PDA

Просмотр полной версии : Безопасные порты



CrazyKille
23.08.2007, 20:54
Представляю вашему вниманию лист сетевых портов, которые используются различными троянами.

Номер порта | Тип соединения | Троян

21 TCP Back Construction, Blade Runner, Doly Trojan, Fore, FTP trojan, Invisible FTP, Larva, WebEx, WinCrash
23 TCP Tiny Telnet Server
25 TCP Ajan, Antigen, Email Password Sender, Happy 99, Kuang2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
31 TCP Agent 31, Hackers Paradise, Masters Paradise
41 TCP DeepThroat
59 TCP DMSetup
79 TCP Firehotcker
80 TCP Executor, RingZero
99 TCP Hidden Port
110 TCP ProMail
113 TCP Kazimas
119 TCP Happy 99
121 TCP JammerKiller
421 TCP TCP Wrappers
456 TCP Hackers paradise
531 TCP Rasmin
555 TCP Ini-Killer, Phase Zero, Stealth Spy
666 TCP Attack FTP, Satanz Backdoor
911 TCP Dark Shadow
999 TCP DeepThroat
1001 TCP Silencer, WebEx
1010 TCP Doly
1011 TCP Doly
1012 TCP Doly
1015 TCP Doly
1024 TCP NetSpy
1042 TCP Bla
1045 TCP Rasmin
1090 TCP Xtreme
1170 TCP Psyber Stream Server, Streaming Audio trojan
1234 TCP Ultors
1243 TCP BackDoor-G, SubSeven, SubSeven Apocalypse
1245 TCP VooDoo Doll
1269 TCP Mavericks Matrix
1492 TCP FTP99CMP
1509 TCP Psyber Streaming Server
1600 TCP Shivka-Burka
1807 TCP SpySender
1981 TCP Shockrave
1999 TCP BackDoor, TransScout
2023 TCP Ripper
2115 TCP Bugs
2140 TCP Deep Throat, The Invasor
2155 TCP Illusion Mailer
2283 TCP HVL Rat5
2565 TCP Striker
2583 TCP WinCrash
2600 TCP Digital RootBeer
2801 TCP Phineas Phucker
3024 TCP WinCrash trojan
3128 TCP RingZero
3129 TCP Masters Paradise
3150 TCP Deep Throat, The Invasor
3459 TCP Eclipse 2000
3700 TCP Portal of Doom
3791 TCP Eclypse
4092 TCP WinCrash
4321 TCP BoBo
4567 TCP File Nail
4590 TCP ICQTrojan
5000 TCP Bubbel, Back Door Setup, Sockets de Troie
5001 TCP Back Door Setup, Sockets de Troie
5011 TCP One of the Last Trojans (OOTLT)
5031 TCP Firehotcker
5321 TCP Firehotcker
5400 TCP Blade Runner
5401 TCP Blade Runner
5402 TCP Blade Runner
5550 TCP Xtcp
5555 TCP ServeMe
5556 TCP BO Facil
5557 TCP BO Facil
5569 TCP Robo-Hack
5631 TCP PCAnyWhere data
5742 TCP WinCrash
6400 TCP The Thing
6669 TCP Vampyre
6670 TCP DeepThroat
6771 TCP DeepThroat
6776 TCP BackDoor-G, SubSeven
6912 TCP Shit Heep
6939 TCP Indoctrination
6969 TCP GateCrasher, Priority, IRC 3
6970 TCP GateCrasher
7000 TCP Remote Grab
7300 TCP NetMonitor
7301 TCP NetMonitor
7306 TCP NetMonitor
7307 TCP NetMonitor
7308 TCP NetMonitor
7789 TCP Back Door Setup, ICKiller
8080 TCP Ring Zero
9400 TCP InCommand
9872 TCP Portal of Doom
9873 TCP Portal of Doom
9874 TCP Portal of Doom
9875 TCP Portal of Doom
9876 TCP Cyber Attacker
9878 TCP TransScout
9989 TCP iNi-Killer
10101 TCP BrainSpy
10520 TCP Acid Shivers
10607 TCP Coma trojan
11000 TCP Senna Spy
11225 TCP Progenic
12076 TCP Gjamer
12223 TCP Hack?99 KeyLogger
12345 TCP GabanBus, NetBus, Pie Bill Gates, X-bill
12346 TCP GabanBus, NetBus, X-bill
12361 TCP Whack-a-mole
12362 TCP Whack-a-mole
12631 TCP WhackJob
13000 TCP Senna Spy
16969 TCP Priority
17300 TCP Kuang2 The Virus
20000 TCP Millennium
20001 TCP Millennium
20034 TCP NetBus 2 Pro
20203 TCP Logged
21544 TCP GirlFriend
22222 TCP Prosiak
23456 TCP Evil FTP, Ugly FTP
23476 TCP Donald Dick
23477 TCP Donald Dick
27374 TCP Sub Seven 2.0+
30029 TCP AOL trojan
30100 TCP NetSphere 1.27a, NetSphere 1.31
30101 TCP NetSphere 1.31, NetSphere 1.27a
30102 TCP NetSphere 1.27a, NetSphere 1.31
30103 TCP NetSphere 1.31
30303 TCP
30974 Intruse
30999 Kaung 2
UDP 31335 Trinoo
31336 BO Whack, ButtFunnel
31337 Baron Night, BO Client, BO2, BO Facil
UDP 31337 Back fire, Back Orifice, Deep BO
31338 NetSpy DK, ButtFunnel
UDP 31338 Back Orifice, Deep BO
31399 NetSpy DK
31554 Schwindler
31666 BoWhack
31785 Hack a Tack (возможность конфигурировать на любой порт)
32100 Peanut Brittle, Project nEXT
32418 Acid Battery 1.0
33333 Blakharaz, Prosiak
33577 PsychWard по умолчанию
33777 PsychWard резервная сессия
33911 Spirit 2001a
34324 BigGluck, TN, Tiny Telnet Server
UDP 34555 Trinoo - Windows
37651 Yet Another Trojan
40412 The Spy
40421 Masters Paradise, Agent 40421
40422 Masters Paradise резервная сессия
40423 Masters Paradise резервная сессия
40426 Masters Paradise резервная сессия
41666 Remote Boot
43210 SchoolBus v1.6 и v2.0
44444 Prosiak
UDP 47262 Delta Source
49301 Online KeyLogger
50505 Sockets de Troie
50766 Schwindler
50776 Fore, Remote Windows Shutdown
51996 Cafeini
52317 Acid Battery 2000
53001 Remote Windows Shutdown
54283 SubSeven
54320 Back Orifice 2000
54321 Back Orifice 2000, SchoolBus v1.6 и v2.0, Back Orifice (имеет возможность конфигурирования на любой порт)
57341 Netraider (возможность сконфигурировать на любой порт)
58339 ButtFunnel (статический порт)
60000 Deep Throat (конфигурируется на любой порт)
60068 Xzip 6000068 (статический порт)
60411 Connection (статический порт)
61348 BunkerHill
61466 TeleCommando
61603 BunkerHill
63485 BunkerHill
65000 Devil v1.03, Stacheldracht
65432 The Traitor
65535 RC

Закрывайте эти порты пока не поздно!

MrX
24.08.2007, 00:25
...Закрывайте эти порты пока не поздно!Ну-ну.
Проще уже написать "закрывайте и сидите в жопе".
А ещё проще не закрывать, а вытянуь сетевой кабель из розетки.

Sage
24.08.2007, 01:02
закрыть все порты через которые я хожу в инет???

CrazyKille
24.08.2007, 01:07
Ну-ну.
Проще уже написать "закрывайте и сидите в жопе".
А ещё проще не закрывать, а вытянуь сетевой кабель из розетки.

А ты в инете сидишь через порты 21-65535 чтоли?

Если ты про системные порты, то понятно, что на telnet, smtp, pop3 и т.д., висят вполне мирные процессы, но кинут тебе троя или подцепишь любую вмф...

И вапще если у тебя все эти порты наружу, то поиметь тебя по сети как 2 пальца!

MrX
24.08.2007, 01:12
А ты в инете сидишь через порты 21-65535 чтоли?

Если ты про системные порты, то понятно, что на telnet, smtp, pop3 и т.д., висят вполне мирные процессы, но кинут тебе троя или подцепишь любую вмф...

И вапще если у тебя все эти порты наружу, то поиметь тебя по сети как 2 пальца!
Я не помню, чтоб давал команду тыкать.

Поимейте, если навыков хватит.
IP сказать?

CrazyKille
24.08.2007, 01:27
IP сказать?

а вам эт надо, если интересно, могу подсказать какие порты могут быть открыты, но не используются. В любом случае польза, а не вред.

nikola
24.08.2007, 01:27
Ну все может и закрывать не нужно но много то наверное неиспользуемых портов есть.Вопрос какие оставить ?

MrX
24.08.2007, 01:34
если интересно, могу подсказать какие порты могут быть открыты, но не используются.Спасибо, но нет надобности - пока сам справляюсь.


Вопрос какие оставить ?Это сугубо индивидуально. Ведь разные люди используют разные программы, и соответственно, разные порты.
А вообще в наше время без толкового фаера (и его ручной настройки) в инет лучше не соваться.

nikola
24.08.2007, 01:37
у меня norton установлен .Но чесно компьютер тормозит.Есть ли варианты други?

MrX
24.08.2007, 01:42
у меня norton установлен .Но чесно компьютер тормозит.Есть ли варианты други?
Из бесплатных Comodo.
Из платных Kerio.

Это те, что я предпочитаю, а так их до усрачки.

nikola
24.08.2007, 01:44
Из бесплатных Comodo.
Из платных Kerio.

Это те, что я предпочитаю, а так их до усрачки.

Спасибо.Попробую :)

CrazyKille
24.08.2007, 02:00
а как закрываются порты?

Нужно лезть в настройки файервола. Если стоит брандмауэр от винды, то заходите в "Исключения->добавить порт" дальше нужно указать вышеперечисленные порты и поставить галочку на разрешение или блокировку входящего или исходящего соединения.

Любой файер по умолчанию запрещает какие-либо входящие соединения. Но трояны работают по принципу Client---Server, тоесть на комп жертвы ставится невидимый для глаз сервер, а злобный хакер коннектится к нему спец-прогой как клиент (вот и будет управлять машиной жертвы как захочет по запросу клиентской части). В данном случае нужно наглухо закрыть определенный порт, т.е. запретить любые соединения через него.

Я использую Outpost Firewall в нем нужно заходить "Параметры->Детектор атак->Дополнительно->Уязвимые порты" и указать системный или троянский порт. При передаче подозрительного пакета или скана на эти порты, Аутпост расценит это как атаку и автоматически перекроет передачу данных через уязвимый порт.

dimonkin
24.08.2007, 02:09
если незатруднит, впишите через азпятую, те порты, которые можно безболезнено отключить. которые не повлияют на работы браузеров, FTP и почтовых килентов

MrX
24.08.2007, 02:14
их слишком много.

Поставьте фаер, и закрывайте порты, которые не повлияют на работу.

Вот которые не стоит закрывать:
браузер - 80, 443
FTP - 21 (но могут понадобиться и другие из верхнего диапазона, зависит от клиента)
почта - 25, 110 (143 если используете IMAP)

CrazyKille
24.08.2007, 02:20
Все мы юзаем основные системные порты - это 1-1024 их ещё называют well known ports, т.е. они заточены под самые распространенные виндовсовские службы. Тем самым, вышестоящие порты, лучше наглухо закрыть. Кроме исключений конечно, часть из которых MrX расписал уже

Sage
24.08.2007, 02:21
PortBlocker, маленькая программа, блокирующая порты(для информации)

CrazyKille
24.08.2007, 02:40
Сразу же и без тормозов, закрывайте порты 7(echo); 23(telnet); 43(Who is); 135(DCOM); 137;138;139(Net bios); 113(Authorization); 5000(PnP-зачем в сети?); 5554; 9996; 18350.

Какие порты нам нужны для работы браузера? По умолчанию Аутпостина разрешает ему вход в сеть через порты 70;80-83;1080;8080;8081;8088;socks;587;554;20-21;pop3;1935-остальное по мелочи.

8080;8080;8088 и 3128 порты соединения через прокси сервер, если не используете - закрываем, юзаете - оставляем.
То же самое с портом 1080 - отвечает за соединение с Socks - прокси сервером.
Порт №70 - абсолютно бесполезная штука Gopher, отключаем.
Еще есть порт №443, отвечающий за передачу данных по HTTPS или SSL - организующему улучшенный, криптографически защищенный канал. Активность через этот порт также лучше запретить, только если вы конечно не юзер засекреченной коммерческой организации или пентагона)) и не используете VPN шлюзы или еще круче VPN+Proxy...
554 порт - можете закрыть, как хотите, используется только в мультимедийных целях и в основном только для работы с IE.
Стоит перекрыть порты smtp и pop3, если не используете браузер для работы с почтой.
С браузером более менее разобрались.


Для отправки и приема почты без лишних манипуляций в любом почтовом клиенте оставляйте открытыми порты 25 и 110, 995(для pop3), 119, если принимаете рассылку по протоколу NNTP; остальные не к чему - закрывайте. Но всё опять же на ваше усмотрение.

Для ftp клиента, разрешайте выход через порт 20-21.

Если вы обновляете винду, любые проги или сам Аутпост, то можете разрешить этим службам выход в сеть, но лучше не разрешать, вдруг скажем 4-я версия Аутпоста незаметно станет прояверять вашу регистрацию? И вообще, всё должно работать только если вы добро на это дали.

Кстати, всемилюбимый менеджер закачек flashget проверяет ключи, по крайней мере это у меня было с версиями 1.65 и 1.72, запрещаем ему лазить на диапазон ip адресов 212.31.251.67 - 68, 208.185.54.9, 210.51.184.50. Остальным менеджерам следует разрешить соединения через порты, аналогичные по правилам для браузера и ещё на порты 21 и 11523.

Для аськи дело понятное, разрешаем исходящие соединения по стандартным портам, в зависимости от менеджера и от вашего хотения юзать проксю.

Антивирусные мониторы и сканеры - разрешаем, в соответствии с правилами приложения.

Переходим к системным службам. Лучше разрешить SVCHOST, т.к. он постоянно будет "обновлять свою конфигурацию" по мере путешествия по инету, фаер задолбит своими вопросами на разрешение... Можете оставить ему свцхосту стандартные правила браузера, не страшно.
dwwin.exe - служба регистрации ошобок... Её я рекомендую вообще отрубить через консоль администрирования, запрещайте её, а то будет лазить куда-попало да трафик зря жрать...
Lsass.exe - служба аутентификации пользоваеля на локальном уровне. Эту службу лучше запретить(червивая), но иногда это не допускает провайдер, если возникнут проблемы - звоните в техсаппарт для уточнения.
Mstsc - допуск к удаленному рабочему столу - запрещаем. Лучше используйте Radmin.
Conf.exe - это NetMeeting, сомневаюсь, что кто-то им пользуется...

Alg.exe - . Понадобиться - если играете в online игры из локалки, если нет, то вырубайте.

CrazyKille
25.08.2007, 05:20
Все знают что такое шары? Простым компьютерным языком - это "расшаренные ресурсы". Еще проще - это файлы, доступные любым пользователям рабочей группы (WORKGROUP) в Windows системах. Тоесть, если ваш компьютер относится к рабочей группе, то по нему спокойно смогут лазить любые такие же пользователи рабочей группы. Звучит ужасно? А как же безопасность личных данных и тд?
И что дальше? Дальше больше, пропажа вашего icq номера, затроянивание вашей машины, пропажа денег на счете с карточки коммутируемого доступа, вобщем вы станете предметом общественного пользования :) Список неограничен, ведь имея доступ к вашей машине, можно все! И при этом вы ничего не заметите :)

А как это происходит спросите вы? Как злоумышленник может проникнуть в вашу систему? А я отвечу - очень просто! Достаточно иметь под рукой одну из этих программ: IP Tools; Essential Net Tools или Advanced IP Scanner.
Дальше все происходит быстро и четко. Берется диапазон внутренних айпи адресов вашего провайдера или адреса вашей собственной ЛС, например 12.34.45.0 - 12.34.45.255 от 0 до 255 и нажимается кнопка Scan. Так злоумышленник находит потенциальную жертву, того, на чьем компьютере имеются незащищенные расшаренные ресурсы. Во время сканировани программа выполняет следующее: пингует вашу машину, посылает ехо запрос с ожиданием ответа и выводит на глаза злоумышленнику список откликнувшихся на скан компьютеров. Перед ним предстанут работающие компьютеры, подключенные к интернету или к вашей локальной сети с ничего не подозревающими пользователями :)
Теперь злоумышленник начинает искать реальную жертву. Для этого в Advanced IP Scanner достаточно ткнуть правой кнопкой мыши "Explore" и откроется ваш компьютер!!! Можно будет просматривать ваши файлы, а сами вы ничего не будете при этом подозреавать. Могут открытся все ваши логические и съемные диски, в том числе диск c. Обычно, если злоумышленнику нужен пароль от вашей интернет карточки, он будет шарить по вашей машине с помощью модема, а это мизерная скорость.
Но у него есть решение этой проблемы - использование оболочки Far Manager. Для этого "хацкер" делаем команду "Подключить сетевой диск", вводит айпи адрес вашей машины и имя нужного диска, вот и все, теперь он сможет лазить Far'ом и даже маленькая скорость для него не помеха. После этого, если открыт диск с, "хацкер" лезет в WINDOWS-->system32-->config и сливает оттуда всю БД SAM, в которой и хранятся драгоценные пароли!!!
И нетолько, зайдя с правами админа, можно скопировать и запустить на удаленной системе трояна (вы не задумавились откуда антивирус иногда находит троянов?), что сделает вас рабом злоумышленника. О других последстивиях делайте выводы сами.
С локальной сетью тот же процесс, но цели немного другие :)

Тонкости. Злоумышленник полностью прослушивает netbios , а значит знает имя учетной записи, имя компьютера, принадлежность к рабочей группе. Служба - "Обозреватель компьютеров". Netbios - порт 139. ICMP эхо запрос, тот же пинг показывает время прохождения пакета от посыла до отклика. В Essential Net Tools netbios активность включается опционально, в Advanced IP Scanner по умолчанию.
Злоумышленнику не всегда откроется диск с:, и не всегда все диски. Чаще папки "Общие документы". Это возможно, если пользователь защитил диск "С" паролем, но не отключил учетную запись гостя. Просматривая на шары, злоумышленник по умолчанию заходит в компьютер под гостем и может только копировать файлы. Если учетная запись админа у жертвы не защищена паролем, то "хацкер" автоматом зайдет под админом.

Методы борьбы. Первым делом ставим фаервол. Лучше Outpost, но стандартный брандмауэр виндовс тоже сгодится. Запрещаем любую активность netbios - входящие соединения на порт 139. Лезем в Параметры-->Системные-->ICMP-->Убираем флажки с "Эхо-ответ" "Из" и "В". Теперь вы всегда будете не в сети для злоумышленника :)
Ставим пароль на свою учетку, если даже вы 1 работаете за своим компом, то это все равно нужно.
Выключаем учетку гостя.
Еще можно настроить политику аудита, чтобы вести логи всех входящих соединений, это важно в случае с локальными сетями, если вы открыли доступ на определенные паапки. Панель управления-->Администрирование-->Локальные параметры безопасости.

NicK
25.08.2007, 09:32
когда-то давным давно изучал этого зверя Essential Net Tools. Если я не ошибаюсь, то для WinXP эта штука малоэффективна. Встроенный фаер защищает от него.