常见高危端口
高危端口
端口漏洞:因为是UDP端口,对于攻击者来说,通过发送请求很容易就获取目标计算机的相关信息,有些信息是直接可以被利用,并分析漏洞的,比如IIS服务。另外,通过捕获正在利用137端口进行通信的信息包,还可能得到目标计算机的启动和关闭的时间,这样就可以利用专门的工具来攻击。
操作建议:建议关闭该端口。
端口漏洞:HTTPS服务一般是通过SSL(安全套接字层)来保证安全性的,但是SSL漏洞可能会受到黑客的攻击,比如可以黑掉在线银行系统,盗取信用卡账号等。
操作建议:建议开启该端口,用于安全性网页的访问。另外,为了防止黑客的攻击,应该及时安装微软针对SSL漏洞发布的最攻击,建议关闭该端口。
*137端口:137端口主要用于“NetBIOS Name Service”(NetBIOS名称服务)。
端口说明:137端口主要用于“NetBIOS Name Service”(NetBIOS名称服务),属于UDP端口,使用者只需要向局域网或互联网上的某台计算机的137端口发送一个请求,就可以获取该计算机的名称、注册用户名,以及是否安装主域控制器、IIS是否正在运行等信息。
*139端口:139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。
端口说明:139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。在Windows中要在局域网中进行文件的共享,必须使用该服务。比如在Windows 98中,可以打开“控制面板”,双击“网络”图标,在“配置”选项卡中单击“文件及打印共享”按钮选中相应的设置就可以安装启用该服务;在Windows 2000/XP中,可以打开“控制面板”,双击“网络连接”图标,打开本地连接属性;接着,在属性窗口的“常规”选项卡中选择“Internet协议(TCP/IP)”,单击“属性”按钮;然后在打开的窗口中,单击“高级”按钮;在“高级TCP/IP设置”窗口中选择“WINS”选项卡,在 “NetBIOS设置”区域中启用TCP/IP上的NetBIOS。
常见高危端口
svn泄露,未授权访问
tcp 4848
GlassFish(应用服务器)
弱口令
tcp 5000
Sybase/DB2(数据库)
爆破,注入
tcp 5432
PostgreSQL(数据库)
爆破,注入,弱口令
tcp 5900,5901,5902
VNC(虚拟网络控制台,远控)
弱口令爆破
默认密码zerbra
tcp 3128
Squid(代理缓存服务器)
弱口令
tcp 3312,3311
kangle(web服务器)
弱口令
tcp 3306
MySQLቤተ መጻሕፍቲ ባይዱ数据库)
注入,提权,爆破
tcp 3389
Windows rdp(桌面协议)
shift后门[需要03以下的系统],爆破,ms12-020
tcp 3690
弱口令
tcp 8443
Plesk(虚拟主机管理面板)
弱口令
tcp 8069
Zabbix(系统网络监视)
远程执行,SQL注入
tcp 8080-8089
Jenkins,JBoss(应用服务器)
反序列化,控制台弱口令
tcp 9080-9081,9090
WebSphere(应用服务器)
Java反序列化/弱口令
tcp 1194
OpenVPN(虚拟专用通道)
想办法钓VPN账号,进内网
tcp 1352
Lotus(Lotus软件)
弱口令,信息泄漏,爆破
tcp 1433
SQL Server(数据库管理系统)
注入,提权,sa弱口令,爆破
tcp 1521
高危端口访问控制
deny tcp any any eq 139 (安全漏洞)
deny tcp any any eq 420 (“大选杀手” 蠕虫病毒)
deny tcp any any eq 445 (震荡波等)
deny tcp any any eq 9996 (震荡波)
deny udp any any eq 69 (冲击波)
deny udp any any eq 135 (冲击波)
deny udp any any eq 137 (安全漏洞)
deny tcp any any eq 593 (安全漏洞)
deny tcp any any eq 1022 (震荡波”变种E)
deny tcp any any eq 1023 (震荡波”变种E)
deny tcp any any eq 1025 (木马、病毒)
deny udp any any eq 9996 (震荡波)
deny tcp any any eq 23 (telnet)
deny tcp any any eq 113 (木马)
deny tcp any any eq 135 (冲击波)
deny tcp any any eq 137 (安全漏洞)
deny tcp any any eq 4444 (“仇恨者”病毒)
deny tcp any any eq 4899 (蠕虫病毒)
deny tcp any any eq 5300 (“大选杀手” 蠕虫病毒)
deny tcp any any eq 5631 (pc-anywhere)
deny tcp any any eq 5554 (震荡波)
黑客常用入侵端口详解
常见的入侵端口:端口:0服务:Reserved说明:通常用于分析操作系统。
这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。
一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。
(我被这样入侵过,一般感觉计算机运行慢或是你感觉有问题存在,先去查ip,如果有入侵赶紧断掉网,如果晚了他可能就会盗取你很多帐号或资料.)端口:1服务:tcpmux说明:这显示有人在寻找SGI Irix机器。
Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。
Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。
许多管理员在安装后忘记删除这些帐户。
因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。
端口:7服务:Echo说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
端口:19服务:Character Generator说明:这是一种仅仅发送字符的服务。
UDP版本将会在收到UDP包后回应含有垃圾字符的包。
TCP连接时会发送含有垃圾字符的数据流直到连接关闭。
HACKER利用IP欺骗可以发动DoS 攻击。
伪造两个chargen服务器之间的UDP包。
同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
端口:21服务:FTP说明:FTP服务器所开放的端口,用于上传、下载。
最常见的攻击者用于寻找打开anonymous 的FTP服务器的方法。
这些服务器带有可读写的目录。
木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。
常用漏洞端口
1024
“Reserved”。动态端口的范围是从1024~65535,而1024正是动态端口的开始。该端口一般分配给第一个向系统发出申请的服务,在关闭服务的时候,就会释放1024端口,等待其他服务的调用。著名的YAI木马病毒默认使用的就是1024端口,通过该木马可以远程控制目标计算机,获取计算机的屏幕图像、记录键盘事件、获取密码等,后果是比较严重的。
建议:一般我们是使用80端口进行网页浏览的,为了避免病毒的攻击,我们可以关闭该端口。
其他
略……
建议:如果是执行邮件服务器,可以打开该端口。
113
主要用于Windows的“Authentication Service”(验证服务),一般与网络连接的计算机都运行该服务。113端口虽然可以方便身份验证,但是也常常被作为FTP、POP、SMTP、IMAP以及IRC等网络服务的记录器,这样会被相应的木马程序所利用,比如基于IRC聊天室控制的木马。另外,113端口还是Invisible Identd Deamon、Kazimas等木马默认开放的端口。
建议:关闭该端口。
69
TFTP是Cisco公司开发的一个简单文件传输协议,类似于FTP。很多服务器和Bootp服务一起提供TFTP服务,主要用于从系统下载启动代码。可是,因为TFTP服务可以在系统中写入文件,而且黑客还可以利用TFTP的错误配置来从系统获取任何文件。
建议:关闭该端口。
79
79端口是为Finger服务开放的,主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。比如要显示远程计算机上的user01用户的信息,可以在命令行中键入“fingeruser01@”即可。一般黑客要攻击对方的计算机,都是通过相应的端口扫描工具来获得相关信息,比如使用“流光”就可以利用79端口来扫描远程计算机操作系统版本,获得用户信息,还能探测已知的缓冲区溢出错误。这样,就容易遭遇到黑客的攻击。而且,79端口还被Firehotcker木马作为默认的端口。
端口漏洞有哪些
端口漏洞有哪些常见的端口漏洞有哪些?你知道的有多少个呢?下面由店铺给你做出详细的端口漏洞分析介绍!希望对你有帮助!详细的端口漏洞分析介绍:21端口:21端口主要用于FTP(File Transfer Protocol,文件传输协议)服务。
端口说明:21端口主要用于FTP(File Transfer Protocol,文件传输协议)服务,FTP服务主要是为了在两台计算机之间实现文件的上传与下载,一台计算机作为FTP客户端,另一台计算机作为FTP服务器,可以采用匿名(anonymous)登录和授权用户名与密码登录两种方式登录FTP服务器。
目前,通过FTPWindows中可以通过Internet信息服务(IIS)来提供FTP连接和管理,也可以单独安装FTP服务器软件来实现FTP功能,比如常见的FTP Serv-U。
操作建议:因为有的FTP服务器可以通过匿名登录,所以常常会被黑客利用。
另外,21端口还会被一些木马利用。
如果不架设FTP服务器,建议关闭21端口。
23端口:23端口主要用于Telnet(远程登录)服务,是Internet上普遍采用的登录和仿真程序。
端口说明:23端口主要用于Telnet(远程登录)服务,是Internet 上普遍采用的登录和仿真程序。
同样需要设置客户端和服务器端,开启Telnet服务的客户端就可以登录远程Telnet服务器,采用授权用户名和密码登录。
登录之后,允许用户使用命令提示符窗口进行相应的操作。
在Windows中可以在命令提示符窗口中,键入“Telnet”命令来使用T elnet远程登录。
操作建议:利用Telnet服务,黑客可以搜索远程登录Unix的服务,扫描操作系统的类型。
而且在Windows 2000中Telnet服务存在多个严重的漏洞,比如提升权限、拒绝服务等,可以让远程服务器崩溃。
Telnet服务的23端口也是TTS(Tiny Telnet Server)木马的缺省端口。
公司内部高危端口管理制度
第一章总则第一条为加强公司网络安全管理,保障公司信息系统安全稳定运行,防止网络攻击和数据泄露,根据国家有关法律法规和公司相关规定,特制定本制度。
第二条本制度适用于公司所有信息系统、网络设备和终端设备。
第三条本制度旨在规范公司内部高危端口的使用和管理,提高网络安全防护能力。
第二章高危端口定义及分类第四条高危端口是指网络中存在安全风险,易被黑客利用进行攻击的端口。
第五条高危端口分类如下:1. 常规高危端口:如21(FTP)、22(SSH)、23(Telnet)、25(SMTP)、53(DNS)、80(HTTP)、110(POP3)、143(IMAP)、443(HTTPS)等;2. 特定高危端口:如3389(远程桌面)、135(RPC)、445(SMB)等;3. 其他高危端口:如端口扫描、拒绝服务攻击等。
第三章高危端口管理要求第六条高危端口的使用应遵循以下原则:1. 限制使用:除公司明确规定外,一般不得使用高危端口;2. 必要使用:确需使用高危端口时,应严格审批程序,并采取必要的安全防护措施;3. 监控管理:对使用高危端口的服务器、网络设备进行实时监控,确保网络安全。
第七条高危端口的使用管理要求:1. 审批程序:使用高危端口需经部门负责人批准,报公司网络安全管理部门备案;2. 防护措施:使用高危端口的服务器、网络设备应配置防火墙、入侵检测系统等安全设备,加强安全防护;3. 记录管理:使用高危端口的服务器、网络设备应记录访问日志,便于追踪和调查;4. 定期检查:网络安全管理部门定期对使用高危端口的服务器、网络设备进行检查,确保安全防护措施到位。
第四章高危端口关闭与调整第八条对于未经过批准使用的高危端口,应立即关闭;第九条对于已批准使用的高危端口,如发现存在安全隐患,应立即调整或关闭;第十条对于不再使用的高危端口,应立即关闭。
第五章监督与责任第十一条网络安全管理部门负责本制度的监督和执行;第十二条部门负责人和网络安全管理人员对本制度执行情况负有直接责任;第十三条对违反本制度的行为,公司将视情节轻重给予相应处罚。
常见端口漏洞
常见端⼝漏洞1、远程管理端⼝22 端⼝(SSH)安全攻击:弱⼝令、暴⼒猜解、⽤户名枚举利⽤⽅式:1、通过⽤户名枚举可以判断某个⽤户名是否存在于⽬标主机中,2、利⽤弱⼝令/暴⼒破解,获取⽬标主机权限。
23 端⼝(Telnet)安全漏洞:弱⼝令、明⽂传输利⽤⽅式:1、通过弱⼝令或暴⼒破解,获取⽬标主机权限。
2、嗅探抓取telnet明⽂账户密码。
3389 端⼝(RDP)安全漏洞:暴⼒破解利⽤⽅式:通过弱⼝令或暴⼒破解,获取⽬标主机权限。
5632 端⼝(Pcanywhere)安全漏洞:弱⼝令、暴⼒破解利⽤⽅式:通过弱⼝令或暴⼒破解,获取⽬标主机权限5900 端⼝(VNC)安全漏洞:弱⼝令、暴⼒破解利⽤⽅式:通过弱⼝令或暴⼒破解,获取⽬标主机权限。
2、Web中间件/服务端⼝1090/1099 端⼝(RMI)安全漏洞:JAVA RMI 反序列化远程命令执⾏漏洞利⽤⽅式:使⽤nmap检测端⼝信息。
端⼝信息:1099/1090 Java-rmi Java RMI Registry检测⼯具:attackRMI.jar7001 端⼝(Weblogic)安全漏洞:弱⼝令、SSRF、反序列化漏洞利⽤⽅式:1、控制台弱⼝令上传war⽊马2、SSRF内⽹探测3、反序列化远程代码执⾏等8000 端⼝(jdwp)安全漏洞:JDWP 远程命令执⾏漏洞端⼝信息: 8000 jdwp java Debug Wire Protocol检测⼯具:https:///IOActive/jdwp-sh ellifier8080 端⼝(Tomcat)安全漏洞:弱⼝令、⽰例⽬录利⽤⽅式:通过弱⼝令登录控制台,上传war包。
8080 端⼝(Jboss)安全漏洞:未授权访问、反序列化。
利⽤⽅式:1、未授权访问控制台,远程部署⽊马2、反序列化导致远程命令执⾏等。
检测⼯具:https:// /joaomatosf/jexboss8080 端⼝(Resin)安全漏洞:⽬录遍历、远程⽂件读取利⽤⽅式:通过⽬录遍历/远程⽂件读取获取敏感信息,为进⼀步攻击提供必要的信息。
常见高危端口
tcp 3128
Squid(代理缓存服务器)
弱口令
tcp 3312,3311
kangle(web服务器)
弱口令
tcp 3306
MySQL(数据库)
注入,提权,爆破
tcp 3389
Windows rdp(桌面协议)
shift后门[需要03以下的系统],爆破,ms12-020
tcp 3690
tcp 110
POP3(邮局协议版本3)
可尝试爆破,嗅探
tcp 111,2049
NFS(网络文件系统)
权限配置不当
tcp 137,139,445
SMB(NETBIOS协议)
可尝试爆破以及smb自身的各种远程执行类漏洞利用,如,ms08-067,ms17-010,嗅探等……
tcp 143
IMAP(邮件访问协议)
可尝试爆破
udp 161
SNMP(简单网络管理协议)
爆破默认团队字符串,搜集目标内网信息
tcp 389
LDAP(轻量目录访问协议)
ldap注入,允许匿名访问,弱口令
tcp 512,513,514
Linux rexec(远程登录)
可爆破,rlogin登陆
tcp 873
Rsync(数据镜像备份工具)
匿名访问,文件上传
tcp 23
Telnet(远程终端协议)
爆破,嗅探,一般常用于路由,交换登陆,可尝试弱口令
tcp 25
SMTP(简单邮件传输协议)
邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-user-enum工具来自动跑
tcp/udp 53
DNS(域名系统)
允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控
高危端口安全评估报告
高危端口安全评估报告根据高危端口安全评估报告,以下是一些可能存在安全风险的高危端口及其评估结果:1. 端口:22 (SSH)评估结果:存在风险风险描述:SSH端口是常用的远程登录协议端口,黑客可能利用该端口进行暴力破解攻击或执行远程命令注入攻击。
建议采取安全措施,如限制访问IP、使用强密码等。
2. 端口:23 (Telnet)评估结果:存在风险风险描述:Telnet是不加密的远程登录协议,黑客可能通过监听网络流量来获取登录凭证。
建议使用更加安全的协议,如SSH,并关闭Telnet服务以防止潜在攻击。
3. 端口:80 (HTTP)评估结果:存在风险风险描述:HTTP端口是Web服务的标准端口,黑客可能利用该端口进行注入攻击、跨站脚本攻击、缓冲区溢出等常见的Web漏洞攻击。
建议采取安全措施,如使用Web应用防火墙、及时修补漏洞等。
4. 端口:443 (HTTPS)评估结果:存在潜在风险风险描述:HTTPS端口是加密的Web服务端口,但仍有可能受到中间人攻击、证书伪造等攻击。
建议采取安全措施,如使用有效的SSL证书、强密码、及时更新加密算法等。
5. 端口:445 (SMB)评估结果:存在风险风险描述:SMB(Server Message Block)是Windows系统中共享文件和打印机的协议,黑客可能通过该端口执行远程命令、传播恶意软件等攻击。
建议关闭不使用的SMB服务、限制访问权限、及时升级补丁等。
以上是一些可能存在安全风险的高危端口及其评估结果,建议根据实际情况采取相应的安全措施来保护系统和数据的安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
弱口令
tcp1723
PPTP(点对点隧道协议)
爆破,想办法钓VPN账号,进内网
tcp 2082,2083
cPanel (虚拟机控制系统)
弱口令
tcp 2181
ZooKeeper(分布式系统得可靠协调系统)
未授权访问
tcp2601,2604
Zebra (zebra路由)
弱口令
tcp 8443
Plesk(虚拟主机管理面板)
弱口令
tcp8069
Zabbix(系统网络监视)
远程执行,SQL注入
tcp8080-8089
Jenkins,JBoss(应用服务器)
反序列化,控制台弱口令
tcp9080-9081,9090
WebSphere(应用服务器)
Java反序列化/弱口令
tcp 9200,9300
SVN(开放源代码得版本控制系统)
svn泄露,未授权访问
tcp 4848
GlassFish(应用服务器)
弱口令
tcp 5000
Sybase/DB2(数据库)
爆破,注入
tcp 5432
PostgreSQL(数据库)
爆破,注入,弱口令
tcp 5900,5901,5902
VNC(虚拟网络控制台,远控)
弱口令爆破
端口
服务
渗透测试
tcp 20,21
FTP(文件传输协议)
允许匿名得上传下载,爆破,嗅探,win提权,远程执行(proftpd1、3。5),各类后门(pro2。3、4)
tcp 22
SSH(安全外壳协议)
可根据已搜集到得信息尝试爆破,v1版本可中间人,ssh隧道及内网代理转发,文件传输等等
tcp23
Telnet (远程终端协议)
爆破,嗅探,一般常用于路由,交换登陆,可尝试弱口令
tcp25
SMTP(简单邮件传输协议)
邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-user-enum工具来自动跑
tcp/udp53
DNS(域名系统)
允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道得远控
tcp/udp 69
ElasticSearch(Lucene得搜索服务器)
远程执行
tcp 11211
Memcached(缓存系统)
未授权访问
tcp27017,27018
MongoDB(数据库)
爆破,未授权访问
tcp 50070,50030
Hadoop(分布式文件系统)
默认端口未授权访问
20190304
默认密码zerbra
tcp3128
Squid (代理缓存服务器)
弱口令
tcp3312,3311
kangle(web服务器)
弱口令
tcp 3306
MySQL(数据库)
注入,提权,爆破
tcp3389
Windowsrdp(桌面协议)
shift后门[需要03以下得系统],爆破,ms12—020
tcp3690
tcp1194
OpenVPN(虚拟专用通道)
想办法钓VPN账号,进内网
tcp 1352
Lotus(Lotus软件)
弱口令,信息泄漏,爆破
tcp 1433
SQLServer(数据库管理系统)
注入,提权,sa弱口令,爆破
tcp 1521
Oracle(甲骨文数据库)
tns爆破,注入,弹shell…
tcp 1500
tcp110
POP3(邮局协议版本3)
可尝试爆破,嗅探
tcp111,2049
NFS(网络文件系统)
权限配置不当
tcp 137,139,445
SMB(NETBIOS协议)
可尝试爆破以及smb自身得各种远程执行类漏洞利用,如,ms08—067,ms17-010,嗅探等……
tcp 143
IMAP(邮件访问协议)可尝试爆破u Nhomakorabeap161
SNMP(简单网络管理协议)
爆破默认团队字符串,搜集目标内网信息
tcp 389
LDAP(轻量目录访问协议)
ldap注入,允许匿名访问,弱口令
tcp 512,513,514
Linux rexec(远程登录)
可爆破,rlogin登陆
tcp873
Rsync(数据镜像备份工具)
匿名访问,文件上传
tcp5984
CouchDB(数据库)
未授权导致得任意指令执行
tcp 6379
Redis(数据库)
可尝试未授权访问,弱口令爆破
tcp7001,7002
WebLogic(WEB应用系统)
Java反序列化,弱口令
tcp7778
Kloxo(虚拟主机管理系统)
主机面板登录
tcp8000
Ajenti(Linux服务器管理面板)
TFTP(简单文件传送协议)
尝试下载目标及其得各类重要配置文件
tcp80-89,443,8440—8450,8080-8089
各种常用得Web服务端口
可尝试经典得topn,vpn,owa,webmail,目标oa,各类Java控制台,各类服务器Web管理面板,各类Web中间件漏洞利用,各类Web框架漏洞利用等等……