Puertos que pueden ser invadidos por troyanos
Servicio: Reservado
Descripción: Normalmente se utiliza para analizar sistemas operativos. Este método funciona porque en algunos sistemas "0" es un puerto no válido y obtendrá resultados diferentes cuando intente conectarse utilizando el puerto cerrado habitual. Un escaneo típico utiliza la dirección IP 0.0.0.0, establece el bit ACK y transmite en la capa Ethernet.
Puerto: 1
Servicio: tcpmux
Descripción: Esto indica que alguien está buscando una máquina SGI Irix. Irix es el principal proveedor de implementación de tcpmux y dichos sistemas tienen tcpmux habilitado de forma predeterminada. Las máquinas Irix se envían con varias cuentas sin contraseña predeterminadas, como IP, GUEST UUCP, NUUCP, DEMOS, TUTOR, DIAG, OUTOFBOX, etc. Muchos administradores olvidan eliminar estas cuentas después de la instalación. Por lo tanto, los piratas informáticos buscan tcpmux en Internet y utilizan estas cuentas.
Puerto: 7
Servicio:
Descripción: Puedes ver que muchas personas envían a X.X.X.0 y X.X.X.255 cuando buscan amplificadores Fraggle.
Puerto: 19
Servicio: Generador de caracteres
Descripción: Este es un servicio de solo caracteres, la versión UDP responderá con caracteres basura recibidos en el paquete UDP. Una conexión TCP envía un flujo de caracteres basura hasta que se cierra la conexión, lo que permite a los piratas informáticos utilizar la suplantación de IP para lanzar un ataque DoS. Lanzar un ataque DoS. Falsifica paquetes UDP entre dos servidores de cargadores. El mismo ataque Fraggle DoS transmite un paquete con una IP de víctima falsificada a este puerto en la dirección de destino, y la víctima se sobrecarga en respuesta a estos datos.
Puerto: 21
Servicio:
Descripción: El puerto abierto por el servidor FTP para cargas y descargas. Lo utilizan con mayor frecuencia los atacantes que buscan formas de abrir servidores FTP anónimos. Estos servidores vienen con directorios de lectura y escritura. Puertos abiertos por troyanos como Doly Trojan, Fore, Invisible FTP, WebEx, WinCrash y Blade Runner.
Puerto: 22
Servicio: ssh
Descripción: PcAnywhere establece una conexión entre TCP y este puerto, posiblemente buscando ssh. El servicio tiene una serie de debilidades y muchas versiones que utilizan la biblioteca RSAREF tienen numerosas vulnerabilidades si se configuran en un modo específico.
Puerto: 23
Servicio: Telnet
Descripción: Telnet, el intruso está buscando un servicio de inicio de sesión remoto en UNIX. En la mayoría de los casos, se escanea el puerto para encontrar el sistema operativo que está ejecutando la máquina. Existen otras técnicas mediante las cuales los intrusos también pueden encontrar contraseñas. El servidor Trojan Tiny Telnet abre este puerto.
Puerto: 25
Servicio: SMTP
Descripción: El puerto abierto por el servidor SMTP para enviar correos electrónicos. Los intrusos buscan servidores SMTP para enviar spam. La cuenta del intruso se cerró y necesitaban conectarse a un servidor de CORREO ELECTRÓNICO de gran ancho de banda para enviar correos electrónicos simples a diferentes direcciones. Los troyanos Antigen, Email Password Sender, Haebu Coceda, Shtrilitz Stealth, WinPC y WinSpy abren este puerto.
Puerto: 31
Servicio: Autenticación MSG
Descripción: Trojan Master Paradise, Hackers Paradise abrió este puerto.
Puerto: 42
Servicio: Replicación WINS
Descripción: Replicación WINS
Puerto: 53
Servicio : Servidor de nombres de dominio (DNS)
Descripción: Puertos abiertos por servidores DNS: Puertos abiertos por servidores DNS donde los intrusos pueden intentar realizar transferencias de zona (TCP), falsificar DNS (UDP) u ocultar otras comunicaciones. Por lo tanto, los cortafuegos suelen filtrar o registrar este puerto.
Puerto: 67
Servicio: Servidor de protocolo de arranque
Descripción: Los cortafuegos enviados a la dirección de transmisión 255.255.255.255 a través de módems DSL y de cable suelen ver una gran cantidad de datos . Las máquinas solicitan una dirección del servidor DHCP. Los piratas informáticos normalmente acceden a estas máquinas, asignan una dirección y lanzan algún ataque de intermediario actuando como un enrutador local. El cliente transmite la solicitud de configuración al puerto 68 y el servidor transmite la respuesta a la solicitud al puerto 67. Esta respuesta utiliza una transmisión porque el cliente aún no conoce la dirección IP a la que puede enviar.
Puertos 67 y 68:
Los puertos 67 y 68 son los puertos abiertos por el servidor del protocolo Bootstrap y el cliente del protocolo Bootstrap que sirven a Bootp respectivamente.
Puerto: 69
Servicio: Trival File Transfer
Descripción: Muchos servidores proporcionan este servicio a través de Bootp para facilitar la descarga del código de inicio del sistema. Sin embargo, a menudo están mal configurados, lo que permite a intrusos robar cualquier archivo del sistema. También se pueden utilizar para escribir archivos en el sistema.
Puerto: 79
Servicio: Finger Server
Descripción: Utilizado por intrusos para obtener información del usuario, consultar el sistema operativo y detectar errores conocidos de desbordamiento del búfer. y responder a escaneos dactilares desde su propia máquina a otras máquinas.
Puerto: 80
Servicio: HTTP
Descripción: Se utiliza para navegación web. El ejecutor del troyano abre el puerto.
Puerto: 99
Servicio: Metagram Relay
Descripción: Para navegación web: La puerta trasera ncx99 abre este puerto.
Puerto: 102
Servicio: Agente de Transferencia de Mensajes (MTA)--X.400 sobre TCP/IP
Descripción: Agente de Transferencia de Mensajes.
Puerto: 109
Servicio: Protocolo de oficina postal - Versión 3
Descripción: El servidor POP3 abre este puerto: El servidor POP3 abre este puerto para recibir correo , el cliente accede a los servicios de correo del lado del servidor. Al menos 20 de las debilidades están relacionadas con desbordamientos del buffer de intercambio de nombres de usuario y contraseñas, lo que significa que un intruso podría ingresar al sistema antes de iniciar sesión. Otros errores de desbordamiento del búfer ocurren después de un inicio de sesión exitoso.
Puerto: 110
Servicio: todos los puertos del servicio RPC de SUN
Nota: Los servicios RPC comunes incluyen rpc.mountd, NFS, rpc.statd, rpc. csmd, rpc.ttybd, amd, etc.
Puerto 111:
El puerto 111 es un puerto abierto para el servicio RPC (llamada a procedimiento remoto) de SUN, utilizado principalmente en sistemas distribuidos. Comunicación entre Los procesos internos de diferentes computadoras son una parte muy importante de RPC en varios servicios de red.
Puerto: 113
Servicio: Servicio de Autenticación
Descripción: Este es un protocolo que se ejecuta en muchas computadoras y se utiliza para identificar a los usuarios de conexiones TCP. Se puede obtener información de muchas computadoras utilizando una versión estandarizada del servicio. Sin embargo, se puede utilizar como registrador para muchos servicios, especialmente FTP, POP, IMAP, SMTP e IRC.
Normalmente, si tiene muchos clientes que acceden a estos servicios a través de un firewall, verá muchas solicitudes de conexión en este puerto. Recuerde, si bloquea este puerto, los clientes experimentarán una conexión lenta con el servidor de correo electrónico al otro lado del firewall. Muchos firewalls admiten el envío de retornos RST al bloquear conexiones TCP, lo que bloqueará las conexiones lentas.
Puerto: 119
Servicio: Protocolo de transferencia de noticias en red
Descripción: Protocolo de transferencia de grupo de noticias NEWS para transportar tráfico USENET. Las conexiones en este puerto suelen ser usuarios que buscan servidores USENET. La mayoría de los proveedores de servicios de Internet restringen el acceso de los clientes a sus servidores de grupos de noticias. Abra un servidor de grupo de noticias para publicar/leer las publicaciones de cualquier persona, acceder a servidores de grupos de noticias restringidos, publicar de forma anónima o enviar spam.
Puerto: 135
Servicio: Servicios de ubicación
Descripción: Microsoft ejecuta el punto final DCE RPC en este puerto. Esto es muy similar a la funcionalidad del puerto 111 de UNIX. Los servicios que utilizan DCOM y RPC utilizan el asignador de puntos finales en la computadora para registrar su ubicación. Cuando los clientes remotos se conectan a una computadora, buscan el asignador de puntos finales para encontrar la ubicación del servicio. ¿Un pirata informático está escaneando este puerto en la computadora para descubrir que Exchange Server se está ejecutando en esta computadora? ¿Qué versión es? También hay algunos ataques de DOS que apuntan directamente a este puerto.
Puertos: 137, 138, 139
Servicio: NETBIOS Name Service
Descripción: Los puertos 137 y 138 son puertos UDP utilizados para la transmisión a través del documento de vecindad de Internet . Y puerto 139: las conexiones que lleguen a través de este puerto intentarán obtener servicios NetBIOS/SMB. Este protocolo se utiliza para disfrutar de archivos e impresoras de Windows y SAMBA. El registro WINS también utiliza este protocolo.
Puerto: 143
Servicio: Protocolo provisional de acceso al correo v2
Nota: al igual que la seguridad POP3, muchos servidores IMAP son susceptibles a desbordamientos del búfer. Recuerde: El gusano LINUX (admv0rm) se propaga a través de este puerto, por lo que muchos análisis de este puerto provienen de usuarios desprevenidos que han sido infectados. Estas vulnerabilidades se hicieron populares cuando REDHAT permitió IMAP de forma predeterminada en sus distribuciones LINUX. Este puerto también se utiliza para IMAP2, pero no es tan popular.
Puerto: 161
Servicio: SNMP
Descripción: SNMP permite la gestión remota de dispositivos. Toda la información operativa y de configuración se almacena en la base de datos y está disponible a través de SNMP. Muchas configuraciones erróneas del administrador quedarán expuestas en Internet y los piratas informáticos intentarán acceder al sistema utilizando las contraseñas públicas y privadas predeterminadas. Pueden probar todas las combinaciones posibles. Los paquetes SNMP pueden estar mal dirigidos a la red del usuario.
Puerto: 177
Servicio: Protocolo de control del Administrador de pantalla X
Descripción: Muchos intrusos acceden al Panel de control del operador de X-Windows a través de él. También requiere puerto. 6000 para estar abierto.
Puerto: 389
Servicios: LDAP, ILS
Descripción: El protocolo ligero de acceso a directorios y el servidor de ubicación de Internet de NetMeeting *** utilizan este puerto.
Puerto: 443
Servicio: HTTPS
Descripción: Puerto de navegación web, que proporciona cifrado y una alternativa a HTTP a través de un puerto seguro.
Puerto: 456
Servicio: [NULL]
Descripción: El troyano HACKERS PARADISE abre este puerto.
Puerto: 513
Servicios: Inicio de sesión, Telnet
Descripción: Transmisión desde una computadora UNIX iniciando sesión en una subred mediante un módem por cable o DSL. Estas transmisiones proporcionan a los intrusos información para obtener acceso a sus sistemas.
Puerto: 544
Servicio: [NULL]
Descripción: kerberos kshell
Puerto: 548
Servicio: Macintosh, Servicios de archivos (AFP/IP)
Descripción: ..
Puerto: 553
Servicio: CORBA IIOP (UDP)
Nota: Al utilizar un módem por cable, DSL o VLAN, verá transmisiones en este puerto. CORBA es un sistema RPC orientado a objetos. Los intrusos pueden utilizar esta información para obtener acceso al sistema.
Puerto 554:
De forma predeterminada, el puerto 554 se utiliza para el protocolo de transmisión en tiempo real (RTSP).
Puerto: 555
Servicio: DSF
Descripción: Trojan PhAse 1.0, Stealth Spy, IniKiller abre este puerto.
Puerto: 568
Servicio: Miembro DPA
Descripción: Miembro DPA.
Puerto: 569
Servicio: MSN Miembro
Descripción: MSN Miembro: MSN Miembro.
Puerto: 635
Servicio: mountd
Descripción: Error de Mountd para Linux: la mayoría de los escaneos de este puerto están basados en UDP, pero en TCP ( mountd puede ejecutarse en ambos puertos) también se ha incrementado. Tenga en cuenta que mountd puede ejecutarse en cualquier puerto (para ser específico, deberá realizar una búsqueda de mapa de puertos en el puerto 111), pero el puerto predeterminado de Linux es 635, al igual que NFS generalmente se ejecuta en el puerto 2049.
Puerto: 636
Servicio: LDAP
Descripción: SSL (Secure Socket Layer)
Puerto: 666
Servicio: software Doom Id
Descripción: El troyano Doom Id ataca FTP y Satanz. La puerta trasera abre este puerto
Puerto: 993
Servicio: IMAP
Descripción: SSL (Secure Sockets Layer)
Puerto: 1001 , 1011
Servicio: [NULL]
Descripción: Trojan Silencer, WebEx abre el puerto 1001. El troyano Doly abre el puerto 1011.
Puerto: 1024
Servicio: Reservado
Descripción: Este es el comienzo de los puertos dinámicos, a muchos programas no les importa qué puerto usan para conectarse la red, pero pide al sistema que les asigne el siguiente puerto libre. Por lo tanto, la asignación comienza en el puerto 1024. Esto significa que al primer programa que realice una solicitud al sistema se le asignará el puerto 1024. Puede reiniciar la máquina, abrir Telnet, luego abrir otra ventana y ejecutar natstat -a, y encontrará que Telnet está asignado al puerto 1024. Hay sesiones SQL que también utilizan este puerto y el puerto 5000.
Puertos: 1025, 1033
Servicio: 1025: Network Blackjack 1033: [NULL]
Descripción: El troyano netspy abrió estos dos puertos.
Puerto: 1080
Servicio: SOCKS
Descripción: Este protocolo atraviesa firewalls, permitiendo a las personas detrás del firewall acceder a INTERNET a través de una dirección IP. En teoría, solo debería permitir el tráfico interno hacia INTERNET, pero debido a una mala configuración, puede permitir el paso de ataques desde fuera del firewall. Este error ocurre con frecuencia en WinGate y a menudo puede verse al unirse a una sala de chat IRC.
Puerto: 1170
Servicio: [NULL]
Descripción: Este puerto está abierto para Trojan Streaming Audio Trojan, Psyber Stream Server y Voice.
Puertos: 1234, 1243, 6711, 6776
Servicio: [NULL]
Descripción: Trojan SubSeven2.0, el troyano Ultors abre los puertos 1234 y 6776. Trojan SubSeven 1.0/1.9 abre los puertos 1243, 6711, 6776.
Puerto: 1245
Servicio: [NULL]
Descripción: El troyano Vodoo abrió este puerto.
Puerto: 1433
Servicio: SQL
Descripción: El puerto abierto por el servicio SQL de Microsoft.
Puerto: 1492
Servicio: Stone-design-1
Descripción: Puertos abiertos por el troyano FTP-1: Puertos abiertos por el troyano FTP99CMP.
Puerto: 1500
Servicio: Consulta de sesión de puerto fijo del cliente RPC
Descripción: Puerto abierto por el troyano FTP99CMP: NetMeeting T.120
Puerto: 1524
Servicio: Entrada
Descripción: Muchos scripts de ataque instalarán programas de puerta trasera: Muchos scripts de ataque instalarán SHELL de puerta trasera en este puerto, especialmente aquellos dirigidos a sistemas SUN Scripts que explotan vulnerabilidades en los servicios Sendmail y RPC. Si observa intentos de conexión en este puerto después de instalar el firewall, lo más probable es que se deba a los motivos enumerados anteriormente. Intente iniciar sesión en el puerto de forma remota en la computadora del usuario para ver si aparece SHELL.
Puerto 1755:
El puerto 1755 se utiliza de forma predeterminada para "Microsoft Media Server" (MMS).
Puerto 4000:
El puerto 4000 se usa para la herramienta de chat QQ que todos usan con frecuencia. Más detalladamente, es el puerto abierto del cliente QQ, mientras que el servidor QQ lo usa. puerto 8000.
Puerto 5554:
El 30 de abril de este año, hubo informes de la aparición de un nuevo gusano dirigido al servicio lsass de Microsoft. El virus, llamado Worm.Sasser, puede abrir el servicio FTP utilizando el puerto TCP 5554, que se utiliza principalmente para la propagación de virus.
Puerto 5632:
El puerto 5632 es el puerto abierto por nuestro conocido software de control remoto pcAnywhere.
Puerto 8080:
El puerto 8080 es el mismo que el puerto 80, se utiliza para el servicio de proxy WWW y puede navegar por la web.
21 ftp
23 telnet
25 smtp
80 http
135, 139, 445 Es dijo que puertos peligrosos
4000 QQ
8080, 3128 proxy
8000 Grey Pigeon
8888 Bee 8
3389 Asistencia remota
1433 SQL Server
Puerto: 135 1900 1528 123 1583 1037 1584 Proceso: svchost.exe Svchost en sí solo actúa como un host de servicio y no implementa ninguna función de servicio Debe ser iniciado por Svchost. Los servicios se implementan en forma de bibliotecas de enlaces dinámicos. Al instalar estos servicios, el programa ejecutable del servicio apuntará a svchost; al iniciar estos servicios, svchost llamará a la biblioteca de enlaces dinámicos del servicio correspondiente para iniciar el servicio.
Puerto: 8000 Proceso: H-Client.exe Proceso Gray Pigeon
Puerto: 1110 Proceso: PhCore.exe Proceso Peanut Shell
Puerto: 1193 Proceso: Proceso TT de TTraveler.exe
La información que recopilamos nosotros mismos
es relativamente completa....