--接上转载--
6776 Sub-7 artifact 这个端口是从 Sub-7 主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一人 以此 IP 拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报告这一端口的连接企图时,并不表示你已被 Sub-7 控制。)
6970 RealAudio RealAudio 客户将从服务器的 6970-7170 的 UDP 端口接收音频数据流。这是由 TCP7070 端口外向控制连接设置的。
13223 PowWow PowWow 是 Tribal Voice 的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有 “ 进攻性 ” 。它会 “ 驻扎 ” 在这一 TCP 端口等待回应。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中 “ 继承 ” 了 IP 地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG” 作为其连接企图的前四个字节。
17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有 Conducent "adbot" 的共享软件。 Conducent "adbot" 是为共享软件显示广告服务的。使用这种服务的一种流行的软件是 Pkware 。有人试验:阻断这一外向连接不会有任何问题,但是封掉 IP 地址 本身将会导致 adbots 持续在每秒内试图连接多次而导致连接过载: 机器会不断试图解析 DNS 名 —ads.conducent.com ,即 IP 地址 216.33.210.40 ; 216.33.199.77 ; 216.33.199.80 ; 216.33.199.81 ; 216.33.210.41 。(译者:不知 NetAnts 使用的 Radiate 是否也有这种现象)
27374 Sub-7 木马 (TCP)
30100 NetSphere 木马 (TCP) 通常这一端口的扫描是为了寻找中了 NetSphere 木马。
31337 Back Orifice “elite” Hacker 中 31337 读做 “elite”/ei’li:t/ (译者:法语,译为中坚力量,精华。即 3=E, 1=L, 7=T )。因此许多后门程序运行于这一端口。其中最有名的是 Back Orifice 。曾经一段时间内这是 Internet 上最常见的扫描。现在它的流行越来越少,其它的木马程序越来越流行。
31789 Hack-a-tack 这一端口的 UDP 通讯通常是由于 "Hack-a-tack" 远程访问木马( RAT, Remote Access Trojan )。这种木马包含内置的 31790 端口扫描器,因此任何 31789 端口到 317890 端口的连接意味着已经有这种入侵。( 31789 端口是控 制连接, 317890 端口是文件传输连接)
32770~32900 RPC 服务 Sun Solaris 的 RPC 服务在这一范围内。详细的说:早期版本的 Solaris ( 2.5.1 之前)将 portmapper 置于这一范围内,即使低端口被防 火墙封闭仍然允许 Hacker/cracker 访问这一端口。扫描这一范围内的端口不是为了寻找 portmapper ,就是为了寻找可被攻击的已知的 RPC 服务 。
1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问题。
2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开portmapper直接测试这个端口。
3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口: 8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服务器本身)也会检验这个端口以确定用户的机器是 否支持代理。
6776 Sub-7 artifact 这个端口是从 Sub-7 主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一人 以此 IP 拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报告这一端口的连接企图时,并不表示你已被 Sub-7 控制。)
6970 RealAudio RealAudio 客户将从服务器的 6970-7170 的 UDP 端口接收音频数据流。这是由 TCP7070 端口外向控制连接设置的。
13223 PowWow PowWow 是 Tribal Voice 的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有 “ 进攻性 ” 。它会 “ 驻扎 ” 在这一 TCP 端口等待回应。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中 “ 继承 ” 了 IP 地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG” 作为其连接企图的前四个字节。
17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有 Conducent "adbot" 的共享软件。 Conducent "adbot" 是为共享软件显示广告服务的。使用这种服务的一种流行的软件是 Pkware 。有人试验:阻断这一外向连接不会有任何问题,但是封掉 IP 地址 本身将会导致 adbots 持续在每秒内试图连接多次而导致连接过载: 机器会不断试图解析 DNS 名 —ads.conducent.com ,即 IP 地址 216.33.210.40 ; 216.33.199.77 ; 216.33.199.80 ; 216.33.199.81 ; 216.33.210.41 。(译者:不知 NetAnts 使用的 Radiate 是否也有这种现象)
27374 Sub-7 木马 (TCP)
30100 NetSphere 木马 (TCP) 通常这一端口的扫描是为了寻找中了 NetSphere 木马。
31337 Back Orifice “elite” Hacker 中 31337 读做 “elite”/ei’li:t/ (译者:法语,译为中坚力量,精华。即 3=E, 1=L, 7=T )。因此许多后门程序运行于这一端口。其中最有名的是 Back Orifice 。曾经一段时间内这是 Internet 上最常见的扫描。现在它的流行越来越少,其它的木马程序越来越流行。
31789 Hack-a-tack 这一端口的 UDP 通讯通常是由于 "Hack-a-tack" 远程访问木马( RAT, Remote Access Trojan )。这种木马包含内置的 31790 端口扫描器,因此任何 31789 端口到 317890 端口的连接意味着已经有这种入侵。( 31789 端口是控 制连接, 317890 端口是文件传输连接)
32770~32900 RPC 服务 Sun Solaris 的 RPC 服务在这一范围内。详细的说:早期版本的 Solaris ( 2.5.1 之前)将 portmapper 置于这一范围内,即使低端口被防 火墙封闭仍然允许 Hacker/cracker 访问这一端口。扫描这一范围内的端口不是为了寻找 portmapper ,就是为了寻找可被攻击的已知的 RPC 服务 。
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10292431/viewspace-921843/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/10292431/viewspace-921843/