TCP常用网络和木马使用端口对照表Word文档格式.docx

1、最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。22SshPcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。23Telnet远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放

2、这个端口。25SMTPSMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。31MSG Authentication木马Master Paradise、Hackers Paradise开放此端口。42WINS ReplicationWINS复制53Domain Name Server（DNS）DNS服

3、务器所开放的端口，入侵者可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。67Bootstrap Protocol Server通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们，分配一个地址把自己作为局部路由器而发起大量中间人（man-in-middle）攻击。客户端向68端口广播请求配置，服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。69Trival File Transfer许多

4、服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。79Finger Server入侵者用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器Finger扫描。80HTTP用于网页浏览。木马Executor开放此端口。99metagram Relay后门程序ncx99开放此端口。102Message transfer agent（MTA）-X.400 over TCP/IP消息传输代理。109Post Office Protocol -Version3POP3服务器开放此端

5、口，用于接收邮件，客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。110SUN公司的RPC服务所有端口常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等113Authentication Service这是一个许多计算机上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器，尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有

6、许多客户通过防火墙访问这些服务，将会看到许多这个端口的连接请求。记住，如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。119Network News Transfer ProtocolNEWS新闻组传输协议，承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送SPAM。135Location ServiceMicrosoft在这个端口运行D

7、CE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端口。137、138、139NETBIOS Name Service其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/S

8、MB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。143Interim Mail Access Protocol v2和POP3的安全问题一样，许多IMAP服务器存在有缓冲区溢出漏洞。记住：一种LINUX蠕虫（admv0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后，这些漏洞变的很流行。这一端口还被用于IMAP2，但并不流行。161SNMPSNMP允许远程管理设备。所有配置和运行信息的储存在数据库中，通过SNMP可获得这些信息。许多管理员的

9、错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。177X Display Manager Control Protocol许多入侵者通过它访问X-windows操作台，它同时需要打开6000端口。389LDAP、ILS轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。443Https网页浏览端口，能提供加密和通过安全端口传输的另一种HTTP。456NULL木马HACKERS PARADISE开放此端口。513Logi

10、n,remote login是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。544kerberos kshell548Macintosh,File Services（AFP/IP）Macintosh,文件服务。553CORBA IIOP （UDP）使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。555DSF木马PhAse1.0、Stealth Spy、IniKiller开放此端口。568Membership DPA成员资格 DPA。56

11、9Membership MSN成员资格 MSN。635mountdLinux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的，但是基于TCP的mountd有所增加（mountd同时运行于两个端口）。记住mountd可运行于任何端口（到底是哪个端口，需要在端口111做portmap查询），只是Linux默认端口是635，就像NFS通常运行于2049端口。636LDAPSSL（Secure Sockets layer）666Doom Id Software木马Attack FTP、Satanz Backdoor开放此端口993IMAPSSL（Secure关闭这

12、些端口吧，黑客和木马准拿你没折以下列出的端口仅为相关木马程序默认情况下开放的端口，请根据具体情况采取相应的操作： 707端口的关闭：这个端口开放表示你可能感染了nachi蠕虫病毒，该蠕虫的清除方法如下：1、停止服务名为WinS Client和Network Connections Sharing的两项服务 2、删除c:WinntSYSTEM32WinS目录下的DLLHOST.EXE和SVCHOST.EXE文件 3、编辑注册表，删除HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices项中名为RpcTftpd和RpcPatch的两个键值 1999端口的

13、关闭：这个端口是木马程序BackDoor的默认服务端口，该木马清除方法如下：1、使用进程管理工具将notpa.exe进程结束 Windows目录下的notpa.exe程序 3、编辑注册表，删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run项中包含c:Windows otpa.exe /o=yes的键值 2001端口的关闭：这个端口是木马程序黑洞2001的默认服务端口，该木马清除方法如下：1、首先使用进程管理软件将进程Windows.exe杀掉 Winntsystem32目录下的Windows.exe和S_Server.e

14、xe文件 3、编辑注册表，删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RunServices项中名为Windows的键值 4、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINESoftwareCLASSES项中的Winvxd项删除 5、修改HKEY_CLASSES_ROOT xtfileshellopencommand项中的c:Winntsystem32S_SERVER.EXE %1为C:WinNTNOTEPAD.EXE %1 6、修改HKEY_LOCAL_MACHINESoftwareCLASS

15、ES xtfileshellopencommand 项中的c:Winntsystem32S_SERVER.EXE %1键值改为 C:2023端口的关闭：这个端口是木马程序Ripper的默认服务端口，该木马清除方法如下：1、使用进程管理工具结束sysrunt.exe进程 Windows目录下的sysrunt.exe程序文件 3、编辑system.ini文件，将shell=explorer.exe sysrunt.exe 改为shell=explorer.exe后保存 4、重新启动系统 2583端口的关闭：这个端口是木马程序Wincrash v2的默认服务端口，该木马清除方法如下：1、编辑注册表，

16、删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run项中的WinManager = c:Windowsserver.exe键值 2、编辑Win.ini文件，将run=c:Windowsserver.exe改为run=后保存退出 3、重新启动系统后删除C:Windowssystem SERVER.EXE 3389端口的关闭：首先说明3389端口是Windows的远程管理终端所开的端口，它并不是一个木马程序，请先确定该服务是否是你自己开放的。如果不是必须的，请关闭该服务。Win2000关闭的方法：1、Win2000server

17、 开始-程序-管理工具-服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。2、Win2000pro开始-设置-控制面板-Winxp关闭的方法：在我的电脑上点右键选属性-远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。4444端口的关闭：如果发现你的机器开放这个端口，可能表示你感染了msblast蠕虫，清除该蠕虫的方法如下：1、使用进程管理工具结束msblast.exe的进程 2、编辑注册表，删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 项中的Windows aut

18、o update=msblast.exe3、删除c:Winntsystem32目录下的msblast.exe文件 4899端口的关闭：首先说明4899端口是一个远程控制软件（remote administrator）服务端监听的端口，他不能算是一个木马程序，但是具有远程控制功能，通常杀毒软件是无法查出它来的，请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。关闭4899端口：1、请在开始-运行中输入cmd（98以下为command）,然后 cd C:Winntsystem32（你的系统安装目录），输入r_server.exe /stop后按回车。然后在输入r_server /uni

19、nstall /silence 2、到C:Winntsystem32（系统目录）下删除r_server.exe admdll.dll raddrv.dll三个文件 5800，5900端口：首先说明5800，5900端口是远程控制软件VNC的默认服务端口，但是VNC在修改过后会被用在某些蠕虫中。请先确认VNC是否是你自己开放并且是必须的，如果不是请关闭 关闭的方法：1、首先使用fport命令确定出监听在5800和5900端口的程序所在位置（通常会是c:Winntfontsexplorer.exe） 2、在任务管理器中杀掉相关的进程（注意有一个是系统本身正常的，请注意！如果错杀可以重新运行c:Wi

20、nntexplorer.exe） 3、删除C:Winntfonts中的explorer.exe程序。4、删除注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun项中的Explorer键值。5、重新启动机器。6129端口的关闭：首先说明6129端口是一个远程控制软件（dameware nt utilities）服务端监听得端口，他不是一个木马程序，但是具有远程控制功能，通常的杀毒软件是无法查出它来的。请先确定该服务是否是你自己安装并且是必需的，如果不是请关闭 关闭6129端口：1、选择开始-服务 找到DameWare Mi

21、ni Remote Control项点击右键选择属性选项，将启动类型改成禁用后停止该服务。2、到c:Winntsystem32（系统目录）下将DWRCS.EXE程序删除。3、到注册表内将HKEY_LOCAL_MACHINESYSTEMControlSet001Services项中的DWRCS键值删除 6267端口的关闭：6267端口是木马程序广外女生的默认服务端口，该木马删除方法如下：1、启动到安全模式下，删除c:Winntsystem32下的DIAGFG.EXE文件 Winnt目录下找到regedit.exe文件，将该文件的后缀名改为.com 3、选择开始-运行输入进入注册表编辑页面 4、修

22、改HKEY_CLASSES_ROOTexefileshellopencommand项的键值为 %1 %* 5、删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServices项中名字为Diagnostic Configuration的键值 6、将c:Winnt下的改回到regedit.exe 6670、6771端口的关闭：这些端口是木马程序DeepThroat v1.0 - 3.1默认的服务端口，清除该木马的方法如下：1、编辑注册表，删除HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindow

23、sCurrentVersion Run项中的System32=c:Windowssystem32.exe键值（版本1.0）或SystemTray = Systray.exe 键值（版本2.0-3.0）键值 3、重新启动机器后删除c:Windowssystem32.exe（版本1.0）或c:Windowssystemsystray.exe（版本2.0-3.0） 6939 端口的关闭：这个端口是木马程序Indoctrination默认的服务端口，清除该木马的方法如下：1、编辑注册表，删除 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersi

24、onRun CurrentVersionRunServices CurrentVersionRunOnce CurrentVersionRunServicesOnce 四项中所有包含Msgsrv16 =msgserv16.exe的键值 2、重新启动机器后删除C:Windowssystem目录下的msgserv16.exe文件 6969端口的关闭：这个端口是木马程序PRIORITY的默认服务端口，清除该木马的方法如下：Run Services项中的PServer= C:WindowsSystemPServer.exe键值 2、重新启动系统后删除C:WindowsSystem目录下的PServer.exe文件 7306端口的关闭：这个端口是木马程序网络精灵的默认服务端口，该木马删除方法如下：1、你可以使用fport察看7306端口由哪个程序监听，记下程序名称和所在的路径 2、如果程序名为Netspy.exe，你可以在命令行方式下到该程序所在目录输入命令Netspy.exe /remove来删除木马 3、如果是其他名字的程序，请先在进程中结束该程序的进程，然后到相应目录下删除该程序。4、编辑注册表，将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun项和HKEY_LOCAL_MAC