Иллюстрированный самоучитель по Secure Web


"Потайные ходы" - часть 18


224 OUTLOOK UDP 1106

224 OUTLOOK UDP 0

245 MAPISP32 UDP 0

266 nc TCP 2222

Из приведенного листинга видно, что порт с номером 2222 прослушивается утилитой netcat. А при использовании программы netstat можно было бы узнать только номер прослушиваемого порта.

Для сканирования больших сетей и поиска программ прослушивания лучше всего использовать программы-сканеры портов или сетевые средства, которые обсуждались в главе 2.

Какой бы метод обнаружения прослушиваемых портов не использовался, его результат будет довольно трудно интерпретировать, если вы не знаете, что именно нужно найти. В табл. 14.1 приведен перечень наиболее красноречивых признаков наличия программного обеспечения удаленного управления.

Если на каком-либо узле обнаружено прослушивание приведенных в таблице портов, то это верный признак того, что он подвергся нападению либо по злому умыслу хакера либо из-за неосторожности самого администратора. Следует проявлять бдительность также и по отношению к другим портам, которые на первый взгляд кажутся обычными. Во многих из перечисленных средств можно изменять номер прослушиваемого порта (см. таблицу). Чтобы убедиться, что доступ к этим портам из Internet ограничен, нужно использовать устройства обеспечения безопасности на границе сети.

Удаление подозрительных процессов


Еще одна возможность выявления "потайного хода" заключается в проверке списка процессов на наличие в нем таких исполняемых файлов, как nc, WinVNC. exe и т.д. Для этого в системе NT можно использовать утилиту pulist из набора NTRK, которая выводит все запущенные процессы, или sclist, показывающую работающие службы.

Таблица 14.1. Номера портов, используемые программами и удаленного управления при создании "потайных ходов"

"Потайной ход"

Порт TCP, используемый по умолчанию

Порт UDP, используемый по умолчанию

Возможность использования альтернативных портов

Remote.exe

135-139

135-139

Нет

Netcat

Любой

Любой

Да

Loki

Не используется

Не используется

Не используется

Реверсивный telnet-сеанс

Любой

Не используется

Да

Back Orifice

Не используется

31337

Да

Back Orifice 2000

54320

54321

Да

NetBus

12345

Не используется

Да

Masters Paradise

40421,40422,40426

Не используется

Да

pcAnywhere

22,5631,5632,65301

22, 5632

Нет

ReachOut

43188

Нет

Нет

Remotely Anywhere

2000, 2001

Нет

Да

Remotely

799, 800

800

Да

Possible/ControllT




Timbuktu

407

407

Нет

VNC

5800, 5801

Нет

Да

Windows Terminal Server

3389

3389

Нет

NetMeeting Remote Desktop Control

49608, 49609

49608, 49609

Нет

Citrix ICA

1494

1494

Нет

<


Начало  Назад  Вперед



Книжный магазин