Из приведенного листинга видно, что
224 OUTLOOK UDP 1106
224 OUTLOOK UDP 0
245 MAPISP32 UDP 0
266 nc TCP 2222
Из приведенного листинга видно, что порт с номером 2222 прослушивается утилитой netcat. А при использовании программы netstat можно было бы узнать только номер прослушиваемого порта.
Для сканирования больших сетей и поиска программ прослушивания лучше всего использовать программы-сканеры портов или сетевые средства, которые обсуждались в главе 2.
Какой бы метод обнаружения прослушиваемых портов не использовался, его результат будет довольно трудно интерпретировать, если вы не знаете, что именно нужно найти. В табл. 14.1 приведен перечень наиболее красноречивых признаков наличия программного обеспечения удаленного управления.
Если на каком-либо узле обнаружено прослушивание приведенных в таблице портов, то это верный признак того, что он подвергся нападению либо по злому умыслу хакера либо из-за неосторожности самого администратора. Следует проявлять бдительность также и по отношению к другим портам, которые на первый взгляд кажутся обычными. Во многих из перечисленных средств можно изменять номер прослушиваемого порта (см. таблицу). Чтобы убедиться, что доступ к этим портам из Internet ограничен, нужно использовать устройства обеспечения безопасности на границе сети.
Удаление подозрительных процессов
Еще одна возможность выявления "потайного хода" заключается в проверке списка процессов на наличие в нем таких исполняемых файлов, как nc, WinVNC. exe и т.д. Для этого в системе NT можно использовать утилиту pulist из набора NTRK, которая выводит все запущенные процессы, или sclist, показывающую работающие службы.
Таблица 14.1. Номера портов, используемые программами и удаленного управления при создании "потайных ходов"
"Потайной ход"
|
Порт TCP, используемый по умолчанию
|
Порт UDP, используемый по умолчанию
|
Возможность использования альтернативных портов
|
Remote.exe
|
135-139
|
135-139
|
Нет
|
Netcat
|
Любой
|
Любой
|
Да
|
Loki
|
Не используется
|
Не используется
|
Не используется
|
Реверсивный telnet-сеанс
|
Любой
|
Не используется
|
Да
|
Back Orifice
|
Не используется
|
31337
|
Да
|
Back Orifice 2000
|
54320
|
54321
|
Да
|
NetBus
|
12345
|
Не используется
|
Да
|
Masters Paradise
|
40421,40422,40426
|
Не используется
|
Да
|
pcAnywhere
|
22,5631,5632,65301
|
22, 5632
|
Нет
|
ReachOut
|
43188
|
Нет
|
Нет
|
Remotely Anywhere
|
2000, 2001
|
Нет
|
Да
|
Remotely
|
799, 800
|
800
|
Да
|
Possible/ControllT
|
|
|
|
Timbuktu
|
407
|
407
|
Нет
|
VNC
|
5800, 5801
|
Нет
|
Да
|
Windows Terminal Server
|
3389
|
3389
|
Нет
|
NetMeeting Remote Desktop Control
|
49608, 49609
|
49608, 49609
|
Нет
|
Citrix ICA
|
1494
|
1494
|
Нет
|
<
Содержание Назад Вперед