|
网上常常提到很多高危端口,但是在业务发布等过程中,我们又避免不开。那么如何平衡业务与安全,在不影响业务的情况下,最大程度的
?
高危端口
值得关注的一般有两类,一类是利用端口进行监听扫描等,探测目标主机是否开放了某些服务,常出现在攻击准备阶段。但这并不是说这些端口就一定有问题,绝对要关闭。谈到高危端口,我们也不用如临大敌。因为就操作系统而言,它的目的很简单,只是为了人提供服务而已,复杂的是人,这点,即使是高处理速度的计算机大脑,也难以匹敌。与其不断封堵所谓的“高危端口”,不如强化自身安全意识,减少“社工攻击”。
这一向是我最倡导的理念。信息安全管理与技术从来都不是对立面,技术支撑的是我们安全的砖石,但是管理理念却是房梁,是基础架构。
另一类是通过这些端口获取较大管理权限,而后作为跳板,取得权限后再威胁到业务系统。
下面重点讲的,也是第二种。我将第二种又分了两个小类,可能不大准确,从攻击模式上来看,一个“主攻”权限,拿到高权限后,再通过“合理”的手段,达到黑客们想要的目的;一个是“主攻”后门,期望利用这些端口插入一些病毒文件。
第一类 较大权限
重点关注以下端口:
TCP 20(提权、远程执行),21(提权、远程执行),22(文件传输、中间人攻击),23(远程登录),3306(SQL注入),3389(远程执行),8069(远程执行,SQL注入)。
第二类 木马攻击
重点关注以下端口:
TCP 135(蠕虫病毒),137(蠕虫病毒),139(蠕虫病毒),445(永恒之蓝)
UDP 1434(缓冲区溢出攻击)
下附网上找到的详细高危端口及漏洞利用方式:(来源有点乱,不知道最初是谁发的了,有点久了。允许我致敬默默无私的原作者。)
| 端口 | 服务 | 渗透测试 | | tcp 20,21 | FTP(文件传输协议) | 允许匿名的上传下载,爆破,嗅探,win提权,远程执行(proftpd 1.3.5),各类后门(proftpd,vsftp 2.3.4) | | tcp 22 | SSH (安全外壳协议 ) | 可根据已搜集到的信息尝试爆破,v1版本可中间人,ssh隧道及内网代理转发,文件传输等等 | | tcp 23 | Telnet ( 远程终端协议) | 爆破,嗅探,一般常用于路由,交换登陆,可尝试弱口令 | | tcp 25 | SMTP(简单邮件传输协议) | 邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-user-enum工具来自动跑 | | tcp/udp 53 | DNS(域名系统) | 允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控 | | tcp/udp 69 | TFTP (简单文件传送协议 ) | 尝试下载目标及其的各类重要配置文件 | | tcp 80-89,443,8440-8450,8080-8089 | 各种常用的Web服务端口 | 可尝试经典的topn,vpn,owa,webmail,目标oa,各类Java控制台,各类服务器Web管理面板,各类Web中间件漏洞利用,各类Web框架漏洞利用等等…… | | tcp 110 | POP3(邮局协议版本3 ) | 可尝试爆破,嗅探 | | tcp 111,2049 | NFS(网络文件系统) | 权限配置不当 | | tcp 137,139,445 | SMB(NETBIOS协议) | 可尝试爆破以及smb自身的各种远程执行类漏洞利用,如,ms08-067,ms17-010,嗅探等…… | | tcp 143 | IMAP(邮件访问协议) | 可尝试爆破 | | udp 161 | SNMP(简单网络管理协议) | 爆破默认团队字符串,搜集目标内网信息 | | tcp 389 | LDAP( 轻量目录访问协议 ) | ldap注入,允许匿名访问,弱口令 | | tcp 512,513,514 | Linux rexec (远程登录) | 可爆破,rlogin登陆 | | tcp 873 | Rsync (数据镜像备份工具) | 匿名访问,文件上传 | | tcp 1194 | OpenVPN(虚拟专用通道) | 想办法钓VPN账号,进内网 | | tcp 1352 | Lotus(Lotus软件) | 弱口令,信息泄漏,爆破 | | tcp 1433 | SQL Server(数据库管理系统) | 注入,提权,sa弱口令,爆破 | | tcp 1521 | Oracle(甲骨文数据库) | tns爆破,注入,弹shell… | | tcp 1500 | ISPmanager( 主机控制面板) | 弱口令 | | tcp 1723 | PPTP(点对点隧道协议 ) | 爆破,想办法钓VPN账号,进内网 | | tcp 2082,2083 | cPanel (虚拟机控制系统 ) | 弱口令 | | tcp 2181 | ZooKeeper(分布式系统的可靠协调系统 ) | 未授权访问 | | tcp 2601,2604 | Zebra (zebra路由) | 默认密码zerbra | | tcp 3128 | Squid (代理缓存服务器) | 弱口令 | | tcp 3312,3311 | kangle(web服务器) | 弱口令 | | tcp 3306 | MySQL(数据库) | 注入,提权,爆破 | | tcp 3389 | Windows rdp(桌面协议) | shift后门[需要03以下的系统],爆破,ms12-020 | | tcp 3690 | SVN(开放源代码的版本控制系统) | svn泄露,未授权访问 | | tcp 4848 | GlassFish(应用服务器) | 弱口令 | | tcp 5000 | Sybase/DB2(数据库) | 爆破,注入 | | tcp 5432 | PostgreSQL(数据库) | 爆破,注入,弱口令 | | tcp 5900,5901,5902 | VNC(虚拟网络控制台,远控) | 弱口令爆破 | | tcp 5984 | CouchDB(数据库) | 未授权导致的任意指令执行 | | tcp 6379 | Redis(数据库) | 可尝试未授权访问,弱口令爆破 | | tcp 7001,7002 | WebLogic(WEB应用系统) | Java反序列化,弱口令 | | tcp 7778 | Kloxo(虚拟主机管理系统) | 主机面板登录 | | tcp 8000 | Ajenti(Linux服务器管理面板) | 弱口令 | | tcp 8443 | Plesk(虚拟主机管理面板) | 弱口令 | | tcp 8069 | Zabbix (系统网络监视) | 远程执行,SQL注入 | | tcp 8080-8089 | Jenkins,JBoss (应用服务器) | 反序列化,控制台弱口令 | | tcp 9080-9081,9090 | WebSphere(应用服务器) | Java反序列化/弱口令 | | tcp 9200,9300 | ElasticSearch (Lucene的搜索服务器) | 远程执行 | | tcp 11211 | Memcached(缓存系统) | 未授权访问 | | tcp 27017,27018 | MongoDB(数据库) | 爆破,未授权访问 | | tcp 50070,50030 | Hadoop(分布式文件系统) | 默认端口未授权访问 |
附常见病毒及利用端口:
| 病毒名称 | 病毒特征 | 使用端口 | | W32.Nachi.Worm(MyDoom.A,MyDoom.B) | 系统重启 | udp69 tcp135 | | W32.Blaster.Worm蠕虫病毒 | 系统自动重启 | tcp4444 udp69 tcp135 | | Dvldr32 蠕虫病毒 | 利用几种Windows系统弱口令漏洞在网络上大面积传播的一种破坏力很强的蠕虫病毒 | tcp5800 tcp5900 tcp445 tcp6667 | | W32.SQLExp.Worm蠕虫病毒 | 针对SQL_SERVER_2000的漏洞,该蠕虫发送了大量针对1434端口的udp协议包,导致网络堵塞,甚至瘫痪 | udp1434 | | 震荡波(Worm.Sasser) | 病毒也是通过系统漏洞进行传播的,感染了病毒的电脑会出现系统反复重启、机器运行缓慢,出现系统异常的出错框等现象。 | 5554 | | 冲击波(Worm.Blaster) | 病毒利用的是系统的RPC 漏洞,病毒攻击系统时会使RPC服务崩溃,该服务是Windows操作系统使用的一种远程过程调用协议 | 69 135 4444 | | “Sasser”的蠕虫病毒 | “Sasser”蠕虫病毒使用多个进程扫描不同范围的互联网地址,试图在445端口上发现“易感的”LSASS组件。 | 9996 5554 139 | | Worm.DvLdr蠕虫 | 该蠕虫主要攻击系统为NT/2000平台,通过探测445端口方式穷举管理员密码,并殖入一个后门程序使得该机器的安全性降低到0。 | 445 | | Win32.Rbot蠕虫 | 一种利用IRC控制后门的病毒(或称bot),未经授权可以进入受感染的机器。它也具有类似蠕虫的功能,可以通过弱口令进入共享,并利用系统漏洞进行传播,同时可以利用其它的恶意程序生成的后门进行传播。 | tcp139 tcp445 | | Win32.Lioten.KX蠕虫 | 是一种通过网络共享并利用系统漏洞进行传播的蠕虫。 | tcp135 tcp139 tcp445 | | Worm.NetKiller2003蠕虫 | 如果感染该蠕虫病毒后网络带宽大量被占用,最终导致网络瘫痪。该蠕虫病毒是利用SQL SERVER 2000的解析端口1434的缓冲区溢出漏洞,对其网络进行攻击的。 | udp1434 | | Kibuv.B | 可突破多个安全漏洞,除能突破“Sasser”蠕虫突破的“LSASS安全漏洞”之外,还能突破“消息服务安全漏洞”、“IIS 5.0 WebDAV安全漏洞”、“RPC接口缓冲区溢出安全漏洞”、“通用即插即用(UPnP) 服务安全漏洞”。 | tcp5000 | | 狙击波(Worm.Zotob.A) | ?? 该病毒利用了8月9日微软发布的即插即用中的漏洞(MS05-039),在微软发布安全公告后短短的5天之内即出现该蠕虫,表明病毒作者利用漏洞的能力越来越强。用户电脑感染了该病毒之后,在某些情况下会出现系统频繁重启的现象。同时,该病毒会在用户电脑上开设后门,方便黑客对其进行远程控制。 | tcp445 | | Backdoor/SdBot.ce | 通过局域网传播,尝试打开139和445端口盗取系统信息。该病毒及其变种一般经过UPX或PeCompact压缩,它执行时从图标上看很像是Windows XP系统的更新文件。 | tcp139 tcp445 | | Trojan.Helemoo | 个木马病毒,该病毒长度 7331 字节,感染Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP系统,它使用微软IE DHTML对象内存 溢出漏洞传播和破坏 | tcp28876 |
PS:
本人小学鸡,还是希望各位大佬多多包涵,有些不对的地方,还希望能够“语言温柔”的表达出来,大家共同成长和进步。?
|