漏洞一
检查echo服务(TCP)漏洞
7: echo服务,通常作为测试服务使用,可能被用作拒绝服务攻击(TCP/UDP 7)
解决:
windows:
win+r
echo off
linux:
$ su
# rm /bin/echo
漏洞二
quote服务(qotd)正在运行
17:quotd(qotd)服务,可能被发起"ping pong"攻击,利用源地址欺骗使tcp和udp两个端口运行qotd的服务器相互发送数据阻塞网络。(tcp/udp 17)
漏洞描述:
服务器监听TCP端口17,当建立连接之后,一个短消息从该连接发出(任何收到的数据将丢弃),服务器发出quote之后将关闭连接。
另一个"quote of the day"服务被定义为UDP服务,该服务监听UDP 17端口,当收到一个报文之后将返回一个quote的报文。
攻击者可能发起"ping pong"攻击,利用源地址欺骗,使两个运行qotd的机器相互发送数据,使机器运行变慢,阻塞网络。
修复建议:
对于Linux:在"/etc/inetd.conf"中注释掉"qotd"那行,并重启inetd。
对于Windows:
1.在SystemRoot\SYSTEM32\DRIVERS\ETC目录中使用编辑器(如记事本)打开服务文件,注释掉文件中的"qotd 17/tcp quote"及"qotd 17/udp quote"两项,重启Simple TCP/IP Services服务即可。
或2.打开注册表编辑器,将如下两个注册表值改为0即可:
HKLM\System\CurrentControlSet\Services\SimpTCP\Parameters\Enable TcpQotd
HKLM\System\CurrentControlSet\Services\SimpTCP\Parameters\Enable UdpQotd
同样重启Simple TCP/IP Services服务或直接重启系统即可。
对于tcp/udp 7(echo服务),tcp/udp 13(daytime服务),tcp/udp 19(chargen服务)等只应测试使用,可能被利用"ping pong"造成网络阻塞的服务,也可以采取同样的方式禁用掉。
*unix/linux:从/etc/inetd.conf中注释掉相应的服务,然后重启inetd
*windows:在控制面板-添加或删除程序-选择"添加/删除Windows组件"-选择"网络服务",查看"详细信息",取消“简单TCP/IP服务”复选框,按确定,然后按照提示完成操作。
常见端口服务及可能存在的漏洞
7: echo服务,通常作为测试服务使用,可能被用作拒绝服务攻击(TCP/UDP 7)
17:quotd(qotd)服务,可能被发起"ping pong"攻击,利用源地址欺骗使tcp和udp两个端口运行qotd的服务器相互发送数据阻塞网络。(tcp/udp 17)
19:chargen服务,通qotd服务
20:FTP服务的数据传输端口
21:FTP服务的连接端口,可能存在 弱口令暴力破解
22:SSH服务端口,可能存在 弱口令暴力破解
23:Telnet端口,可能存在 弱口令暴力破解
25:SMTP简单邮件传输协议端口,和 POP3 的110端口对应
43:whois服务端口
53:DNS服务端口(TCP/UDP 53)
67/68:DHCP服务端口
69:TFTP端口,可能存在弱口令
80:HTTP端口,常见web漏洞
88:Kerberos协议端口
110:POP3邮件服务端口,和SMTP的25端口对应
123:ntp服务(udp 123)
135:RPC服务
137/138: NMB服务
139:SMB/CIFS服务,用于windows文件和打印机共享,可能爆破未授权访问 远程代码执行
143:IMAP协议端口
161/162: Snmp服务,public弱口令
389:LDAP目录访问协议,有可能存在注入、弱口令,域控才会开放此端口
443:HTTPS端口,心脏滴血等与SSL有关的漏洞
445:SMB服务端口,可能存在永恒之蓝漏洞MS17-010
512/513/514:Linux Rexec服务端口,可能存在爆破。513一般是rlogin远程连接的端口。
636:LDAPS目录访问协议,域控才会开放此端口
873:Rsync ,可能存在Rsync未授权访问漏洞
1080:socket端口,可能存在爆破
1099:RMI,可能存在 RMI反序列化漏洞
1352:Lotus domino邮件服务端口,可能存在弱口令、信息泄露
1414:IBM WebSphere MQ服务端口
1433:SQL Server对外提供服务端口
1434:用于向请求者返回SQL Server使用了哪个TCP/IP端口
1521:oracle数据库端口
2049:NFS服务端口,可能存在NFS配置不当
2181:ZooKeeper监听端口,可能存在 ZooKeeper未授权访问漏洞
2375:Docker端口,可能存在 Docker未授权访问漏洞
2601: Zebra ,默认密码zebr
3128: squid ,匿名访问(可能内网漫游)
3268:LDAP目录访问协议,有可能存在注入、弱口令
3306:MySQL数据库端口,可能存在 弱口令暴力破解
3389:Windows远程桌面服务,可能存在 弱口令漏洞 或者 CVE-2019-0708 远程桌面漏洞复现
3690:SVN服务,可能存在SVN泄漏,未授权访问漏洞
4000:腾讯QQ客户端开放此端口
4440:Rundeck,弱口令admin
4560:log4j SocketServer监听的端口,可能存在 log4j<=1.2.17反序列化漏洞(CVE-2019-17571)
4750:BMC,可能存在 BMC服务器自动化RSCD代理远程代码执行(CVE-2016-1542)
4848:GlassFish控制台端口,可能存在弱口令admin/adminadmin
5000:SysBase/DB2数据库端口,可能存在爆破、注入漏洞
5432:PostGreSQL数据库的端口
5632:PyAnywhere服务端口,可能存在代码执行漏洞
5900/5901:VNC监听端口,可能存在 VNC未授权访问漏洞
5984:CouchDB端口,可能存在 CouchDB未授权访问漏洞
6379:Redis数据库端口,可能存在Redis未授权访问漏洞
7001/7002:Weblogic,可能存在Weblogic反序列化漏洞
7180:Cloudera manager端口
8000:JDWP,可能存在JDWP远程代码执行漏洞。
8069:Zabbix服务端口,可能存在Zabbix弱口令导致的Getshell漏洞
8080:Tomcat、JBoss,可能存在Tomcat管理页面弱口令Getshell,JBoss未授权访问漏洞
8080-8090:可能存在web服务
8089:Jetty、Jenkins服务端口,可能存在反序列化,控制台弱口令等漏洞
8161:Apache ActiveMQ后台管理系统端口,默认口令密码为:admin:admin ,可能存在CVE-2016-3088漏洞,传送门:Apache ActiveMQ任意文件写入漏洞(CVE-2016-3088)
9000:fastcgi端口,可能存在远程命令执行漏洞
9001:Supervisord,可能存在Supervisord远程命令执行漏洞(CVE-2017-11610)
9043/9090:WebSphere,可能存在WebSphere反序列化漏洞
9200/9300:Elasticsearch监听端口,可能存在 Elasticsearch未授权访问漏洞
10000:Webmin-Web控制面板,可能存在弱口令
10001/10002:JmxRemoteLifecycleListener监听的,可能存在Tomcat反序列化漏洞
11211:Memcached监听端口,可能存在 Memcached未授权访问漏洞
27017/27018:MongoDB数据库端口,可能存在 MongoDB未授权访问漏洞
50000:SAP Management Console服务端口,可能存在 运程命令执行漏洞。
50070:Hadoop服务端口,可能存在 Hadoop未授权访问漏洞
61616:Apache ActiveMQ服务端口,可能存在 Apache ActiveMQ任意文件写入漏洞(CVE-2016-3088)
60020:hbase.regionserver.port,HRegionServer的RPC端口
60030:hbase.regionserver.info.port,HRegionServer的http端口
参考:
https://www.cnblogs.com/zcg-cpdd/p/14630766.html
https://www.cnblogs.com/zcg-cpdd/p/14657981.html