Hackers en poorten

[BiG_G]

Ik wordt nu zwaar aangevallen. Iemand probeert dus via 2 verschillende poorten binnen te komen:
4275
1361

Ik wist dat er een lijst bestaat waar alle poortnummers op staan en wat de functie is. Iemand een idee?

Ben wel nieuwsgierig nl...


(en als ie lang door blijft gaan... hack ik um ff terug )



G

 

[Kerstkonijn]

Jaja, bij www.weethet.nl staat een lijst met portnr's.

4275

4275 : niet specifiek gereserveerd

1361

1361 : TCP/UDP Linx (Linx)

 

[Black Tiger]

Port Number: 4275
TCP
vrml-multi-use

bron: http://www.auditmypc.com/port/tcp-port-4275.asp

In alle poort-gevallen geldt: google rulez.

 

[cornelis]

Poort 7900 wat is dit dan kan ik nergens vinden.

 

[BiG_G]

Ik vraag me dan toch af... wat kan je d'r mee... Niet echt poorten om een rootkit op te zetten lijkt me.
Edoch, zag daarnet dat ie weer een 5 tal aanvallen op een derde poort hebt geplaatst. Denk dat ik maandag (dan heb ik pas tijd, helaas) maar eens even ga kijken wat ie van plan was...




[SIZE=-8]Zou ik dat kunnen? [/SIZE]


G

 

[Black Tiger]

@cornelis: precies kan ik het ook niet vinden maar het blijkt een poort te zijn waar een bepaalde java applicatie gebruik van maakt.

@Big_G: tja waarom... da's de vraag. Al heel lang zie ik scans op poort 445 en daar kan ik me wel iets bij voorstellen.
Maar ook al heel lang zie ik scans op poort 1026 en 1027 en die twee poorten zijn nu ook niet direct zo vreselijk hackgevoelig.
Kan zijn dat er weer iets nieuws op zit. Dit soort veelvuldige scans wordt toch meestal gedaan door scriptkiddies die ergens iets gelezen hebben (soms zelfs over een local exploit) en dan gaan scannen als gekken om te zien of ze iets vinden kunnen. Geen rekening ermee houdende dat het bijv. om een local exploit gaat en je er remote dus niets mee kunt.

Soms zijn er ook nieuwe dingen die pas later bekend worden.

 

[BiG_G]

Ja, dat is het ook.
Vooral windows is zo'n exploit erg snel gevonden door scriptkiddies. Dat maakt de vraag voor mij intrigerender.

Iedereen kan zonder veel problemen erachter komen watvoor besturingssysteem er draait. En vanuit dat oogpunt ga je een exploit doen. Dwz, een normaal denkend persoon.
Dan rest mij de vraag; wat bezielt iemand om op een IPadres een serie van exploit's of scan van poorten of wat dan ook te doen, terwijl ie feitelijk niet eens bij m'n computer is, maar m'n hardware firewall die in volledige stealth modus draait.

Het lijkt me dat je eerder probeert om alle nieuwe exploits te gebruiken op poortje 80, de webserver ofzo... Kijk, dan zit je meteen op een server.


Naja... ik zal met het gratis tooltje Nmap maar eens aan de gang gaan...

Ik zal mijn bevindingen wel posten.


G

 

[Kerstkonijn]

Heb je bij duckfiles.org als eens gekeken wat er op poortje 80 allemaal te vinden is?

 

[Black Tiger]

Het lijkt me dat je eerder probeert om alle nieuwe exploits te gebruiken op poortje 80, de webserver ofzo... Kijk, dan zit je meteen op een server.

Hieraan, en aan datgene wat je je nog afvroeg kun je al afleiden dat het om scriptkiddies gaat.
Een beetje een echte kijkt, net zoals je zegt, eerst welk OS er op draait en aan de hand daarvan kijken wat de beste exploit is en niet zomaar wat zitten scannen.
Daarom lag ik me nog altijd een aap om die figuren die op poort 445 of 139 zitten te scannen op een linuxbak.
Maar goed, da's een tweede.

Ze zoeken het zich maar fijn uit, ik lig er al lang niet meer wakker van. Ik zie de raarste dingen in de logs voorbij komen, lijsten lang en ze hebben volgens mij niet eens in de gaten dat ze de firewall lopen scannen.

 

[D-SQUAD]

Maar ook al heel lang zie ik scans op poort 1026 en 1027 en die twee poorten zijn nu ook niet direct zo vreselijk hackgevoelig.
Kan zijn dat er weer iets nieuws op zit.

uhmzzzz jij maakt toch gebruik van Mirc ??
geloof dat standaard die porten gebruikt worden voor DCC
is niet echt gevaarlijk.
er dwalen wat warez bots rond die proberen te connecten op die porten om te kijken of je via dcc wat aan te bieden heb

 

[Black Tiger]

Neuh... is geen DCC. De DCC server zit op 5190 als ik het goed heb.
De gebruikte poorten zijn 1024-65535 of zoiets. Maar dat heb ik in mijn mirc verandert en eens flink beperkt.
Poort 1026 en 1027 worden hier niet gebruikt. Op poort 10000 zit er ook regelmatig eentje te scannen.
En ja, webmin draait bij mij ook, maar niet op poort 10000, daarnaast is hij geblokkeerd op basis van ip adres en kun je via root niet inloggen dus tja... gewoon prutsers die wat aan 't proberen zijn.

Wie weet, misschien komt er ooit wel eens een echte die de zaak ook hacked. Lig ik ook niet zo wakker van, er staat niets op die linuxbak.