Szanowni Państwo, informujemy iż w związku z nadmierną aktywnością różnego rodzaju robaków internetowych, które powodują liczne problemy u naszych Abonentów, postanowiliśmy zablokować niektóre porty. Efektem tego działania będzie mniejsza podatność Państwa komputerów na zarażenie niepożądanymi programami. Oto blokowane przez nas porty :
- port 135 - protokół TCP
Na porcie 135/TCP znajduję się usługa Microsoft RPC Endpoint Mapper. W 2003 roku w Microsoft RPC znaleziono poważne luki, umożliwiające zdalne wykonywanie dowolnego kodu z uprawnieniami systemu. Jedna z tych luk stała się podstawą wielu robaków, z których najbardziej znane to robaki Blaster oraz Nachi/Welchia. Większość prób wykorzystania luk na tym porcie wykonywana jest przez wyżej wymienione robaki i ich mutacje oraz trojana Agobot/Phatbot. Przed pojawieniem się tych robaków, skanowanie tego portu było popularne, ze względu na możliwości sprawdzenia za ich pośrednictwem, jakie usługi są świadczone przez system Windows. Port 135/UDP jest też często wykorzystywany do wysyłania komunikatów typu winpopup przez Windows Messenger Service (WMS - w polskiej wersji językowej Windows serwis znany jako usługa Posłaniec), co czyni ten port celem ataku spamerów.
- port 137 - protokół UDP
- Na porcie 137 znajduje się usługa nbtstat, która służy (przede wszystkim systemom Windows) do translacji adresów IP na nazwy NetBIOS. Kiedy stacja Windows rozwiązuje nazwy, może wysłać pakiet UDP na ten port. Odwołania na port 137/UDP mogą mieć związek z robakami szukającymi otwartych zasobów Windows (port 139/TCP) bądź być próbą zebrania jak najwięcej informacje o systemie przez atakującego.
Przykład robaka internetowego wykorzystującego w/w port: Msinit
- 139 - protokół TCP/UDP
- Za pośrednictwem protokołu SMB (Server Message Block) dzielone są zasoby Windows. Odwołanie do tych zasobów może się odbywać poprzez NetBIOS. W tej sytuacji wysyłane są pakiety na port 139/TCP. Ponieważ zasoby Windows stanowią atrakcyjny cel, włamywacze często skanują port 139/TCP, w ich poszukiwaniu. Istnieją również robaki sieciowe, które wykorzystują ten port do propagacji.
Poniżej przykłady robaków internetowych wykorzystujących z w/w port:- Chode
- GodMessageworm
- Msinit
- Netlog
- Network
- Qaz
- Sadmind
- SMBRelay
- 445 - protokół TCP
- Począwszy od Windows 2000, Microsoft udostępnił możliwość uruchamiania SMB (Server Message Block) bezpośrednio po TCP. Usługę zaimplementowano na porcie 445/TCP. W związku z tym, port 445/TCP jest często skanowany w poszukiwaniu otwartych zasobów sieciowych Windows. Port jest często atakowany przez robaki, które usiłują złamać hasła administratora za pomocą ataku słownikowego w celu uzyskania dostępu do zasobów sieciowych Windows. Jednym z bardziej znanych robaków tego typu był Deloder. Podobne ataki czynione są za pomocą rozproszonych botnetów. Z kolei słynny robak Sasser wykorzystywał przepełnienie bufora w LSASS za pośrednictwem tego portu.
- 1025 - protokół TCP
- Z portu tego korzysta Dasher.C Jest on robakiem internetowym, którego działanie polega na rozprzestrzenianiu się poprzez dziurę w systemie Windows zwaną MSDTC Memory Corruption Vulnerability (opisaną w biuletynie MS05-051 bulletin). Aktywny robak tworzy na dysku następujące pliki: SqlExp.exe, SqlScan.exe, svchost.exe. Robak wyłącza następujące procesy w ten sposób wyłączając działanie niektórych aplikacji zapewniających bezpieczeństwo komputerowi:
- Blackice.exe
- Blackd.exe
- EGhost.exe
- adam.esystem.exe
- Iparmor.exe
- Zonealarm.exe
- KPFWSvc.EXE
- KPfwSvc.EXE
- KAVPFW.EXE
- KAVPFW.exe
- kvfw.exe
- RfwMain.exe
- rfwsrv.exe
- Rfw.exe
- PFW.exe
- 1026 - protokół TCP
- 1026 jest portem efemerycznym, często przydzielany aplikacjom klienckim. Skanowanie TCP na ten port może być próbą odnalezienia zainfekowanych hostów przez konie trojańskie Backdoor.Padonock, PWSteal.ABCHlp. Skanowanie UDP ma prawdopodobnie związek z usługa Windows Messenger Service, która często nasłuchuje na tym porcie i jest wykorzystywana przez spamerów.
- 1433, 1434
- Porty UDP 1433 i 1434 wykorzystywane są przez SQL Server Microsoftu. Robaki i hakerzy wykorzystują je również do dostarczania różnych explitów dla tego serwera. Port UDP 1434 wykorzystywany jest do ataków na lukę MS02-039, która w 2005 roku była najaktywniej wykorzystywana, głownie przez robaka Slammer.
- 1080
- Na porcie 1080/TCP znajduje się usługa SOCKS, umożliwiające tunelowanie różnych protokołów przez systemy firewall. Źle skonfigurowane proxy SOCKS przyjmują nieuwierzytelnione połączenia z zewnątrz. W ten sposób mogą zostać wykorzystane do maskowania swojego rzeczywistego źródła podłączenia. Obecność SOCKS proxy jest często sprawdzana przez serwery IRC w celu redukcji możliwych nadużyć. Port wykorzystywany m.in. przez SubSeven2.2, WinHole.
- 4899
- Port ten domyślnie wykorzystuje program RADMIN. Jest to narzędzie stosowane w celu ułatwienia administratorom instalacji uaktualnień. Ponieważ RADMIN jest aplikacją komercyjną, nie wszytskie programy antywirusowe wykrywają go jako złośliwe oprogramowanie. Z tego powodu aplikacja ta często wykorzystywana jest przez hakerów chcących zapewnić sobie dostęp do systemu.
- 4899
- 6667
- Domyślnie port wykorzystywany przez IRC. Po uruchomieniu pliku zawierającego trojana, Backdoor.Sdbot.B kopiuje się do katalogu systemu jako plik Syscfg32.exe. Następnie łączy się z określonym serwerem IRC i wysyła wiadomość o zainfekowaniu komputera. Dzięki Backdoor.Sdbot.B haker może przejąć pełnąkontrolę nad systemem - trojan pozwala m.in. na dowolne modyfikowanie plików, wykradanie ważnych danych (również haseł), a także wykorzystanie komputera do ataku DoS (denial of service). Haker kontroluje go za pośrednictwem IRC.
- 6667
Witamy
- Luty (2010)
- Wpisów: 1
- Styczeń (2010)
- Wpisów: 2
- Styczeń (2009)
- Wpisów: 1
- Grudzień (2008)
- Wpisów: 1
- Czerwiec (2008)
- Wpisów: 2
- Kwiecień (2008)
- Wpisów: 1
- Styczeń (2008)
- Wpisów: 2
- Wrzesień (2007)
- Wpisów: 3
- Sierpień (2007)
- Wpisów: 2
