Red de conocimiento informático - Conocimiento de la instalación - Puertos que pueden ser invadidos por troyanos

Puertos que pueden ser invadidos por troyanos

Puerto: 0

Servicio: Reservado

Descripción: Normalmente se utiliza para analizar sistemas operativos. Este método funciona porque en algunos sistemas "0" es un puerto no válido y obtendrá resultados diferentes cuando intente conectarse utilizando el puerto cerrado habitual. Un escaneo típico utiliza la dirección IP 0.0.0.0, establece el bit ACK y transmite en la capa Ethernet.

Puerto: 1

Servicio: tcpmux

Descripción: Esto indica que alguien está buscando una máquina SGI Irix. Irix es el principal proveedor de implementación de tcpmux y dichos sistemas tienen tcpmux habilitado de forma predeterminada. Las máquinas Irix se envían con varias cuentas sin contraseña predeterminadas, como IP, GUEST UUCP, NUUCP, DEMOS, TUTOR, DIAG, OUTOFBOX, etc. Muchos administradores olvidan eliminar estas cuentas después de la instalación. Por lo tanto, los piratas informáticos buscan tcpmux en Internet y utilizan estas cuentas.

Puerto: 7

Servicio:

Descripción: Puedes ver que muchas personas envían a X.X.X.0 y X.X.X.255 cuando buscan amplificadores Fraggle.

Puerto: 19

Servicio: Generador de caracteres

Descripción: Este es un servicio de solo caracteres, la versión UDP responderá con caracteres basura recibidos en el paquete UDP. Una conexión TCP envía un flujo de caracteres basura hasta que se cierra la conexión, lo que permite a los piratas informáticos utilizar la suplantación de IP para lanzar un ataque DoS. Lanzar un ataque DoS. Falsifica paquetes UDP entre dos servidores de cargadores. El mismo ataque Fraggle DoS transmite un paquete con una IP de víctima falsificada a este puerto en la dirección de destino, y la víctima se sobrecarga en respuesta a estos datos.

Puerto: 21

Servicio:

Descripción: El puerto abierto por el servidor FTP para cargas y descargas. Lo utilizan con mayor frecuencia los atacantes que buscan formas de abrir servidores FTP anónimos. Estos servidores vienen con directorios de lectura y escritura. Puertos abiertos por troyanos como Doly Trojan, Fore, Invisible FTP, WebEx, WinCrash y Blade Runner.

Puerto: 22

Servicio: ssh

Descripción: PcAnywhere establece una conexión entre TCP y este puerto, posiblemente buscando ssh. El servicio tiene una serie de debilidades y muchas versiones que utilizan la biblioteca RSAREF tienen numerosas vulnerabilidades si se configuran en un modo específico.

Puerto: 23

Servicio: Telnet

Descripción: Telnet, el intruso está buscando un servicio de inicio de sesión remoto en UNIX. En la mayoría de los casos, se escanea el puerto para encontrar el sistema operativo que está ejecutando la máquina. Existen otras técnicas mediante las cuales los intrusos también pueden encontrar contraseñas. El servidor Trojan Tiny Telnet abre este puerto.

Puerto: 25

Servicio: SMTP

Descripción: El puerto abierto por el servidor SMTP para enviar correos electrónicos. Los intrusos buscan servidores SMTP para enviar spam. La cuenta del intruso se cerró y necesitaban conectarse a un servidor de CORREO ELECTRÓNICO de gran ancho de banda para enviar correos electrónicos simples a diferentes direcciones. Los troyanos Antigen, Email Password Sender, Haebu Coceda, Shtrilitz Stealth, WinPC y WinSpy abren este puerto.

Puerto: 31

Servicio: Autenticación MSG

Descripción: Trojan Master Paradise, Hackers Paradise abrió este puerto.

Puerto: 42

Servicio: Replicación WINS

Descripción: Replicación WINS

Puerto: 53

Servicio : Servidor de nombres de dominio (DNS)

Descripción: Puertos abiertos por servidores DNS: Puertos abiertos por servidores DNS donde los intrusos pueden intentar realizar transferencias de zona (TCP), falsificar DNS (UDP) u ocultar otras comunicaciones. Por lo tanto, los cortafuegos suelen filtrar o registrar este puerto.

Puerto: 67

Servicio: Servidor de protocolo de arranque

Descripción: Los cortafuegos enviados a la dirección de transmisión 255.255.255.255 a través de módems DSL y de cable suelen ver una gran cantidad de datos . Las máquinas solicitan una dirección del servidor DHCP. Los piratas informáticos normalmente acceden a estas máquinas, asignan una dirección y lanzan algún ataque de intermediario actuando como un enrutador local. El cliente transmite la solicitud de configuración al puerto 68 y el servidor transmite la respuesta a la solicitud al puerto 67. Esta respuesta utiliza una transmisión porque el cliente aún no conoce la dirección IP a la que puede enviar.

Puertos 67 y 68:

Los puertos 67 y 68 son los puertos abiertos por el servidor del protocolo Bootstrap y el cliente del protocolo Bootstrap que sirven a Bootp respectivamente.

Puerto: 69

Servicio: Trival File Transfer

Descripción: Muchos servidores proporcionan este servicio a través de Bootp para facilitar la descarga del código de inicio del sistema. Sin embargo, a menudo están mal configurados, lo que permite a intrusos robar cualquier archivo del sistema. También se pueden utilizar para escribir archivos en el sistema.

Puerto: 79

Servicio: Finger Server

Descripción: Utilizado por intrusos para obtener información del usuario, consultar el sistema operativo y detectar errores conocidos de desbordamiento del búfer. y responder a escaneos dactilares desde su propia máquina a otras máquinas.

Puerto: 80

Servicio: HTTP

Descripción: Se utiliza para navegación web. El ejecutor del troyano abre el puerto.

Puerto: 99

Servicio: Metagram Relay

Descripción: Para navegación web: La puerta trasera ncx99 abre este puerto.

Puerto: 102

Servicio: Agente de Transferencia de Mensajes (MTA)--X.400 sobre TCP/IP

Descripción: Agente de Transferencia de Mensajes.

Puerto: 109

Servicio: Protocolo de oficina postal - Versión 3

Descripción: El servidor POP3 abre este puerto: El servidor POP3 abre este puerto para recibir correo , el cliente accede a los servicios de correo del lado del servidor. Al menos 20 de las debilidades están relacionadas con desbordamientos del buffer de intercambio de nombres de usuario y contraseñas, lo que significa que un intruso podría ingresar al sistema antes de iniciar sesión. Otros errores de desbordamiento del búfer ocurren después de un inicio de sesión exitoso.

Puerto: 110

Servicio: todos los puertos del servicio RPC de SUN

Nota: Los servicios RPC comunes incluyen rpc.mountd, NFS, rpc.statd, rpc. csmd, rpc.ttybd, amd, etc.

Puerto 111:

El puerto 111 es un puerto abierto para el servicio RPC (llamada a procedimiento remoto) de SUN, utilizado principalmente en sistemas distribuidos. Comunicación entre Los procesos internos de diferentes computadoras son una parte muy importante de RPC en varios servicios de red.

Puerto: 113

Servicio: Servicio de Autenticación

Descripción: Este es un protocolo que se ejecuta en muchas computadoras y se utiliza para identificar a los usuarios de conexiones TCP. Se puede obtener información de muchas computadoras utilizando una versión estandarizada del servicio. Sin embargo, se puede utilizar como registrador para muchos servicios, especialmente FTP, POP, IMAP, SMTP e IRC.

Normalmente, si tiene muchos clientes que acceden a estos servicios a través de un firewall, verá muchas solicitudes de conexión en este puerto. Recuerde, si bloquea este puerto, los clientes experimentarán una conexión lenta con el servidor de correo electrónico al otro lado del firewall. Muchos firewalls admiten el envío de retornos RST al bloquear conexiones TCP, lo que bloqueará las conexiones lentas.

Puerto: 119

Servicio: Protocolo de transferencia de noticias en red

Descripción: Protocolo de transferencia de grupo de noticias NEWS para transportar tráfico USENET. Las conexiones en este puerto suelen ser usuarios que buscan servidores USENET. La mayoría de los proveedores de servicios de Internet restringen el acceso de los clientes a sus servidores de grupos de noticias. Abra un servidor de grupo de noticias para publicar/leer las publicaciones de cualquier persona, acceder a servidores de grupos de noticias restringidos, publicar de forma anónima o enviar spam.

Puerto: 135

Servicio: Servicios de ubicación

Descripción: Microsoft ejecuta el punto final DCE RPC en este puerto. Esto es muy similar a la funcionalidad del puerto 111 de UNIX. Los servicios que utilizan DCOM y RPC utilizan el asignador de puntos finales en la computadora para registrar su ubicación. Cuando los clientes remotos se conectan a una computadora, buscan el asignador de puntos finales para encontrar la ubicación del servicio. ¿Un pirata informático está escaneando este puerto en la computadora para descubrir que Exchange Server se está ejecutando en esta computadora? ¿Qué versión es? También hay algunos ataques de DOS que apuntan directamente a este puerto.

Puertos: 137, 138, 139

Servicio: NETBIOS Name Service

Descripción: Los puertos 137 y 138 son puertos UDP utilizados para la transmisión a través del documento de vecindad de Internet . Y puerto 139: las conexiones que lleguen a través de este puerto intentarán obtener servicios NetBIOS/SMB. Este protocolo se utiliza para disfrutar de archivos e impresoras de Windows y SAMBA. El registro WINS también utiliza este protocolo.

Puerto: 143

Servicio: Protocolo provisional de acceso al correo v2

Nota: al igual que la seguridad POP3, muchos servidores IMAP son susceptibles a desbordamientos del búfer. Recuerde: El gusano LINUX (admv0rm) se propaga a través de este puerto, por lo que muchos análisis de este puerto provienen de usuarios desprevenidos que han sido infectados. Estas vulnerabilidades se hicieron populares cuando REDHAT permitió IMAP de forma predeterminada en sus distribuciones LINUX. Este puerto también se utiliza para IMAP2, pero no es tan popular.

Puerto: 161

Servicio: SNMP

Descripción: SNMP permite la gestión remota de dispositivos. Toda la información operativa y de configuración se almacena en la base de datos y está disponible a través de SNMP. Muchas configuraciones erróneas del administrador quedarán expuestas en Internet y los piratas informáticos intentarán acceder al sistema utilizando las contraseñas públicas y privadas predeterminadas. Pueden probar todas las combinaciones posibles. Los paquetes SNMP pueden estar mal dirigidos a la red del usuario.

Puerto: 177

Servicio: Protocolo de control del Administrador de pantalla X

Descripción: Muchos intrusos acceden al Panel de control del operador de X-Windows a través de él. También requiere puerto. 6000 para estar abierto.

Puerto: 389

Servicios: LDAP, ILS

Descripción: El protocolo ligero de acceso a directorios y el servidor de ubicación de Internet de NetMeeting *** utilizan este puerto.

Puerto: 443

Servicio: HTTPS

Descripción: Puerto de navegación web, que proporciona cifrado y una alternativa a HTTP a través de un puerto seguro.

Puerto: 456

Servicio: [NULL]

Descripción: El troyano HACKERS PARADISE abre este puerto.

Puerto: 513

Servicios: Inicio de sesión, Telnet

Descripción: Transmisión desde una computadora UNIX iniciando sesión en una subred mediante un módem por cable o DSL. Estas transmisiones proporcionan a los intrusos información para obtener acceso a sus sistemas.

Puerto: 544

Servicio: [NULL]

Descripción: kerberos kshell

Puerto: 548

Servicio: Macintosh, Servicios de archivos (AFP/IP)

Descripción: ..

Puerto: 553

Servicio: CORBA IIOP (UDP)

Nota: Al utilizar un módem por cable, DSL o VLAN, verá transmisiones en este puerto. CORBA es un sistema RPC orientado a objetos. Los intrusos pueden utilizar esta información para obtener acceso al sistema.

Puerto 554:

De forma predeterminada, el puerto 554 se utiliza para el protocolo de transmisión en tiempo real (RTSP).

Puerto: 555

Servicio: DSF

Descripción: Trojan PhAse 1.0, Stealth Spy, IniKiller abre este puerto.

Puerto: 568

Servicio: Miembro DPA

Descripción: Miembro DPA.

Puerto: 569

Servicio: MSN Miembro

Descripción: MSN Miembro: MSN Miembro.

Puerto: 635

Servicio: mountd

Descripción: Error de Mountd para Linux: la mayoría de los escaneos de este puerto están basados ​​en UDP, pero en TCP ( mountd puede ejecutarse en ambos puertos) también se ha incrementado. Tenga en cuenta que mountd puede ejecutarse en cualquier puerto (para ser específico, deberá realizar una búsqueda de mapa de puertos en el puerto 111), pero el puerto predeterminado de Linux es 635, al igual que NFS generalmente se ejecuta en el puerto 2049.

Puerto: 636

Servicio: LDAP

Descripción: SSL (Secure Socket Layer)

Puerto: 666

Servicio: software Doom Id

Descripción: El troyano Doom Id ataca FTP y Satanz. La puerta trasera abre este puerto

Puerto: 993

Servicio: IMAP

Descripción: SSL (Secure Sockets Layer)

Puerto: 1001 , 1011

Servicio: [NULL]

Descripción: Trojan Silencer, WebEx abre el puerto 1001. El troyano Doly abre el puerto 1011.

Puerto: 1024

Servicio: Reservado

Descripción: Este es el comienzo de los puertos dinámicos, a muchos programas no les importa qué puerto usan para conectarse la red, pero pide al sistema que les asigne el siguiente puerto libre. Por lo tanto, la asignación comienza en el puerto 1024. Esto significa que al primer programa que realice una solicitud al sistema se le asignará el puerto 1024. Puede reiniciar la máquina, abrir Telnet, luego abrir otra ventana y ejecutar natstat -a, y encontrará que Telnet está asignado al puerto 1024. Hay sesiones SQL que también utilizan este puerto y el puerto 5000.

Puertos: 1025, 1033

Servicio: 1025: Network Blackjack 1033: [NULL]

Descripción: El troyano netspy abrió estos dos puertos.

Puerto: 1080

Servicio: SOCKS

Descripción: Este protocolo atraviesa firewalls, permitiendo a las personas detrás del firewall acceder a INTERNET a través de una dirección IP. En teoría, solo debería permitir el tráfico interno hacia INTERNET, pero debido a una mala configuración, puede permitir el paso de ataques desde fuera del firewall. Este error ocurre con frecuencia en WinGate y a menudo puede verse al unirse a una sala de chat IRC.

Puerto: 1170

Servicio: [NULL]

Descripción: Este puerto está abierto para Trojan Streaming Audio Trojan, Psyber Stream Server y Voice.

Puertos: 1234, 1243, 6711, 6776

Servicio: [NULL]

Descripción: Trojan SubSeven2.0, el troyano Ultors abre los puertos 1234 y 6776. Trojan SubSeven 1.0/1.9 ​​​​abre los puertos 1243, 6711, 6776.

Puerto: 1245

Servicio: [NULL]

Descripción: El troyano Vodoo abrió este puerto.

Puerto: 1433

Servicio: SQL

Descripción: El puerto abierto por el servicio SQL de Microsoft.

Puerto: 1492

Servicio: Stone-design-1

Descripción: Puertos abiertos por el troyano FTP-1: Puertos abiertos por el troyano FTP99CMP.

Puerto: 1500

Servicio: Consulta de sesión de puerto fijo del cliente RPC

Descripción: Puerto abierto por el troyano FTP99CMP: NetMeeting T.120

Puerto: 1524

Servicio: Entrada

Descripción: Muchos scripts de ataque instalarán programas de puerta trasera: Muchos scripts de ataque instalarán SHELL de puerta trasera en este puerto, especialmente aquellos dirigidos a sistemas SUN Scripts que explotan vulnerabilidades en los servicios Sendmail y RPC. Si observa intentos de conexión en este puerto después de instalar el firewall, lo más probable es que se deba a los motivos enumerados anteriormente. Intente iniciar sesión en el puerto de forma remota en la computadora del usuario para ver si aparece SHELL.

Puerto 1755:

El puerto 1755 se utiliza de forma predeterminada para "Microsoft Media Server" (MMS).

Puerto 4000:

El puerto 4000 se usa para la herramienta de chat QQ que todos usan con frecuencia. Más detalladamente, es el puerto abierto del cliente QQ, mientras que el servidor QQ lo usa. puerto 8000.

Puerto 5554:

El 30 de abril de este año, hubo informes de la aparición de un nuevo gusano dirigido al servicio lsass de Microsoft. El virus, llamado Worm.Sasser, puede abrir el servicio FTP utilizando el puerto TCP 5554, que se utiliza principalmente para la propagación de virus.

Puerto 5632:

El puerto 5632 es el puerto abierto por nuestro conocido software de control remoto pcAnywhere.

Puerto 8080:

El puerto 8080 es el mismo que el puerto 80, se utiliza para el servicio de proxy WWW y puede navegar por la web.

21 ftp

23 telnet

25 smtp

80 http

135, 139, 445 Es dijo que puertos peligrosos

4000 QQ

8080, 3128 proxy

8000 Grey Pigeon

8888 Bee 8

3389 Asistencia remota

1433 SQL Server

Puerto: 135 1900 1528 123 1583 1037 1584 Proceso: svchost.exe Svchost en sí solo actúa como un host de servicio y no implementa ninguna función de servicio Debe ser iniciado por Svchost. Los servicios se implementan en forma de bibliotecas de enlaces dinámicos. Al instalar estos servicios, el programa ejecutable del servicio apuntará a svchost; al iniciar estos servicios, svchost llamará a la biblioteca de enlaces dinámicos del servicio correspondiente para iniciar el servicio.

Puerto: 8000 Proceso: H-Client.exe Proceso Gray Pigeon

Puerto: 1110 Proceso: PhCore.exe Proceso Peanut Shell

Puerto: 1193 Proceso: Proceso TT de TTraveler.exe

La información que recopilamos nosotros mismos

es relativamente completa....