Иллюстрированный самоучитель по Secure Web
Из приведенного листинга видно, что
224 OUTLOOK UDP 1106
224 OUTLOOK UDP 0
245 MAPISP32 UDP 0
266 nc TCP 2222
Из приведенного листинга видно, что порт с номером 2222 прослушивается утилитой netcat. А при использовании программы netstat можно было бы узнать только номер прослушиваемого порта.
Для сканирования больших сетей и поиска программ прослушивания лучше всего использовать программы-сканеры портов или сетевые средства, которые обсуждались в главе 2.
Какой бы метод обнаружения прослушиваемых портов не использовался, его результат будет довольно трудно интерпретировать, если вы не знаете, что именно нужно найти. В табл. 14.1 приведен перечень наиболее красноречивых признаков наличия программного обеспечения удаленного управления.
Если на каком-либо узле обнаружено прослушивание приведенных в таблице портов, то это верный признак того, что он подвергся нападению либо по злому умыслу хакера либо из-за неосторожности самого администратора. Следует проявлять бдительность также и по отношению к другим портам, которые на первый взгляд кажутся обычными. Во многих из перечисленных средств можно изменять номер прослушиваемого порта (см. таблицу). Чтобы убедиться, что доступ к этим портам из Internet ограничен, нужно использовать устройства обеспечения безопасности на границе сети.
Удаление подозрительных процессов
Еще одна возможность выявления "потайного хода" заключается в проверке списка процессов на наличие в нем таких исполняемых файлов, как nc, WinVNC. exe и т.д. Для этого в системе NT можно использовать утилиту pulist из набора NTRK, которая выводит все запущенные процессы, или sclist, показывающую работающие службы.
Таблица 14.1. Номера портов, используемые программами и удаленного управления при создании "потайных ходов"
"Потайной ход" | Порт TCP, используемый по умолчанию | Порт UDP, используемый по умолчанию | Возможность использования альтернативных портов |
Remote.exe | 135-139 | 135-139 | Нет |
Netcat | Любой | Любой | Да |
Loki | Не используется | Не используется | Не используется |
Реверсивный telnet-сеанс | Любой | Не используется | Да |
Back Orifice | Не используется | 31337 | Да |
Back Orifice 2000 | 54320 | 54321 | Да |
NetBus | 12345 | Не используется | Да |
Masters Paradise | 40421,40422,40426 | Не используется | Да |
pcAnywhere | 22,5631,5632,65301 | 22, 5632 | Нет |
ReachOut | 43188 | Нет | Нет |
Remotely Anywhere | 2000, 2001 | Нет | Да |
Remotely | 799, 800 | 800 | Да |
Possible/ControllT | |||
Timbuktu | 407 | 407 | Нет |
VNC | 5800, 5801 | Нет | Да |
Windows Terminal Server | 3389 | 3389 | Нет |
NetMeeting Remote Desktop Control | 49608, 49609 | 49608, 49609 | Нет |
Citrix ICA | 1494 | 1494 | Нет |
