pl/pl/ports.html

2008-02-07 20:23:22

ARAKIS

Strona 2

110 POP3

POP3 jest wykorzystywany przez klientów do uzyskiwania zdalnego dostępu do skrzynki pocztowej. W

serwerach POP3 znajdowano wiele luk (między innymi przepełnienia bufora) umoŜliwiających

uzyskanie dostępu do systemu z róŜnym poziomem uprawnień. Wykorzystanie części z tych luk jest

moŜliwe bez wcześniejszego uwierzytelnienia. W przeszłości skanowanie portu 110/TCP było bardzo

częste. W chwili obecnej jest rzadziej spotykane. Niewykluczone jednak, Ŝe w przypadku wykrycia

powaŜnej luki w popularniejszej aplikacji, port ten stanie sie częstszym obiektem ataku.

Zapytania na port 111 mogą być próbą uzyskania, za pośrednictwem usługi portmap, listy

udostępnianych usług RPC, takich jak rpc.mountd, NFS, rpc.statd itp. W przypadku uzyskania adresu

(portu) poszukiwanej usługi, atakujący moŜe następnie spróbować włamać się poprzez bezpośrednie

odwołanie do udostępnianej usługi. Usługi RPC mają bardzo długą historie luk i powinny być zawsze

blokowane na poziomie systemów firewall.

113 identd Ident słuŜy do zdalnej identyfikacji właściciela procesu, które nawiązało połączenie TCP.

Wykorzystywany jest przede wszystkim przez serwery IRC, ale czasami takŜe przez serwery FTP,

SMTP lub POP. Zapytania na ten port są zazwyczaj wysyłane w odpowiedzi na połączenie z serwisem

zewnętrznym. Skanowanie portu 113 zdarza się rzadko. Pojawienie się informacji o zablokowaniu

przez firewall pakietu skierowanego na port 113 oznacza zazwyczaj, Ŝe ktoś z naszej sieci łączył się z

serwerem wykorzystującym usługę ident do lepszego logowania bądź kontroli dostępu.

119 NNTP

Na porcie 119/TCP często rezyduje serwer NNTP. Serwery NNTP tworzą sieć USENET (listy

dyskusyjne). Skanowania tego portu są rzadko spotykane. Kiedy następują, są zazwyczaj próbami

znalezienia otwartych serwerów NNTP, które mogą być wykorzystywane do anonimowego wysyłania

wiadomośći i/lub do wysyłania spamu.

135

locsrv/

epmap

Na porcie 135/TCP znajduję się usługa Microsoft RPC Endpoint Mapper. Pełni ona podobne funkcje,

co usługa portmap na porcie 111 dla systemów Unix. W 2003 roku w Microsoft RPC znaleziono

powaŜne luki, umoŜliwiające zdalne wykonywanie dowolnego kodu z uprawnieniami systemu. Jedna z

tych luk stała się podstawą wielu robaków, z których najbardziej znane to robaki Blaster oraz Nachi/

Welchia. Większość prób wykorzystania luk na tym porcie wykonywana jest przez wyŜej wymienione

robaki i ich mutacje oraz trojana Agobot/Phatbot. Przed pojawieniem się wspomnianych robaków,

skanowanie portu było popularne ze względu na moŜliwość sprawdzenia, jakie usługi są świadczone

przez dany system Windows. Port 135/UDP jest teŜ często wykorzystywany do wysyłania

komunikatów typu winpopup przez Windows Messenger Service (WMS w polskiej wersji językowej

Windows serwis znany jako usługa Posłaniec), co czyni ten port celem ataku spamerów. W związku z

tym, Ŝe port 135 jest często blokowany przez operatorów internetowych, część spamerów przerzuciło

się na porty 10251028, pod którymi usługa WMS jest często bezpośrednio dostępna.

137

NetBIOS

name

service

(nbtstat)

Na porcie 137 znajduje się usługa nbtstat, która słuŜy (przede wszystkim systemom Windows) do

translacji adresów IP na nazwy NetBIOS. Kiedy stacja Windows rozwiązuje nazwy, moŜe wysłać

pakiet UDP na ten port. DuŜa część takich pakietów (blokowanych na systemach firewall) nie ma

związku z próbami ataku. Odwołania na port 137/UDP mogą mieć teŜ związek z robakami

szukającymi otwartych zasobów Windows (port 139/TCP) bądź być próbą zebrania jak największej

informacji o systemie przez atakującego.

139

NetBIOS

file

sharing

Za pośrednictwem protokołu SMB (Server Message Block) dzielone są zasoby Windows. SMB jest

bardzo uŜyteczną funkcją sytemu Windows, jednak jej niewłaściwa konfiguracja moŜe narazić system

na włamanie. Odwołanie do zasobów SMB moŜe się odbywać poprzez NetBIOS. W tej sytuacji

wysyłane są pakiety na port 139/TCP. PoniewaŜ zasoby Windows stanowią atrakcyjny cel,

włamywacze często skanują port 139/TCP w poszukiwaniu zasobów. Istnieją równieŜ robaki sieciowe,

które wykorzystują ten port do propagacji. W sambie, która jest implementacją protokołu SMB dla

systemów róŜnych od Windows, wykryto podatności pozwalające na przepełnienie stosu i zdalne

wykonanie instrukcji z prawami root.

143 IMAP

Protokół IMAP4 jest wykorzystywany do zdalnego dostępu do skrzynki pocztowej. Serwer IMAP4

rezyduje zazwyczaj na porcie 143/TCP. W serwerach IMAP4 znajdowano wiele luk, w tym

umoŜliwiających zdalne wykonywanie kodu z przywilejami administratora systemu. W związku z tym,

port ten stał się równieŜ celem ataków robaków, między innymi robaka admw0rm atakującego

systemy Linux.

161 SNMP

Protokół SNMP (Simple Network Management Protocol) słuŜy do zdalnego zarządzania urządzeniami

sieciowymi. Agent SNMP nasłuchuje na porcie 161/UDP. Port ten jest skanowany, gdyŜ bardzo często

hasła SNMP (tzw. community names) umoŜliwiające odczytanie bądź zmianę konfiguracji urządzenia,

na którym uruchomiony jest agent, są łatwe do odgadnięcia. Znaleziono teŜ wiele luk w

implementacjach SNMP. Skanowanie portu 161/UDP moŜe być próbą wykorzystania tych luk.

443 https

Na porcie 443/TCP często nasłuchują serwery HTTP. Na ten port kierowany jest ruch HTTP

wzbogacony o SSL (Secure Sockets Layer). Protokół HTTPS umoŜliwia klientom zestawienie

bezpiecznego połączenia z serwerem WWW. Jednak luki na poziomie serwera WWW są często takie

same, niezaleŜne od tego czy serwer nasłuchuje ruch HTTPS na porcie 443 czy teŜ HTTP na porcie

80. Dodatkowo, istnieje wiele luk związanych z bibliotekami SSL (w szczególności OpenSSL). W 2002

roku robak Slapper atakował serwery HTTPS na Linuksie, wykorzystując lukę przepełnienie bufora w

implementacji OpenSSL.

http://www.arakis.pl/pl/ports.html

2008-02-07 20:23:22

111 portmap

ARAKIS

Strona 3

Począwszy od Windows 2000, Microsoft udostępnił moŜliwość uruchamiania SMB (Server Message

Block) bezpośrednio po TCP. Usługę zaimplementowano na porcie 445/TCP. W związku z tym, port

445/TCP jest często skanowany w poszukiwaniu otwartych zasobów sieciowych Windows. Port jest

często atakowany przez robaki, które usiłują złamać hasła administratora za pomocą ataku

słownikowego w celu uzyskania dostępu do zasobów sieciowych Windows. Jednym z bardziej

znanych robaków tego typu był Deloder. Podobne ataki czynione są za pomocą rozproszonych

botnetów. Z kolei słynny robak Sasser wykorzystywał przepełnienie bufora w LSASS za pośrednictwem

tego portu.

515 lp printer Na porcie 515/TCP często moŜna spotkać daemona lp (zarządza drukowaniem). Z usługą tą

związanych jest wiele luk. Robak Ramen wykorzystywał lukę na tym porcie w systemach Linux.

554 RTSP Port 554/TCP kojarzony jest z usługą Real Time Streaming Protocol. W 2003 roku opublikowano kilka

informacji o lukach związanych z RealNetworks Helix Universal RTSP Server (oprogramowanie

dostępne jest zarówno pod systemy Windows jak i Unix). UmoŜliwiały one zdalne wykonanie

dowolnego kodu na systemie z serwerem RTSP z przywilejami uŜytkownika uruchamiającego serwer.

Skanowanie moŜe być próbą wykorzystania tych luk.

microsoft

901

Samba

SWAT

901/TCP jest jednym z portów zarządzających sensorami RealSecure. Kojarzony jest równieŜ z Samba

Web Administration Tool. W 2003 roku pojawiły się regularne skanowania tego portu. Przypuszczalnie

jednak, mają związek z trojanem NetDevil, który takŜe nasłuchuje na tym porcie.

1023

Skanowanie na port 1023 moŜe mieć związek z próbami odnalezienia serwera FTP, który jest

uruchamiany przez robaka W32.Sasser.E.

1025

1025 jest portem efemerycznym, często przydzielany aplikacjom klienckim. Czasem jednak

przydzielany jest teŜ innym usługom. Przez port 1025/TCP wykorzystywane są teŜ luki RPC na

systemach Windows (robak Agobot/Phatbot).

1026

1026 jest portem efemerycznym, często przydzielany aplikacjom klienckim. Skanowanie TCP na ten

port moŜe być próbą odnalezienia zainfekowanych hostów przez konie trojańskie Backdoor.Padonock,

PWSteal.ABCHlp. Skanowanie UDP ma prawdopodobnie związek z usługa Windows Messenger

Service, która często nasłuchuje na tym porcie i jest wykorzystywana przez spamerów.

1027 jest portem efemerycznym, często przydzielany aplikacjom klienckim. Skanowanie TCP na ten

port moŜe być próbą odnalezienia zainfekowanych hostów przez konie trojańskie Backdoor.Padonock,

PWSteal.ABCHlp. Skanowanie UDP ma prawdopodobnie związek z usługa Windows Messenger

Service, która często nasłuchuje na tym porcie i jest wykorzystywana przez spamerów.

1028 WMS Patrz opis portu 1027.

1080 SOCKS

Na porcie 1080/TCP znajduję się usługa SOCKS, umoŜliwiająca tunelowanie róŜnych protokołów przez

systemy firewall. Źle skonfigurowane proxy SOCKS przyjmują nieuwierzytelnione połączenia z

zewnątrz. W ten sposób mogą zostać wykorzystane do maskowania swojego rzeczywistego źródła

połączenia. Obecność SOCKS proxy jest często sprawdzana przez serwery IRC, w celu redukcji

moŜliwych naduŜyć.

1433 MS SQL

Na porcie 1433/TCP rezyduje usługa Microsoft SQL Server. W serwerze tym znaleziono wiele luk

umoŜliwiających odczytywanie danych z bazy, jej modyfikacje, a takŜe uzyskiwanie dostępu do

systemu operacyjnego. Robak MS SQLsnake w dalszym ciągu włamuje się do wielu instalacji MS SQL

Server zainstalowanych z pustym hasłem (co jest cechą instalacji domyślnej), za pośrednictwem tego

portu.

1434

MS SQL

service

discovery

MS SQL wykorzystuje port 1434/UDP do wyszukiwania usług SQL w sieci lokalnej. W serwerze tym

znaleziono wiele luk. Słynny robak SQL Slammer wykorzystał przepełnienie bufora na tym porcie.

Większość zapytań na ten port w dalszym ciągu pochodzi od tego robaka.

1243 SubSeven

Z portem 1243 (a takŜe 27374) kojarzony jest słynny koń trojański SubSeven. Trojan ten umoŜliwia

między innymi pełne zdalne przejęcie kontroli nad zainfekowanym komputerem. Skanowanie na ten

port jest próbą odszukania komputerów z wyŜej wymienionym koniem trojańskim.

1524

Skanowanie na ten port moŜe być próbą odnalezienia zainfekowanych hostów przez konia

trojańskiego Trinoo.

2049 NFS

Serwer NFS (Network File System) często nasłuchuje na tym porcie. ChociaŜ nie są znane Ŝadne

robaki wykorzystujące ten port, niepoprawnie skonfigurowany serwer NFS moŜe być wykorzystany do

włamania.

2100

ORACLE

FTP

Skanowanie na port 2100/TCP moŜe mieć związek z próbami wykorzystania luk w serwerze FTP

Oracle.

2967 sscagent

Na porcie 2967/TCP w Symantec AntiVirus 10.x oraz Symantec Client Security 3.x udostępniany jest

serwer zdalnego dostępu. ChociaŜ ruch na tym porcie jest zazwyczaj szyfrowany przez SSL,

akceptowane są równieŜ zapytania nieszyfrowane. Implementacja jednego z nieszyfrowanych poleceń

(COM_FORWARD_LOG, id 0x24) zawiera nieprawidłowe uŜycie funkcji strncat. Błąd umoŜliwia

przepełnienie bufora i wstrzyknięcie do aplikacji kodu, który zostanie wykonany z uprawnieniami

systemowymi. Robaki wykorzystujące podatność: W32.Rinbot.BF, W32.Sagevo, W32.Spybot.ANOO.

Podstawową metodą zabezpieczenia systemu przed zautomatyzowanym atakiem jest zmiana portu

serwera w rejestrze Windows: "HKEY_LOCAL_

MACHINE\SOFTWARE\INTEL\LANDesk\VirusProtect6\CurrentVersion\AgentIPPort".

Port 2968/TCP jest wykorzystywany do udostępniania zdalnego dostępu w serwerach NetWare.

Połączenia na ten port mogą być próbami wykorzystania podatności w Symantec AntiVitus 10.x oraz

http://www.arakis.pl/pl/ports.html

2008-02-07 20:23:22

445

1027

ARAKIS

Strona 4

Symantec Client Security 3.x umoŜliwiającej przepełnienie bufora i wykonanie wstrzykniętego kodu

(patrz port 2967).

Port 3127 jest otwierany w charakterze tylnej furtki przez wirusa MyDoom. Wirus MyDoom

(W32.Mydoom.K@mm) jest przekazywany jako załącznik z rozszerzeniem pif, scr, exe, cmd, bat lub

zip do wiadomości email. Wirus MyDoom został rozpropagowany tą drogą na wiele maszyn. Port

3127 jest często skanowany, poniewaŜ wiele robaków stara sie zainfekować komputery zaraŜone

przez MyDoom. Do najwaŜniejszych robaków wykorzystujących maszyny zaraŜone MyDoom naleŜą

W32.Mockbot.A.Worm, W32.Welchia.D.Worm oraz W32.Welchia.K.

3128 squid Standardowy port wykorzystywany przez oprogramowanie squid (HTTP proxy). Skanowanie na ten

port jest zazwyczaj próbą znalezienia otwartych serwerów proxy w celu ukrycia przez atakującego

swojej toŜsamości. HTTP proxy moŜna często równieŜ spotkać na portach 8000, 8001, 8080 i 8888.

Czasami źródłem połączeń na te porty są serwery IRC i podobne, próbujące w ten sposób ograniczać

naduŜycia spowodowane za pośrednictwem otwartych serwerów proxy. Port ten jest teŜ otwierany w

charakterze tylnej furtki przez wirusa W32.Mydoom.B@mm(patrz opis portu 3127).

3306

Skanowanie portu 3306/TCP moŜe być przeprowadzane przez robaka W32.Spybot.IVQ. Robak

W32.Spybot.IVQ propaguje się atakując serwery MySQL oraz Microsoft SQL za pomocą prostego

słownika, próbuje metodą bruteforce uzyskać dostęp do baz. Szczególnie naraŜone na atak są więc

konfiguracje ze słabym hasłem. Port 3306 jest równieŜ wykorzystywany przez konia trojańskiego

Backdoor.Nemog.D, który ma statycznie wprowadzoną listę adresów IP oraz listę portów, na które

wykonuje połączenia. Port 3306/TCP znajduje się na tej liście. Ostatnio port 3306 jest uŜywany

równieŜ przez klony emule oraz edonkey.

3389

msterm

services

Port 3389 jest kojarzony z Microsoft Terminal Services. Serwer usługi ma lukę, która uniemoŜliwia mu

wymuszenie szyfrowanego połączenia. W efekcie pozwala to na podsłuchanie sesji RDP i atak typu

"maninthemiddle".

3410

backdoor

optix

Port 3410 jest wykorzystywany przez trojana Backdoor.Optix.Pro do otwarcia tylnej furtki. Trojan

Backdoor.Optix.Pro jest aplikacją napisaną w Delphi i daje intruzowi nieautoryzowany dostęp do

zainfekowanego komputera. Skanowania na ten port pojawiają się od czasu do czasu, i mogą mieć

związek z próbami odszukania zaraŜonych komputerów.

4000

Skanowanie na port 4000 moŜe mieć związek z próbami odnalezienia trojanów bądź źle

skonfigurowanych aplikacji do zdalnego zarządzania. Koń trojański Trojan.Peacomm uŜywa portu

4000/UDP do utworzenia szyfrowanego kanału komunikacji(rownieŜ porty 7871 oraz 11271).

Trojan.Peacomm jest propagowany w załącznikach poczty elektronicznej.

4128

Port 4128 jest otwierany przez konia trojańskiego Backdoor.RCServ. Zainfekowanie komputera

umoŜliwia intruzowi nieautoryzowany dostęp do maszyny. Do groźnych działań podejmowanych przez

zaraŜone komputery naleŜą otwieranie serwera FTP oraz uczestnictwo w atakach DoS.

4444

Port 4444 jest przypisany standardowo do usługi Kerberos. Zwiększona liczba prób połączeń na ten

port moŜe być związana z luką w bibliotece HLINK.DLL systemu Windows. Błąd polega na

niewłaściwym sprawdzaniu rozmiaru danych wprowadzonych przez uŜytkownika przed kopiowaniem

ich do bufora. Wykorzystanie błędu pozwala intruzowi na wstrzyknięcie kodu i wykonanie go w

kontekście aplikacji uŜywającej biblioteki HLINK.DLL. Podatność jest wykorzystywana przez konia

trojańskiego Trojan.Hlinic, który otwiera tylne drzwi na porcie 4444, pozwalając na zdalny dostęp do

skompromitowanego systemu. Na porcie 4444 tylne drzwi otwierają równieŜ: Reidana(patrz opis

portu 139) oraz Blaster (patrz opis portu 135).

4899 radmin

Port kojarzony z aplikacją do zdalnego zarządzania, Remote Administrator. Skanowanie tego portu

moŜe być związane z próbami znalezienia luk w tym oprogramowaniu. Robak W32.Rahack propaguje

się poprzez usługę Radmin wykorzystując słabe hasła ustawione na serwerze.

5554

Port 5554 jest wykorzystywany przez robaka W32.Sasser.B.Worm (i jego pochodne) do otwarcia

serwera FTP. FTP na tym porcie słuŜy do przesyłania robaka na kolejne hosty. Skanowanie portu

5554 przeprowadzane jest zazwyczaj przez W32.Dabber. Robak szuka serwera FTP otwieranego przez

W32.Sasser, w którym znajduje się luka umoŜliwiająca uzyskanie dostępu do komputera.

6101

Skanowanie portu 6101/TCP ma związek z wykrytą luką w Veritas Backup Exec 8.x/9.x. Luka jest

wykorzystywana przez W32.Spybot.ANOO, który oprócz otwarcia tylnej furtki w systemie zapisuje

równieŜ sekwencje klawiszy wpisywanych na niektórych stronach WWW (np. PayPal, eBay).

6129 dameware

Port kojarzony z aplikacją do zdalnego zarządzania, Windows DameWare Mini Remote Control

(rezyduje na porcie 6129/TCP). Skanowanie na ten port po raz pierwszy zauwaŜono około 20 grudnia

2003 roku. Ma to prawdopodobnie związek z opublikowaną kilka dni wcześniej luką przepełnienia

bufora w tej aplikacji. Wykorzystanie luki zostało dodane do robaka W32.Mockbot.A.Worm.

W32.Mockbot łączy się z predefiniowanym kanałem IRC, na którym oczekuje na polecenia do

wykonania.

6662 radmind

radmind jest narzędziem linii poleceń słuŜącym do zdalnej administracji systemami plików na kilku

maszynach uniksowych jednocześnie. Zwiększony ruch na tym porcie moŜe wskazywać na

poszukiwanie luk w tym programie.

Na porcie 8555 działa usługa Cisco Unified CallManager. W produkcie tym zostało wykrytych i

udokumentowanych wiele błędów umoŜliwiających eskalację uprawnień (błąd CSCse11005),

nieuprawnione nadpisywanie plików (błąd CSCse31704) oraz przepełnienie bufora (błąd CSCsd96542).

Opisane luki umoŜliwiają wstrzyknięcie i wykonanie kodu na skompromitowanej maszynie. Do tej pory

http://www.arakis.pl/pl/ports.html

2008-02-07 20:23:22

3127

ARAKIS

Strona 5

nie zostały zarejestrowane Ŝadne robaki wykorzystujące podatności CallManager'a. Zwiększony ruch

na tym porcie oznacza, iŜ w najbliŜszym czasie moŜe pojawić się exploit.

9898

Port 9898/TCP jest otwierany przez robaka W32.Dabber (patrz port 5554) do pozostawienia tylnej

furtki, która moŜe zostać wykorzystana do zdalnego uruchamiania programów. RównieŜ koń trojański

Backdoor.Crashcool uŜywa tego portu do odbierania poleceń od intruza.

10000

Skanowanie na port 10000/TCP moŜe mieć związek z szukaniem dziurawych wersji oprogramowania

Veritas Backup Exec. Port jest równieŜ wykorzystywany przez robaka W32.Dumaru do otwarcia tylnej

furtki.

15118

Skanowanie na port 15118 przeprowadzane jest przez robaka Dipnet (lub Oddbob) i ma związek z

próbami sprawdzenia, czy zdalny komputer jest juŜ zinfekowany przez tego robaka internetowego.

Dipnet nim zaatakuje zdalny host, próbuje połączyć się do niego na port 11768 lub 15118 i wysyła

ciąg "__123_asdasdfdjhsdf_SAFasdfhjsdf_fsd123". JeŜeli host jest juŜ zainfekowany przez Dipnet,

odpowie ciągiem "__1asdfasdFasdfhjsdf_fsd10923810293487231AAA3" , a następnie zakończy

połączenie. Ta "wymiana" zapobiega ponownej infekcji hosta.

27374 SubSeven

Z portem 27374 (a takŜe 1243) kojarzony jest słynny koń trojański SubSeven. Trojan ten umoŜliwia

między innymi pełne zdalne przejęcie kontroli nad zainfekowanym komputerem. Skanowania tego

portu mogą być próbą odszukania komputerów z wyŜej wymienionym koniem trojańskim.

41523

Skanowanie na 41523/TCP moŜe być próbą wyexploitowania luki w CA BrightStor Agent for Microsoft

SQL Server.

2007 (Aktualizacja strony: 20080207 20:05:00 CET)

http://www.arakis.pl/pl/ports.html

2008-02-07 20:23:22

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: