|
Как узнать какой троян открыл порт?
В книгах по безопасности пишут, что хакеры, просканировав порты, узнают какие трояны сидят на машине. Затем они используют клиентскую часть этого троя и получают собранную им инфу.
Я решил попробовать это на практике. Одну из машин в локалке (не имею ни админского, ни гостевого доступа) просканировал nmap: PORT STATE SERVICE 135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ds 1025/tcp open NFS-or-IIS 5000/tcp open UPnP 5225/tcp open unknown 5226/tcp open unknown 8008/tcp open unknown 11608/tcp open unknown 123/udp open|filtered ntp 135/udp open msrpc 137/udp open|filtered netbios-ns 138/udp open|filtered netbios-dgm 445/udp open|filtered microsoft-ds 500/udp open|filtered isakmp 1026/udp open unknown 1027/udp open|filtered unknown 1028/udp open|filtered ms-lsa 1900/udp open|filtered UPnP 10481/udp open|filtered unknown 44787/udp open|filtered unknown Система там ХР SP2, но без обновлений. Может кто-нить по-подробней написать как мне узнать какие там трояны? |
http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
|
Цитата:
|
Цитата:
Порты, которые там перечислены nmap тоже знает (123/udp open|filtered ntp 135/udp open msrpc 137/udp open|filtered netbios-ns 138/udp open|filtered netbios-dgm 445/udp open|filtered microsoft-ds 500/udp open|filtered isakmp) На скоко я понимаю мне нужно узнать, кто использует "unknown". Хрен с ним, не находим в списке некоторые порты, делаем предположение, что их могут использовать трои, что теперь? |
Цитата:
Как по фингерпринту определять не знаю :( ... Можно немного по-подробней? |
Удаленное определение типа используемой операционной системы путем снятия отпечатков TCP/IP (так называемый OS Fingerprint). Может быть подделан/сфабрикован чтобы ввести в заблужение взломщика. Портов что-то многовато открыто, может там вообще honeypot или что-то типа Snort запущено.
|
Цитата:
|
| Время: 04:11 |