Strona 1

ARAKIS

2008-02-07 20:23:22

http://www.arakis.pl/pl/ports.html

Numer

portu

Usługa

Opis

21

FTP

Aktywność na porcie 21/TCP jest często związana z poszukiwaniem anonimowych serwerów FTP (File
Transfer Protocol). Serwery takie często pozwalają na anonimowe zapisanie i odczytanie danych, stąd
są atrakcyjnym celem dla osób szukających miejsc do przechowywania nielegalnego oprogramowania.
W przeszłości w wielu implementacjach FTP znajdowano poważne luki, takie jak przepełnienia bufora,
umożliwiające uzyskanie uprawnień administratora. Skanowanie może mieć na celu zidentyfikowanie
(lub od razu wykorzystanie) potencjalnie dziurawej wersji serwera FTP.

22

SSH

Port 22/TCP jest najczęściej kojarzony z usługą SSH (Secure Shell). SSH umożliwia zdalną,
bezpieczną (dzięki szyfrowaniu transmisji) pracę, przede wszystkim na systemach Unix. Jednak w
przypadku wielu implementacji, w serwerach SSH (lub w bibliotekach, z których SSH korzysta, w
szczególności OpenSSL) znajdowano luki umożliwiające zdalne uzyskanie uprawnienia root. Ze
względu na powyższe oraz fakt, że często SSH jest jedyną zdalnie udostępnianą usługą, port 22/TCP
stał się jednym z popularniejszych celów ataku.

23

TELNET

Na porcie 23/TCP znajduje się usługa telnet, umożliwiająca zdalną pracę. Ponieważ telnet przesyła
dane w sposób jawny, narażając je na podsłuch, usługa ta uznawana jest za niebezpieczną i często
zastępowana jest przez SSH. Pomimo tego, wiele dystrybucji systemu Unix ma serwer telnet
domyślnie włączony. Bardzo często za pomocą telnet zarządzane są także routery i switche.
Skanowanie portu 23/TCP może oznaczać próbę identyfikacji systemu operacyjnego, gdyż większość
systemów przedstawia się swoim charakterystycznym bannerem. W przeszłości w serwerach telnet
znajdowano także luki umożliwiające zdalne uzyskanie uprawnienia administratora systemu (root)

25

SMTP

Skanowanie portu 25/TCP jest często wykonywane przez spamerów, szukających otwartych serwerów
pocztowych, które można wykorzystać do rozsyłania spamu. Serwery pocztowe, w szczególności
sendmail, w przeszłości słynęły z licznych luk umożliwiających zdalne uzyskanie uprawnień
administratora systemu (root). Chociaż publikowanych luk jest obecnie niewiele, w dalszym ciągu się
zdarzają. SMTP wykorzystywano także do rozpoznania użytkowników systemu (za pomocą poleceń
vrfy i expn), co umożliwiało w następstwie wykonanie prostego ataku słownikowego na konta
użytkowników, na przykład za pomocą usługi telnet. Przez pocztę elektroniczną propaguje się też
wiele wirusów i robaków.

42

WINS

Skanowanie portu 42/TCP ma związek z wykrytą luką w usłudze WINS (Microsoft Windows). Exploit
na lukę został opublikowany w sieci. Usługa WINS nie występuje w standardowej instalacji systemu
Windows.

53

DNS

DNS (Domain Name System) jest systemem rozwiązywania nazw i jednym z podstawowych
protokołów internetowych. Za pomocą DNS odwzorowywane są nazwy DNS na numery IP i
odwrotnie. Skanowanie portu 53/UDP może być próbą uzyskania wersji serwera DNS lub próbą
włamania (w przeszłości w implementacjach serwerów DNS, w szczególności ISC BIND, znajdowano
wiele luk). Z kolei zapytania na port 53/TCP mogą oznaczać próby przeprowadzenia transferu strefy,
co umożliwiłoby uzyskanie adresów i nazw DNS wszystkich komputerów w domenie.

79

FINGER

Na porcie 79/TCP tradycyjnie rezyduje usługa finger. Za pomocą tej usługi można uzyskać informacje
o użytkownikach systemu, a także o systemie operacyjnym. Usługę tę można też często wykorzystać
w charakterze pośrednika do wysyłania zapytań finger do innych systemów. W serwerze finger
znajdowano też luki umożliwiające uzyskanie zdalnego dostępu do systemu. Słynny robak Internet
Worm w 1988 wykorzystywał między innymi usługę finger do propagacji.

80

HTTP

Na porcie 80/TCP rezyduje serwer HTTP. Serwery HTTP tworzą globalną sieć WWW. Serwery WWW
są jednym z najpopularniejszych celów ataków. Często zawierają luki umożliwiające zdalne
wykonanie dowolnego kodu z przywilejami użytkownika, z którego prawami uruchomiony jest serwer.
Luki te znajdują się zarówno na poziomie implementacji samego serwera jak i na poziomie
udostępnianych przez nie rozmaitych skryptów (na przykład CGI lub PHP) oraz baz danych.
Popularność serwerów WWW i ich podatność na ataki spowodowała, że są częstym celem rozmaitych
robaków sieciowych. Do tej grupy robaków należą między innymi słynne CodeRed, Nimda oraz
Welchia/Nachi.

MAPA ALARMÓW

Ranking aktywności

Rankingi z Darknetu

Statystyki

FAQ

Opis portów

Strona 2

ARAKIS

2008-02-07 20:23:22

http://www.arakis.pl/pl/ports.html

110

POP3

POP3 jest wykorzystywany przez klientów do uzyskiwania zdalnego dostępu do skrzynki pocztowej. W
serwerach POP3 znajdowano wiele luk (między innymi przepełnienia bufora) umożliwiających
uzyskanie dostępu do systemu z różnym poziomem uprawnień. Wykorzystanie części z tych luk jest
możliwe bez wcześniejszego uwierzytelnienia. W przeszłości skanowanie portu 110/TCP było bardzo
częste. W chwili obecnej jest rzadziej spotykane. Niewykluczone jednak, że w przypadku wykrycia
poważnej luki w popularniejszej aplikacji, port ten stanie sie częstszym obiektem ataku.

111

portmap

Zapytania na port 111 mogą być próbą uzyskania, za pośrednictwem usługi portmap, listy
udostępnianych usług RPC, takich jak rpc.mountd, NFS, rpc.statd itp. W przypadku uzyskania adresu
(portu) poszukiwanej usługi, atakujący może następnie spróbować włamać się poprzez bezpośrednie
odwołanie do udostępnianej usługi. Usługi RPC mają bardzo długą historie luk i powinny być zawsze
blokowane na poziomie systemów firewall.

113

identd

Ident służy do zdalnej identyfikacji właściciela procesu, które nawiązało połączenie TCP.
Wykorzystywany jest przede wszystkim przez serwery IRC, ale czasami także przez serwery FTP,
SMTP lub POP. Zapytania na ten port są zazwyczaj wysyłane w odpowiedzi na połączenie z serwisem
zewnętrznym. Skanowanie portu 113 zdarza się rzadko. Pojawienie się informacji o zablokowaniu
przez firewall pakietu skierowanego na port 113 oznacza zazwyczaj, że ktoś z naszej sieci łączył się z
serwerem wykorzystującym usługę ident do lepszego logowania bądź kontroli dostępu.

119

NNTP

Na porcie 119/TCP często rezyduje serwer NNTP. Serwery NNTP tworzą sieć USENET (listy
dyskusyjne). Skanowania tego portu są rzadko spotykane. Kiedy następują, są zazwyczaj próbami
znalezienia otwartych serwerów NNTP, które mogą być wykorzystywane do anonimowego wysyłania
wiadomośći i/lub do wysyłania spamu.

135

loc-srv/

epmap

Na porcie 135/TCP znajduję się usługa Microsoft RPC Endpoint Mapper. Pełni ona podobne funkcje,
co usługa portmap na porcie 111 dla systemów Unix. W 2003 roku w Microsoft RPC znaleziono
poważne luki, umożliwiające zdalne wykonywanie dowolnego kodu z uprawnieniami systemu. Jedna z
tych luk stała się podstawą wielu robaków, z których najbardziej znane to robaki Blaster oraz Nachi/
Welchia. Większość prób wykorzystania luk na tym porcie wykonywana jest przez wyżej wymienione
robaki i ich mutacje oraz trojana Agobot/Phatbot. Przed pojawieniem się wspomnianych robaków,
skanowanie portu było popularne ze względu na możliwość sprawdzenia, jakie usługi są świadczone
przez dany system Windows. Port 135/UDP jest też często wykorzystywany do wysyłania
komunikatów typu winpopup przez Windows Messenger Service (WMS - w polskiej wersji językowej
Windows serwis znany jako usługa Posłaniec), co czyni ten port celem ataku spamerów. W związku z
tym, że port 135 jest często blokowany przez operatorów internetowych, część spamerów przerzuciło
się na porty 1025-1028, pod którymi usługa WMS jest często bezpośrednio dostępna.

137

NetBIOS

name

service

(nbtstat)

Na porcie 137 znajduje się usługa nbtstat, która służy (przede wszystkim systemom Windows) do
translacji adresów IP na nazwy NetBIOS. Kiedy stacja Windows rozwiązuje nazwy, może wysłać
pakiet UDP na ten port. Duża część takich pakietów (blokowanych na systemach firewall) nie ma
związku z próbami ataku. Odwołania na port 137/UDP mogą mieć też związek z robakami
szukającymi otwartych zasobów Windows (port 139/TCP) bądź być próbą zebrania jak największej
informacji o systemie przez atakującego.

139

NetBIOS

file

sharing

Za pośrednictwem protokołu SMB (Server Message Block) dzielone są zasoby Windows. SMB jest
bardzo użyteczną funkcją sytemu Windows, jednak jej niewłaściwa konfiguracja może narazić system
na włamanie. Odwołanie do zasobów SMB może się odbywać poprzez NetBIOS. W tej sytuacji
wysyłane są pakiety na port 139/TCP. Ponieważ zasoby Windows stanowią atrakcyjny cel,
włamywacze często skanują port 139/TCP w poszukiwaniu zasobów. Istnieją również robaki sieciowe,
które wykorzystują ten port do propagacji. W sambie, która jest implementacją protokołu SMB dla
systemów różnych od Windows, wykryto podatności pozwalające na przepełnienie stosu i zdalne
wykonanie instrukcji z prawami root.

143

IMAP

Protokół IMAP4 jest wykorzystywany do zdalnego dostępu do skrzynki pocztowej. Serwer IMAP4
rezyduje zazwyczaj na porcie 143/TCP. W serwerach IMAP4 znajdowano wiele luk, w tym
umożliwiających zdalne wykonywanie kodu z przywilejami administratora systemu. W związku z tym,
port ten stał się również celem ataków robaków, między innymi robaka admw0rm atakującego
systemy Linux.

161

SNMP

Protokół SNMP (Simple Network Management Protocol) służy do zdalnego zarządzania urządzeniami
sieciowymi. Agent SNMP nasłuchuje na porcie 161/UDP. Port ten jest skanowany, gdyż bardzo często
hasła SNMP (tzw. community names) umożliwiające odczytanie bądź zmianę konfiguracji urządzenia,
na którym uruchomiony jest agent, są łatwe do odgadnięcia. Znaleziono też wiele luk w
implementacjach SNMP. Skanowanie portu 161/UDP może być próbą wykorzystania tych luk.

443

https

Na porcie 443/TCP często nasłuchują serwery HTTP. Na ten port kierowany jest ruch HTTP
wzbogacony o SSL (Secure Sockets Layer). Protokół HTTPS umożliwia klientom zestawienie
bezpiecznego połączenia z serwerem WWW. Jednak luki na poziomie serwera WWW są często takie
same, niezależne od tego czy serwer nasłuchuje ruch HTTPS na porcie 443 czy też HTTP na porcie
80. Dodatkowo, istnieje wiele luk związanych z bibliotekami SSL (w szczególności OpenSSL). W 2002
roku robak Slapper atakował serwery HTTPS na Linuksie, wykorzystując lukę przepełnienie bufora w
implementacji OpenSSL.

Strona 3

ARAKIS

2008-02-07 20:23:22

http://www.arakis.pl/pl/ports.html

445

microsoft-

ds

Począwszy od Windows 2000, Microsoft udostępnił możliwość uruchamiania SMB (Server Message
Block) bezpośrednio po TCP. Usługę zaimplementowano na porcie 445/TCP. W związku z tym, port
445/TCP jest często skanowany w poszukiwaniu otwartych zasobów sieciowych Windows. Port jest
często atakowany przez robaki, które usiłują złamać hasła administratora za pomocą ataku
słownikowego w celu uzyskania dostępu do zasobów sieciowych Windows. Jednym z bardziej
znanych robaków tego typu był Deloder. Podobne ataki czynione są za pomocą rozproszonych
botnetów. Z kolei słynny robak Sasser wykorzystywał przepełnienie bufora w LSASS za pośrednictwem
tego portu.

515

lp printer

Na porcie 515/TCP często można spotkać daemona lp (zarządza drukowaniem). Z usługą tą
związanych jest wiele luk. Robak Ramen wykorzystywał lukę na tym porcie w systemach Linux.

554

RTSP

Port 554/TCP kojarzony jest z usługą Real Time Streaming Protocol. W 2003 roku opublikowano kilka
informacji o lukach związanych z RealNetworks Helix Universal RTSP Server (oprogramowanie
dostępne jest zarówno pod systemy Windows jak i Unix). Umożliwiały one zdalne wykonanie
dowolnego kodu na systemie z serwerem RTSP z przywilejami użytkownika uruchamiającego serwer.
Skanowanie może być próbą wykorzystania tych luk.

901

Samba-

SWAT

901/TCP jest jednym z portów zarządzających sensorami RealSecure. Kojarzony jest również z Samba
Web Administration Tool. W 2003 roku pojawiły się regularne skanowania tego portu. Przypuszczalnie
jednak, mają związek z trojanem NetDevil, który także nasłuchuje na tym porcie.

1023

Skanowanie na port 1023 może mieć związek z próbami odnalezienia serwera FTP, który jest
uruchamiany przez robaka W32.Sasser.E.

1025

1025 jest portem efemerycznym, często przydzielany aplikacjom klienckim. Czasem jednak
przydzielany jest też innym usługom. Przez port 1025/TCP wykorzystywane są też luki RPC na
systemach Windows (robak Agobot/Phatbot).

1026

1026 jest portem efemerycznym, często przydzielany aplikacjom klienckim. Skanowanie TCP na ten
port może być próbą odnalezienia zainfekowanych hostów przez konie trojańskie Backdoor.Padonock,
PWSteal.ABCHlp. Skanowanie UDP ma prawdopodobnie związek z usługa Windows Messenger
Service, która często nasłuchuje na tym porcie i jest wykorzystywana przez spamerów.

1027

1027 jest portem efemerycznym, często przydzielany aplikacjom klienckim. Skanowanie TCP na ten
port może być próbą odnalezienia zainfekowanych hostów przez konie trojańskie Backdoor.Padonock,
PWSteal.ABCHlp. Skanowanie UDP ma prawdopodobnie związek z usługa Windows Messenger
Service, która często nasłuchuje na tym porcie i jest wykorzystywana przez spamerów.

1028

WMS

Patrz opis portu 1027.

1080

SOCKS

Na porcie 1080/TCP znajduję się usługa SOCKS, umożliwiająca tunelowanie różnych protokołów przez
systemy firewall. Źle skonfigurowane proxy SOCKS przyjmują nieuwierzytelnione połączenia z
zewnątrz. W ten sposób mogą zostać wykorzystane do maskowania swojego rzeczywistego źródła
połączenia. Obecność SOCKS proxy jest często sprawdzana przez serwery IRC, w celu redukcji
możliwych nadużyć.

1433

MS SQL

Na porcie 1433/TCP rezyduje usługa Microsoft SQL Server. W serwerze tym znaleziono wiele luk
umożliwiających odczytywanie danych z bazy, jej modyfikacje, a także uzyskiwanie dostępu do
systemu operacyjnego. Robak MS SQLsnake w dalszym ciągu włamuje się do wielu instalacji MS SQL
Server zainstalowanych z pustym hasłem (co jest cechą instalacji domyślnej), za pośrednictwem tego
portu.

1434

MS SQL

service

discovery

MS SQL wykorzystuje port 1434/UDP do wyszukiwania usług SQL w sieci lokalnej. W serwerze tym
znaleziono wiele luk. Słynny robak SQL Slammer wykorzystał przepełnienie bufora na tym porcie.
Większość zapytań na ten port w dalszym ciągu pochodzi od tego robaka.

1243 SubSeven

Z portem 1243 (a także 27374) kojarzony jest słynny koń trojański SubSeven. Trojan ten umożliwia
między innymi pełne zdalne przejęcie kontroli nad zainfekowanym komputerem. Skanowanie na ten
port jest próbą odszukania komputerów z wyżej wymienionym koniem trojańskim.

1524

Skanowanie na ten port może być próbą odnalezienia zainfekowanych hostów przez konia
trojańskiego Trinoo.

2049

NFS

Serwer NFS (Network File System) często nasłuchuje na tym porcie. Chociaż nie są znane żadne
robaki wykorzystujące ten port, niepoprawnie skonfigurowany serwer NFS może być wykorzystany do
włamania.

2100

ORACLE

FTP

Skanowanie na port 2100/TCP może mieć związek z próbami wykorzystania luk w serwerze FTP
Oracle.

2967 ssc-agent

Na porcie 2967/TCP w Symantec AntiVirus 10.x oraz Symantec Client Security 3.x udostępniany jest
serwer zdalnego dostępu. Chociaż ruch na tym porcie jest zazwyczaj szyfrowany przez SSL,
akceptowane są również zapytania nieszyfrowane. Implementacja jednego z nieszyfrowanych poleceń
(COM_FORWARD_LOG, id 0x24) zawiera nieprawidłowe użycie funkcji strncat. Błąd umożliwia
przepełnienie bufora i wstrzyknięcie do aplikacji kodu, który zostanie wykonany z uprawnieniami
systemowymi. Robaki wykorzystujące podatność: W32.Rinbot.BF, W32.Sagevo, W32.Spybot.ANOO.
Podstawową metodą zabezpieczenia systemu przed zautomatyzowanym atakiem jest zmiana portu
serwera w rejestrze Windows: "HKEY_LOCAL_
MACHINE\SOFTWARE\INTEL\LANDesk\VirusProtect6\CurrentVersion\AgentIPPort".
Port 2968/TCP jest wykorzystywany do udostępniania zdalnego dostępu w serwerach NetWare.
Połączenia na ten port mogą być próbami wykorzystania podatności w Symantec AntiVitus 10.x oraz

Strona 4

ARAKIS

2008-02-07 20:23:22

http://www.arakis.pl/pl/ports.html

Symantec Client Security 3.x umożliwiającej przepełnienie bufora i wykonanie wstrzykniętego kodu
(patrz port 2967).

3127

Port 3127 jest otwierany w charakterze tylnej furtki przez wirusa MyDoom. Wirus MyDoom
(W32.Mydoom.K@mm) jest przekazywany jako załącznik z rozszerzeniem pif, scr, exe, cmd, bat lub
zip do wiadomości e-mail. Wirus MyDoom został rozpropagowany tą drogą na wiele maszyn. Port
3127 jest często skanowany, ponieważ wiele robaków stara sie zainfekować komputery zarażone
przez MyDoom. Do najważniejszych robaków wykorzystujących maszyny zarażone MyDoom należą
W32.Mockbot.A.Worm, W32.Welchia.D.Worm oraz W32.Welchia.K.

3128

squid

Standardowy port wykorzystywany przez oprogramowanie squid (HTTP proxy). Skanowanie na ten
port jest zazwyczaj próbą znalezienia otwartych serwerów proxy w celu ukrycia przez atakującego
swojej tożsamości. HTTP proxy można często również spotkać na portach 8000, 8001, 8080 i 8888.
Czasami źródłem połączeń na te porty są serwery IRC i podobne, próbujące w ten sposób ograniczać
nadużycia spowodowane za pośrednictwem otwartych serwerów proxy. Port ten jest też otwierany w
charakterze tylnej furtki przez wirusa W32.Mydoom.B@mm(patrz opis portu 3127).

3306

Skanowanie portu 3306/TCP może być przeprowadzane przez robaka W32.Spybot.IVQ. Robak
W32.Spybot.IVQ propaguje się atakując serwery MySQL oraz Microsoft SQL za pomocą prostego
słownika, próbuje metodą brute-force uzyskać dostęp do baz. Szczególnie narażone na atak są więc
konfiguracje ze słabym hasłem. Port 3306 jest również wykorzystywany przez konia trojańskiego
Backdoor.Nemog.D, który ma statycznie wprowadzoną listę adresów IP oraz listę portów, na które
wykonuje połączenia. Port 3306/TCP znajduje się na tej liście. Ostatnio port 3306 jest używany
również przez klony emule oraz edonkey.

3389

ms-term-

services

Port 3389 jest kojarzony z Microsoft Terminal Services. Serwer usługi ma lukę, która uniemożliwia mu
wymuszenie szyfrowanego połączenia. W efekcie pozwala to na podsłuchanie sesji RDP i atak typu
"man-in-the-middle".

3410

backdoor

optix

Port 3410 jest wykorzystywany przez trojana Backdoor.Optix.Pro do otwarcia tylnej furtki. Trojan
Backdoor.Optix.Pro jest aplikacją napisaną w Delphi i daje intruzowi nieautoryzowany dostęp do
zainfekowanego komputera. Skanowania na ten port pojawiają się od czasu do czasu, i mogą mieć
związek z próbami odszukania zarażonych komputerów.

4000

Skanowanie na port 4000 może mieć związek z próbami odnalezienia trojanów bądź źle
skonfigurowanych aplikacji do zdalnego zarządzania. Koń trojański Trojan.Peacomm używa portu
4000/UDP do utworzenia szyfrowanego kanału komunikacji(rownież porty 7871 oraz 11271).
Trojan.Peacomm jest propagowany w załącznikach poczty elektronicznej.

4128

Port 4128 jest otwierany przez konia trojańskiego Backdoor.RCServ. Zainfekowanie komputera
umożliwia intruzowi nieautoryzowany dostęp do maszyny. Do groźnych działań podejmowanych przez
zarażone komputery należą otwieranie serwera FTP oraz uczestnictwo w atakach DoS.

4444

Port 4444 jest przypisany standardowo do usługi Kerberos. Zwiększona liczba prób połączeń na ten
port może być związana z luką w bibliotece HLINK.DLL systemu Windows. Błąd polega na
niewłaściwym sprawdzaniu rozmiaru danych wprowadzonych przez użytkownika przed kopiowaniem
ich do bufora. Wykorzystanie błędu pozwala intruzowi na wstrzyknięcie kodu i wykonanie go w
kontekście aplikacji używającej biblioteki HLINK.DLL. Podatność jest wykorzystywana przez konia
trojańskiego Trojan.Hlinic, który otwiera tylne drzwi na porcie 4444, pozwalając na zdalny dostęp do
skompromitowanego systemu. Na porcie 4444 tylne drzwi otwierają również: Reidana(patrz opis
portu 139) oraz Blaster (patrz opis portu 135).

4899

radmin

Port kojarzony z aplikacją do zdalnego zarządzania, Remote Administrator. Skanowanie tego portu
może być związane z próbami znalezienia luk w tym oprogramowaniu. Robak W32.Rahack propaguje
się poprzez usługę Radmin wykorzystując słabe hasła ustawione na serwerze.

5554

Port 5554 jest wykorzystywany przez robaka W32.Sasser.B.Worm (i jego pochodne) do otwarcia
serwera FTP. FTP na tym porcie służy do przesyłania robaka na kolejne hosty. Skanowanie portu
5554 przeprowadzane jest zazwyczaj przez W32.Dabber. Robak szuka serwera FTP otwieranego przez
W32.Sasser, w którym znajduje się luka umożliwiająca uzyskanie dostępu do komputera.

6101

Skanowanie portu 6101/TCP ma związek z wykrytą luką w Veritas Backup Exec 8.x/9.x. Luka jest
wykorzystywana przez W32.Spybot.ANOO, który oprócz otwarcia tylnej furtki w systemie zapisuje
również sekwencje klawiszy wpisywanych na niektórych stronach WWW (np. PayPal, e-Bay).

6129 dameware

Port kojarzony z aplikacją do zdalnego zarządzania, Windows DameWare Mini Remote Control
(rezyduje na porcie 6129/TCP). Skanowanie na ten port po raz pierwszy zauważono około 20 grudnia
2003 roku. Ma to prawdopodobnie związek z opublikowaną kilka dni wcześniej luką przepełnienia
bufora w tej aplikacji. Wykorzystanie luki zostało dodane do robaka W32.Mockbot.A.Worm.
W32.Mockbot łączy się z predefiniowanym kanałem IRC, na którym oczekuje na polecenia do
wykonania.

6662

radmind

radmind jest narzędziem linii poleceń służącym do zdalnej administracji systemami plików na kilku
maszynach uniksowych jednocześnie. Zwiększony ruch na tym porcie może wskazywać na
poszukiwanie luk w tym programie.
Na porcie 8555 działa usługa Cisco Unified CallManager. W produkcie tym zostało wykrytych i
udokumentowanych wiele błędów umożliwiających eskalację uprawnień (błąd CSCse11005),
nieuprawnione nadpisywanie plików (błąd CSCse31704) oraz przepełnienie bufora (błąd CSCsd96542).
Opisane luki umożliwiają wstrzyknięcie i wykonanie kodu na skompromitowanej maszynie. Do tej pory

Strona 5

ARAKIS

2008-02-07 20:23:22

http://www.arakis.pl/pl/ports.html

nie zostały zarejestrowane żadne robaki wykorzystujące podatności CallManager'a. Zwiększony ruch
na tym porcie oznacza, iż w najbliższym czasie może pojawić się exploit.

9898

Port 9898/TCP jest otwierany przez robaka W32.Dabber (patrz port 5554) do pozostawienia tylnej
furtki, która może zostać wykorzystana do zdalnego uruchamiania programów. Również koń trojański
Backdoor.Crashcool używa tego portu do odbierania poleceń od intruza.

10000

Skanowanie na port 10000/TCP może mieć związek z szukaniem dziurawych wersji oprogramowania
Veritas Backup Exec. Port jest również wykorzystywany przez robaka W32.Dumaru do otwarcia tylnej
furtki.

15118

Skanowanie na port 15118 przeprowadzane jest przez robaka Dipnet (lub Oddbob) i ma związek z
próbami sprawdzenia, czy zdalny komputer jest już zinfekowany przez tego robaka internetowego.
Dipnet nim zaatakuje zdalny host, próbuje połączyć się do niego na port 11768 lub 15118 i wysyła
ciąg "__123_asdasdfdjhsdf_SAFasdfhjsdf_fsd123". Jeżeli host jest już zainfekowany przez Dipnet,
odpowie ciągiem "__1asdfasdFasdfhjsdf_fsd1092381 -029348723 -1AAA3" , a następnie zakończy
połączenie. Ta "wymiana" zapobiega ponownej infekcji hosta.

27374 SubSeven

Z portem 27374 (a także 1243) kojarzony jest słynny koń trojański SubSeven. Trojan ten umożliwia
między innymi pełne zdalne przejęcie kontroli nad zainfekowanym komputerem. Skanowania tego
portu mogą być próbą odszukania komputerów z wyżej wymienionym koniem trojańskim.

41523

Skanowanie na 41523/TCP może być próbą wyexploitowania luki w CA BrightStor Agent for Microsoft
SQL Server.

© Copyright by

2007 (Aktualizacja strony: 2008-02-07 20:05:00 CET)