ЧапаЭв
29.03.2010, 19:05
Данная статья приводится в ознакомительных целях в качестве одного из возможных вариантов. В конце данного материала дана ссылка на альтернативный вариант настройки Outpost Firewall, не много отличающийся от приведеного ниже. Какой из них выбрать - выбирать Вам. (Текст в скобках курсивным шрифтом - это наше дополнение.)
После установки Outpost перезагружаем компьютер. Запускаем программу. Появляется предложение создать правила – соглашайтесь, потом разберёмся с ними.
Настройка глобальных правил.
Allow DNS Resolving по умолчанию разрешен, и правильно, поскольку системе необходимо получить доступ к серверу DNS. Иначе станет невозможным преобразование имен из привычного для всех нас вида в IP-адреса, по которым и происходит поиск.
Allow Outgoing DHCP – позволяет использовать DHCP. По умолчанию эта возможность включена, хотя нужна она далеко не всем. Получить точный ответ о целесообразности этого правила можно у своего провайдера. Если провайдер скажет, что нужды в службе нет, то можно ее отрубить.
Allow Inbound Identification – no умолчанию запрещен. Разумно поскольку для большинства пользователей получение входящих данных на порт 113 для идентификации ни к чему. Эксперты отмечают, что именно так чаще всего воруют пароли. При этом учтите, что порт 113 не имеет никакого отношения к активному режиму FTP, это ошибка. Поэтому закрытие порта никаких проблем в работе по ftp-протоколу не создаст и создать не может.
Allow Loopback – производить loopback-соединения, которые чаще называют замыканием на себя, приходится пусть не очень часто, но и не настолько редко. Знающие люди советуют снять галку.
Allow GRE Protocol – необходим всем, кто использует РРТР. Например, для организации VPN-доступа. Тут лучшим советчиком будет собственный провайдер.
Я лично отключил.
Block Remote Procedure Call – блокировка удаленного вызова процедур. При проставленной галке блокировка есть, а при снятой – нет. По умолчанию галка стоит на своем месте, поскольку большинству пользователей удаленный вызов процедур абсолютно не нужен. Зато всяким плохим такое право непременно пригодится.
Deny Unknown Protocols – нужен для подстраховки. Это правило повторяет житейскую мудрость о том, что все непонятное является опасным. И предписывает файрволлу блокировать любое соединение, если не удается определить тип протокола. Думаю, что спорить с народной мудростью не следует – себе дороже получится.
Дальше открываем вкладку «Приложеня» и удаляем оттуда всё! Ни чего не оставляем.
Включаем режим обучения и запускаем по очереди те программы, которые должны выходить в сеть. И здесь внимательно создаём правила для каждой программы.
Сколько программ, которым необходим постоянный выход в Сеть, нужно простому пользователю?
Немного: браузер, почтовый клиент, ICQ и Jabber, ftp-клиент и менеджер закачек. Для всех этих программ Outpost предлагает свой набор правил, их мы и применяем как стандартные или базовые. Потом некоторые подредактируем.
Подправим некоторые базовые правила.
Для браузера Internet Explorer авторы файрволла определили правила – разрешаются все исходящие соединения по протоколу TCP через порты 21, 70, 80–83, 443, 554, 1080, 3128, 8080, 8088 и входящие соединения по протоколу TCP через порт 1375, по протоколу UDP через порты 1040–1050. Многовато (У меня он вообще выходит в сеть только домой за апдейтами, что бы залатать в системе старые дырки и получить новые – всё). Ставим FireFox или Opera по умолчанию и порядок. При этом я не призываю к радикальным мерам – полному запрету этого браузера. Много веб-страниц заточены под него. Таковы реалии. Исходя из этих соображений, 21-й порт блокируется сразу и без раздумий, для загрузки файлов с ftp-серверов существуют специальные программы, более удобные, чем браузер.
(Если у Вас таких программ нет или Вы не знаете (или не хотите знать) как ими пользоваться, тогда оставьте этот порт открытым. Иначе не сможете зайти на файловые архивы).
443-й порт отвечает за соединения по протоколу HTTPS, который чаще называют SSL, использующемуся для организации криптографически защищенного канала для обмена данными (пароли, ключи, личная информация) в Сети. Думаю, что, активность программы через этот порт также можно запретить.
(Однако, в этом случае Вы не сможете зайти на страницу детальной статистики.)
К тому же некоторые провайдеры допускают выход в интернет только по VPN-каналу, что приводит к необходимости внести изменения в таблицу маршрутизации. Решается это просто: пользователю надо запустить скрипт, находящийся на сервере, доступ к которому разрешен только по протоколу HTTPS. Легче всего это сделать, используя IE. Так что в таких случаях закрывать порт целесообразно только после выполнения всех необходимых операций.
Порт 1080 отвечает за SOCKS-соединения. SOCKS был создан для обеспечения удобного и безопасного использования сервиса сетевых файрволлов для приложений типа клиент-сервер, работающих по протоколам TCP и UDP. Если вы не пользуетесь SOCKS-серверами при работе с IE, порт можно смело отключать.
С портами 3128, 8080 и 8088 еще прозрачнее. Используем прокси-серверы – оставляем, нет – заблокировать.
Через 70-й порт можно задействовать так называемую систему Gopher. Некоторые специалисты называют Gopher прямым предшественником WWW, но сегодня она представляет интерес только для исследователей. Актуальность эта служба утратила уже давно, поэтому закрываем и его. Кстати говоря, года два назад дыра, связанная с неконтролируемом буфером, управляющим информацией, получаемой от сервера Gopher, наделала немало шума.
Закрытие ТСР-порта 1375 и UDP-портов 1040–1050 тоже не должно вызвать неприятных последствий.
И наконец, порт 554. Используется он исключительно в мультимедийных целях, поэтому закрыть его можно без проблем – намного проще закачать файл и посмотреть его при помощи специального плейера. После всего IE должен работать вполне исправно и с «кривыми» сайтами, и с прямыми. Теперь можно определить и правила для FireFox или Opera, причем аналогия будет практически полной.
Microsoft Outlook (Express) пo умолчанию дозволительны исходящие ТСР-соединения через порты 25, 80–83, 119, 110, 143, 389, 443, 995, 1080, 3128, 8080, 8088 и 11523. Многовато для простых получения и отправки сообщений.
25 и 110 не трогаем – они отвечают за выполнение основной функции. С остальными – разберёмся.
На порт 119 приходят новости по протоколу NNTP, если вы не получаете новости подобным образом, то порт можно смело закрывать.
Порт с номером 995 – получение почты по протоколу РОРЗ, используя защищенное соединение SSL/TLS. Если вам это не нужно, то 995-й порт закрываем.
143-й порт отвечает за работу с почтой по протоколу IMAP. Нет IMAP - нет порта.
Через 389-й порт можно получить доступ к серверу LDAP. Штука удобная, широко используется в UNIX-системах, но дома она вряд ли может пригодиться. Стало быть, закрываем. А вот все оставшееся нужно для того, чтобы клиент мог вылезать в Сеть, реагируя на некоторые элементы, которые очень часто помещают в письма. Не знаю что сказать. Причина банальна: я не понимаю целесообразности этих возможностей и не вижу смысла включать в письмо что-то, кроме чистого текста. Русский словарь (как и любой другой) богат, и при помощи содержащихся там слов можно выразить сколь угодно сложную мысль. Если вы со мной согласны, то блокируйте остальные порты, если нет – дело ваше.
С ftp-клиентом все просто. Для нормальной работы ему следует разрешить исходящие соединения по протоколу TCP через 21-й порт, а потом по ситуации (в режиме обучения).
Менеджеру закачек разрешить исходящее соединения по протоколу TCP через порты 21, 80–83, 443, 1080, 3128, 8080, 8088 и 11523. У себя Flash Get-y я запретил лазить сюда 212.31.251.68, 212.31.251.67, 210.51.184.50 и сюда 208.184.39.132, 208.185.54.9, а то он гад ключи там проверяет, становится опять не зарегистрированным и потом всякую ерунду от туда тащит и баннеры показывает.
Авто обновления следует тоже запретить. Всё должно быть строго по команде. А то лазают где попало и трафик зря сжирают. Самому Outpost-у я запретил вылазить в сеть, ему там делать не чего. Для обновлений существуют варезные сайты.
Следует обратить внимание на некоторые служебные программы, которые тоже лезут в Сеть.
Alg.exe – Microsoft Application Layer Gateway Service. Он обеспечивает поддержку плагинов Internet Connection Sharing / Internet Connection Firewall. Эти службы дают возможность нескольким компьютерам сети подключиться к интернету через один компьютер. В большинстве случаев она просто не нужна.
Conf.exe – это тот самый Net-Meeting, о полной деинсталляции которого мечтает половина русских пользователей системы Windows (другая половина не мечтает, поскольку уже давно это проделала). Не нужен – отрубаем.
Из той же серии программа dwwin.exe – Microsoft Application Error Reporting. Вам оно надо? Microsoft за эти сообщения денег нам не платит.
Mstsc.exe – Microsoft Remote Desktop – отвечает за подключение к удаленному Рабочему столу. Если не надо и если раньше не прибили этот сервис – не пущать.
Explorer.exe – в сети ему делать нечего.
Lsass.exe – это локальная подсистема аутентификации пользователей (Security Accounts Manager). К сожалению, эту нужную функцию используют несколько опасных сетевых червей. В некоторых случаях запрет ее сетевой активности возможен, в некоторых - нет. Этот вопрос следует обсудить с собственным провайдером, и, если он скажет, что служба должна работать, спасет только установка соответствующих патчей, которые выпускает любимая компания Microsoft. Я её запретил.
Наконец, служба Messenger, которая пересылает сообщения между клиентами и серверами. По большому счету, домашнему пользователю она не нужна. Она позволяет принимать сообщения net send, которые пользователю не нужны, – если есть желание пообщаться, стучимся в аську и не выёживаемся. Тем не менее, если по каким-либо причинам эту службу отключить нельзя, то используйте файрволл для закрытия UDP-портов 135, 137, 138 и ТСР-портов 135, 139, 445.
(135-й порт задействуется при удаленном подключения к рабочему столу. Если Вы не собираетесь работать удаленно со своим компьютером, тогда смело закрывайте этот порт. Ну а если собираетесь, то в качестве альтернативы можете использовать Radmin.
По 139-му порту происходит обращение к папкам с атрибутом "Общий доступ" (иначе говоря к "расшаренным" папкам), а так же к принтерам, драйвера которых установлены на вашем компьютере.)
Можно смело блокировать 5000 порт и на вход и на выход (это Universal Plug&play – совершенно не нужное в реальной жизни)
Можно закрыть ещё порт 9996 по TCP. Это стандартный порт для IRC-сообщений.
(Но в нашей сети IRC-сообщения идут через Jabber, поэтому этот порт не используется. Через него так же можно удаленно запустить коммандную строку на вашем компьютере.)
Остальные системные настройки можно оставить по умолчанию.
Режим невидимости. Скрытые процессы – “спрашивать”.
Настроить подключаемые модули я думаю не очень сложно. Фильтр почтовых вложений я отключил, хватит антивируса. С остальными можно поковырятся.
Некоторые порты используются не только добросовестным софтом, но и всякими троянами. Краткий список портов, которым следует уделить особое внимание.
31-й порт используется троянцем Master Paradise,
121 – ВО jammerkillahV,
456 – Hackers Paradise,
555 – Stealth Spy, Phase 0? и Ne Tadmin?,
666 – At¬tack FTP,
1001 – Silencer и Web Ex?,
1010 – Doly trojan v1.35,
1011 – Doly Trojan,
1015 – Doly trojan v1.5,
1033 – Netspy,
1042 – Bla 1?.1,
1080 – Win-gate,
1170 – Streaming Audio Trojan,
1243 – Sub Seven?,
1245 – Voodoo,
1269 – Maverick's Matrix,
1492 – FTP99CMP,
1509 – Psyber,
1600 – Sivka Burka,
1807 – Spy Sender?,
1981 – Shock Rave?,
1999 – Backdoor,
2001 – Tro-janCow,
2023 – Pass Ripper,
2115 – Bugs,
2140 – The Invasor,
2283 – HVL Rat 5?,
2300 – PC Xplorer v1.2,
2565 – Striker,
2583 – Wincrash 2?,
2801 - Phineas,
3791 – Total Eclipse 1.0,
4950 – Icq Trojan?,
5000 – Blazer 5, Bio Net? Lite, Sockets De Troje,
5011 - OOTLT,
5031 – Net Metro? 1.0,
5321 – Firehotcker,
5400 – Blade Runner? 0.80 и Back Construction? 1.2,
5521 – Illusion Mailer,
5550 – Xtcp,
5569 - Robo Hack?,
5742 – Wincrash,
6400 – The tHing,
6669 – Vampire,
6670 - Deep Throath? 1,2,3.x,
6883 – Delta Source?,
6912 – Shit Heep?,
6969 – Gate¬crasher,
7306 – Net Monitor?,
7789 – ICQKiller,
9400 – In Command? 1.0,
9872 – Portal Of Doom?,
9989 – Inlkiller,
4567 – File Nail?,
6939 – Indoctri¬nation,
9875 – Portal Of Doom?,
10101 – Brain Spy?,
10607 – Coma,
11000 -Senna Spy Trojans,
11223 – Progenic Trojan?,
12076 – Gjamer,
12223 – Hack-99 Key Logger.
Разумеется, это не всё, поэтому рекомендуется время от времени посещать специальные ресурсы, посвященные сетевой безопасности, где можно найти актуальный на данный момент перечень потенциально опасных портов.
По материалам http://www.securinfo.ru/
После установки Outpost перезагружаем компьютер. Запускаем программу. Появляется предложение создать правила – соглашайтесь, потом разберёмся с ними.
Настройка глобальных правил.
Allow DNS Resolving по умолчанию разрешен, и правильно, поскольку системе необходимо получить доступ к серверу DNS. Иначе станет невозможным преобразование имен из привычного для всех нас вида в IP-адреса, по которым и происходит поиск.
Allow Outgoing DHCP – позволяет использовать DHCP. По умолчанию эта возможность включена, хотя нужна она далеко не всем. Получить точный ответ о целесообразности этого правила можно у своего провайдера. Если провайдер скажет, что нужды в службе нет, то можно ее отрубить.
Allow Inbound Identification – no умолчанию запрещен. Разумно поскольку для большинства пользователей получение входящих данных на порт 113 для идентификации ни к чему. Эксперты отмечают, что именно так чаще всего воруют пароли. При этом учтите, что порт 113 не имеет никакого отношения к активному режиму FTP, это ошибка. Поэтому закрытие порта никаких проблем в работе по ftp-протоколу не создаст и создать не может.
Allow Loopback – производить loopback-соединения, которые чаще называют замыканием на себя, приходится пусть не очень часто, но и не настолько редко. Знающие люди советуют снять галку.
Allow GRE Protocol – необходим всем, кто использует РРТР. Например, для организации VPN-доступа. Тут лучшим советчиком будет собственный провайдер.
Я лично отключил.
Block Remote Procedure Call – блокировка удаленного вызова процедур. При проставленной галке блокировка есть, а при снятой – нет. По умолчанию галка стоит на своем месте, поскольку большинству пользователей удаленный вызов процедур абсолютно не нужен. Зато всяким плохим такое право непременно пригодится.
Deny Unknown Protocols – нужен для подстраховки. Это правило повторяет житейскую мудрость о том, что все непонятное является опасным. И предписывает файрволлу блокировать любое соединение, если не удается определить тип протокола. Думаю, что спорить с народной мудростью не следует – себе дороже получится.
Дальше открываем вкладку «Приложеня» и удаляем оттуда всё! Ни чего не оставляем.
Включаем режим обучения и запускаем по очереди те программы, которые должны выходить в сеть. И здесь внимательно создаём правила для каждой программы.
Сколько программ, которым необходим постоянный выход в Сеть, нужно простому пользователю?
Немного: браузер, почтовый клиент, ICQ и Jabber, ftp-клиент и менеджер закачек. Для всех этих программ Outpost предлагает свой набор правил, их мы и применяем как стандартные или базовые. Потом некоторые подредактируем.
Подправим некоторые базовые правила.
Для браузера Internet Explorer авторы файрволла определили правила – разрешаются все исходящие соединения по протоколу TCP через порты 21, 70, 80–83, 443, 554, 1080, 3128, 8080, 8088 и входящие соединения по протоколу TCP через порт 1375, по протоколу UDP через порты 1040–1050. Многовато (У меня он вообще выходит в сеть только домой за апдейтами, что бы залатать в системе старые дырки и получить новые – всё). Ставим FireFox или Opera по умолчанию и порядок. При этом я не призываю к радикальным мерам – полному запрету этого браузера. Много веб-страниц заточены под него. Таковы реалии. Исходя из этих соображений, 21-й порт блокируется сразу и без раздумий, для загрузки файлов с ftp-серверов существуют специальные программы, более удобные, чем браузер.
(Если у Вас таких программ нет или Вы не знаете (или не хотите знать) как ими пользоваться, тогда оставьте этот порт открытым. Иначе не сможете зайти на файловые архивы).
443-й порт отвечает за соединения по протоколу HTTPS, который чаще называют SSL, использующемуся для организации криптографически защищенного канала для обмена данными (пароли, ключи, личная информация) в Сети. Думаю, что, активность программы через этот порт также можно запретить.
(Однако, в этом случае Вы не сможете зайти на страницу детальной статистики.)
К тому же некоторые провайдеры допускают выход в интернет только по VPN-каналу, что приводит к необходимости внести изменения в таблицу маршрутизации. Решается это просто: пользователю надо запустить скрипт, находящийся на сервере, доступ к которому разрешен только по протоколу HTTPS. Легче всего это сделать, используя IE. Так что в таких случаях закрывать порт целесообразно только после выполнения всех необходимых операций.
Порт 1080 отвечает за SOCKS-соединения. SOCKS был создан для обеспечения удобного и безопасного использования сервиса сетевых файрволлов для приложений типа клиент-сервер, работающих по протоколам TCP и UDP. Если вы не пользуетесь SOCKS-серверами при работе с IE, порт можно смело отключать.
С портами 3128, 8080 и 8088 еще прозрачнее. Используем прокси-серверы – оставляем, нет – заблокировать.
Через 70-й порт можно задействовать так называемую систему Gopher. Некоторые специалисты называют Gopher прямым предшественником WWW, но сегодня она представляет интерес только для исследователей. Актуальность эта служба утратила уже давно, поэтому закрываем и его. Кстати говоря, года два назад дыра, связанная с неконтролируемом буфером, управляющим информацией, получаемой от сервера Gopher, наделала немало шума.
Закрытие ТСР-порта 1375 и UDP-портов 1040–1050 тоже не должно вызвать неприятных последствий.
И наконец, порт 554. Используется он исключительно в мультимедийных целях, поэтому закрыть его можно без проблем – намного проще закачать файл и посмотреть его при помощи специального плейера. После всего IE должен работать вполне исправно и с «кривыми» сайтами, и с прямыми. Теперь можно определить и правила для FireFox или Opera, причем аналогия будет практически полной.
Microsoft Outlook (Express) пo умолчанию дозволительны исходящие ТСР-соединения через порты 25, 80–83, 119, 110, 143, 389, 443, 995, 1080, 3128, 8080, 8088 и 11523. Многовато для простых получения и отправки сообщений.
25 и 110 не трогаем – они отвечают за выполнение основной функции. С остальными – разберёмся.
На порт 119 приходят новости по протоколу NNTP, если вы не получаете новости подобным образом, то порт можно смело закрывать.
Порт с номером 995 – получение почты по протоколу РОРЗ, используя защищенное соединение SSL/TLS. Если вам это не нужно, то 995-й порт закрываем.
143-й порт отвечает за работу с почтой по протоколу IMAP. Нет IMAP - нет порта.
Через 389-й порт можно получить доступ к серверу LDAP. Штука удобная, широко используется в UNIX-системах, но дома она вряд ли может пригодиться. Стало быть, закрываем. А вот все оставшееся нужно для того, чтобы клиент мог вылезать в Сеть, реагируя на некоторые элементы, которые очень часто помещают в письма. Не знаю что сказать. Причина банальна: я не понимаю целесообразности этих возможностей и не вижу смысла включать в письмо что-то, кроме чистого текста. Русский словарь (как и любой другой) богат, и при помощи содержащихся там слов можно выразить сколь угодно сложную мысль. Если вы со мной согласны, то блокируйте остальные порты, если нет – дело ваше.
С ftp-клиентом все просто. Для нормальной работы ему следует разрешить исходящие соединения по протоколу TCP через 21-й порт, а потом по ситуации (в режиме обучения).
Менеджеру закачек разрешить исходящее соединения по протоколу TCP через порты 21, 80–83, 443, 1080, 3128, 8080, 8088 и 11523. У себя Flash Get-y я запретил лазить сюда 212.31.251.68, 212.31.251.67, 210.51.184.50 и сюда 208.184.39.132, 208.185.54.9, а то он гад ключи там проверяет, становится опять не зарегистрированным и потом всякую ерунду от туда тащит и баннеры показывает.
Авто обновления следует тоже запретить. Всё должно быть строго по команде. А то лазают где попало и трафик зря сжирают. Самому Outpost-у я запретил вылазить в сеть, ему там делать не чего. Для обновлений существуют варезные сайты.
Следует обратить внимание на некоторые служебные программы, которые тоже лезут в Сеть.
Alg.exe – Microsoft Application Layer Gateway Service. Он обеспечивает поддержку плагинов Internet Connection Sharing / Internet Connection Firewall. Эти службы дают возможность нескольким компьютерам сети подключиться к интернету через один компьютер. В большинстве случаев она просто не нужна.
Conf.exe – это тот самый Net-Meeting, о полной деинсталляции которого мечтает половина русских пользователей системы Windows (другая половина не мечтает, поскольку уже давно это проделала). Не нужен – отрубаем.
Из той же серии программа dwwin.exe – Microsoft Application Error Reporting. Вам оно надо? Microsoft за эти сообщения денег нам не платит.
Mstsc.exe – Microsoft Remote Desktop – отвечает за подключение к удаленному Рабочему столу. Если не надо и если раньше не прибили этот сервис – не пущать.
Explorer.exe – в сети ему делать нечего.
Lsass.exe – это локальная подсистема аутентификации пользователей (Security Accounts Manager). К сожалению, эту нужную функцию используют несколько опасных сетевых червей. В некоторых случаях запрет ее сетевой активности возможен, в некоторых - нет. Этот вопрос следует обсудить с собственным провайдером, и, если он скажет, что служба должна работать, спасет только установка соответствующих патчей, которые выпускает любимая компания Microsoft. Я её запретил.
Наконец, служба Messenger, которая пересылает сообщения между клиентами и серверами. По большому счету, домашнему пользователю она не нужна. Она позволяет принимать сообщения net send, которые пользователю не нужны, – если есть желание пообщаться, стучимся в аську и не выёживаемся. Тем не менее, если по каким-либо причинам эту службу отключить нельзя, то используйте файрволл для закрытия UDP-портов 135, 137, 138 и ТСР-портов 135, 139, 445.
(135-й порт задействуется при удаленном подключения к рабочему столу. Если Вы не собираетесь работать удаленно со своим компьютером, тогда смело закрывайте этот порт. Ну а если собираетесь, то в качестве альтернативы можете использовать Radmin.
По 139-му порту происходит обращение к папкам с атрибутом "Общий доступ" (иначе говоря к "расшаренным" папкам), а так же к принтерам, драйвера которых установлены на вашем компьютере.)
Можно смело блокировать 5000 порт и на вход и на выход (это Universal Plug&play – совершенно не нужное в реальной жизни)
Можно закрыть ещё порт 9996 по TCP. Это стандартный порт для IRC-сообщений.
(Но в нашей сети IRC-сообщения идут через Jabber, поэтому этот порт не используется. Через него так же можно удаленно запустить коммандную строку на вашем компьютере.)
Остальные системные настройки можно оставить по умолчанию.
Режим невидимости. Скрытые процессы – “спрашивать”.
Настроить подключаемые модули я думаю не очень сложно. Фильтр почтовых вложений я отключил, хватит антивируса. С остальными можно поковырятся.
Некоторые порты используются не только добросовестным софтом, но и всякими троянами. Краткий список портов, которым следует уделить особое внимание.
31-й порт используется троянцем Master Paradise,
121 – ВО jammerkillahV,
456 – Hackers Paradise,
555 – Stealth Spy, Phase 0? и Ne Tadmin?,
666 – At¬tack FTP,
1001 – Silencer и Web Ex?,
1010 – Doly trojan v1.35,
1011 – Doly Trojan,
1015 – Doly trojan v1.5,
1033 – Netspy,
1042 – Bla 1?.1,
1080 – Win-gate,
1170 – Streaming Audio Trojan,
1243 – Sub Seven?,
1245 – Voodoo,
1269 – Maverick's Matrix,
1492 – FTP99CMP,
1509 – Psyber,
1600 – Sivka Burka,
1807 – Spy Sender?,
1981 – Shock Rave?,
1999 – Backdoor,
2001 – Tro-janCow,
2023 – Pass Ripper,
2115 – Bugs,
2140 – The Invasor,
2283 – HVL Rat 5?,
2300 – PC Xplorer v1.2,
2565 – Striker,
2583 – Wincrash 2?,
2801 - Phineas,
3791 – Total Eclipse 1.0,
4950 – Icq Trojan?,
5000 – Blazer 5, Bio Net? Lite, Sockets De Troje,
5011 - OOTLT,
5031 – Net Metro? 1.0,
5321 – Firehotcker,
5400 – Blade Runner? 0.80 и Back Construction? 1.2,
5521 – Illusion Mailer,
5550 – Xtcp,
5569 - Robo Hack?,
5742 – Wincrash,
6400 – The tHing,
6669 – Vampire,
6670 - Deep Throath? 1,2,3.x,
6883 – Delta Source?,
6912 – Shit Heep?,
6969 – Gate¬crasher,
7306 – Net Monitor?,
7789 – ICQKiller,
9400 – In Command? 1.0,
9872 – Portal Of Doom?,
9989 – Inlkiller,
4567 – File Nail?,
6939 – Indoctri¬nation,
9875 – Portal Of Doom?,
10101 – Brain Spy?,
10607 – Coma,
11000 -Senna Spy Trojans,
11223 – Progenic Trojan?,
12076 – Gjamer,
12223 – Hack-99 Key Logger.
Разумеется, это не всё, поэтому рекомендуется время от времени посещать специальные ресурсы, посвященные сетевой безопасности, где можно найти актуальный на данный момент перечень потенциально опасных портов.
По материалам http://www.securinfo.ru/