Numer portu Usługa Opis 21 FTP Aktywność na porcie 21/TCP jest

Numer portu Usługa Opis 21 FTP Aktywność na porcie 21/TCP jest

Numer
Usługa
portu
21
22
23
25
42
53
79
80
110
111
113
Opis
Aktywność na porcie 21/TCP jest często związana z poszukiwaniem anonimowych serwerów FTP (File
Transfer Protocol). Serwery takie często pozwalają na anonimowe zapisanie i odczytanie danych, stąd są
atrakcyjnym celem dla osób szukających miejsc do przechowywania nielegalnego oprogramowania. W
FTP
przeszłości w wielu implementacjach FTP znajdowano poważne luki, takie jak przepełnienia bufora,
umożliwiające uzyskanie uprawnień administratora. Skanowanie może mieć na celu zidentyfikowanie (lub od
razu wykorzystanie) potencjalnie dziurawej wersji serwera FTP.
Port 22/TCP jest najczęściej kojarzony z usługą SSH (Secure Shell). SSH umożliwia zdalną, bezpieczną
(dzięki szyfrowaniu transmisji) pracę, przede wszystkim na systemach Unix. Jednak w przypadku wielu
implementacji, w serwerach SSH (lub w bibliotekach, z których SSH korzysta, w szczególności OpenSSL)
SSH
znajdowano luki umożliwiające zdalne uzyskanie uprawnienia root. Ze względu na powyższe oraz fakt, że
często SSH jest jedyną zdalnie udostępnianą usługą, port 22/TCP stał się jednym z popularniejszych celów
ataku.
Na porcie 23/TCP znajduje się usługa telnet, umożliwiająca zdalną pracę. Ponieważ telnet przesyła dane w
sposób jawny, narażając je na podsłuch, usługa ta uznawana jest za niebezpieczną i często zastępowana jest
przez SSH. Pomimo tego, wiele dystrybucji systemu Unix ma serwer telnet domyślnie włączony. Bardzo
TELNET często za pomocą telnet zarządzane są także routery i switche. Skanowanie portu 23/TCP może oznaczać
próbę identyfikacji systemu operacyjnego, gdyż większość systemów przedstawia się swoim
charakterystycznym bannerem. W przeszłości w serwerach telnet znajdowano także luki umożliwiające
zdalne uzyskanie uprawnienia administratora systemu (root)
Skanowanie portu 25/TCP jest często wykonywane przez spamerów, szukających otwartych serwerów
pocztowych, które można wykorzystać do rozsyłania spamu. Serwery pocztowe, w szczególności sendmail,
w przeszłości słynęły z licznych luk umożliwiających zdalne uzyskanie uprawnień administratora systemu
SMTP (root). Chociaż publikowanych luk jest obecnie niewiele, w dalszym ciągu się zdarzają. SMTP
wykorzystywano także do rozpoznania użytkowników systemu (za pomocą poleceń vrfy i expn), co
umożliwiało w następstwie wykonanie prostego ataku słownikowego na konta użytkowników, na przykład za
pomocą usługi telnet. Przez pocztę elektroniczną propaguje się też wiele wirusów i robaków.
Skanowanie portu 42/TCP ma związek z wykrytą luką w usłudze WINS (Microsoft Windows). Exploit na
WINS
lukę został opublikowany w sieci. Usługa WINS nie występuje w standardowej instalacji systemu Windows.
DNS (Domain Name System) jest systemem rozwiązywania nazw i jednym z podstawowych protokołów
internetowych. Za pomocą DNS odwzorowywane są nazwy DNS na numery IP i odwrotnie. Skanowanie
portu 53/UDP może być próbą uzyskania wersji serwera DNS lub próbą włamania (w przeszłości w
DNS
implementacjach serwerów DNS, w szczególności ISC BIND, znajdowano wiele luk). Z kolei zapytania na
port 53/TCP mogą oznaczać próby przeprowadzenia transferu strefy, co umożliwiłoby uzyskanie adresów i
nazw DNS wszystkich komputerów w domenie.
Na porcie 79/TCP tradycyjnie rezyduje usługa finger. Za pomocą tej usługi można uzyskać informacje o
użytkownikach systemu, a także o systemie operacyjnym. Usługę tę można też często wykorzystać w
FINGER charakterze pośrednika do wysyłania zapytań finger do innych systemów. W serwerze finger znajdowano też
luki umożliwiające uzyskanie zdalnego dostępu do systemu. Słynny robak Internet Worm w 1988
wykorzystywał między innymi usługę finger do propagacji.
Na porcie 80/TCP rezyduje serwer HTTP. Serwery HTTP tworzą globalną sieć WWW. Serwery WWW są
jednym z najpopularniejszych celów ataków. Często zawierają luki umożliwiające zdalne wykonanie
dowolnego kodu z przywilejami użytkownika, z którego prawami uruchomiony jest serwer. Luki te znajdują
HTTP się zarówno na poziomie implementacji samego serwera jak i na poziomie udostępnianych przez nie
rozmaitych skryptów (na przykład CGI lub PHP) oraz baz danych. Popularność serwerów WWW i ich
podatność na ataki spowodowała, że są częstym celem rozmaitych robaków sieciowych. Do tej grupy
robaków należą między innymi słynne CodeRed, Nimda oraz Welchia/Nachi.
POP3 jest wykorzystywany przez klientów do uzyskiwania zdalnego dostępu do skrzynki pocztowej. W
serwerach POP3 znajdowano wiele luk (między innymi przepełnienia bufora) umożliwiających uzyskanie
dostępu do systemu z różnym poziomem uprawnień. Wykorzystanie części z tych luk jest możliwe bez
POP3
wcześniejszego uwierzytelnienia. W przeszłości skanowanie portu 110/TCP było bardzo częste. W chwili
obecnej jest rzadziej spotykane. Niewykluczone jednak, że w przypadku wykrycia poważnej luki w
popularniejszej aplikacji, port ten stanie sie częstszym obiektem ataku.
Zapytania na port 111 mogą być próbą uzyskania, za pośrednictwem usługi portmap, listy udostępnianych
usług RPC, takich jak rpc.mountd, NFS, rpc.statd itp. W przypadku uzyskania adresu (portu) poszukiwanej
portmap usługi, atakujący może następnie spróbować włamać się poprzez bezpośrednie odwołanie do udostępnianej
usługi. Usługi RPC mają bardzo długą historie luk i powinny być zawsze blokowane na poziomie systemów
firewall.
Ident służy do zdalnej identyfikacji właściciela procesu, które nawiązało połączenie TCP. Wykorzystywany
jest przede wszystkim przez serwery IRC, ale czasami także przez serwery FTP, SMTP lub POP. Zapytania
identd
na ten port są zazwyczaj wysyłane w odpowiedzi na połączenie z serwisem zewnętrznym. Skanowanie portu
113 zdarza się rzadko. Pojawienie się informacji o zablokowaniu przez firewall pakietu skierowanego na port
119
NNTP
135
locsrv/epmap
137
NetBIOS
name
service
(nbtstat)
139
NetBIOS
file
sharing
143
IMAP
161
SNMP
443
https
445
microsoftds
515
lp printer
554
RTSP
901
SambaSWAT
1023
113 oznacza zazwyczaj, że ktoś z naszej sieci łączył się z serwerem wykorzystującym usługę ident do
lepszego logowania bądź kontroli dostępu.
Na porcie 119/TCP często rezyduje serwer NNTP. Serwery NNTP tworzą sieć USENET (listy dyskusyjne).
Skanowania tego portu są rzadko spotykane. Kiedy następują, są zazwyczaj próbami znalezienia otwartych
serwerów NNTP, które mogą być wykorzystywane do anonimowego wysyłania wiadomośći i/lub do
wysyłania spamu.
Na porcie 135/TCP znajduję się usługa Microsoft RPC Endpoint Mapper. Pełni ona podobne funkcje, co
usługa portmap na porcie 111 dla systemów Unix. W 2003 roku w Microsoft RPC znaleziono poważne luki,
umożliwiające zdalne wykonywanie dowolnego kodu z uprawnieniami systemu. Jedna z tych luk stała się
podstawą wielu robaków, z których najbardziej znane to robaki Blaster oraz Nachi/Welchia. Większość prób
wykorzystania luk na tym porcie wykonywana jest przez wyżej wymienione robaki i ich mutacje oraz trojana
Agobot/Phatbot. Przed pojawieniem się wspomnianych robaków, skanowanie portu było popularne ze
względu na możliwość sprawdzenia, jakie usługi są świadczone przez dany system Windows. Port 135/UDP
jest też często wykorzystywany do wysyłania komunikatów typu winpopup przez Windows Messenger
Service (WMS - w polskiej wersji językowej Windows serwis znany jako usługa Posłaniec), co czyni ten port
celem ataku spamerów. W związku z tym, że port 135 jest często blokowany przez operatorów
internetowych, część spamerów przerzuciło się na porty 1025-1028, pod którymi usługa WMS jest często
bezpośrednio dostępna.
Na porcie 137 znajduje się usługa nbtstat, która służy (przede wszystkim systemom Windows) do translacji
adresów IP na nazwy NetBIOS. Kiedy stacja Windows rozwiązuje nazwy, może wysłać pakiet UDP na ten
port. Duża część takich pakietów (blokowanych na systemach firewall) nie ma związku z próbami ataku.
Odwołania na port 137/UDP mogą mieć też związek z robakami szukającymi otwartych zasobów Windows
(port 139/TCP) bądź być próbą zebrania jak największej informacji o systemie przez atakującego.
Za pośrednictwem protokołu SMB (Server Message Block) dzielone są zasoby Windows. SMB jest bardzo
użyteczną funkcją sytemu Windows, jednak jej niewłaściwa konfiguracja może narazić system na włamanie.
Odwołanie do zasobów SMB może się odbywać poprzez NetBIOS. W tej sytuacji wysyłane są pakiety na
port 139/TCP. Ponieważ zasoby Windows stanowią atrakcyjny cel, włamywacze często skanują port
139/TCP w poszukiwaniu zasobów. Istnieją również robaki sieciowe, które wykorzystują ten port do
propagacji. W sambie, która jest implementacją protokołu SMB dla systemów różnych od Windows, wykryto
podatności pozwalające na przepełnienie stosu i zdalne wykonanie instrukcji z prawami root.
Protokół IMAP4 jest wykorzystywany do zdalnego dostępu do skrzynki pocztowej. Serwer IMAP4 rezyduje
zazwyczaj na porcie 143/TCP. W serwerach IMAP4 znajdowano wiele luk, w tym umożliwiających zdalne
wykonywanie kodu z przywilejami administratora systemu. W związku z tym, port ten stał się również celem
ataków robaków, między innymi robaka admw0rm atakującego systemy Linux.
Protokół SNMP (Simple Network Management Protocol) służy do zdalnego zarządzania urządzeniami
sieciowymi. Agent SNMP nasłuchuje na porcie 161/UDP. Port ten jest skanowany, gdyż bardzo często hasła
SNMP (tzw. community names) umożliwiające odczytanie bądź zmianę konfiguracji urządzenia, na którym
uruchomiony jest agent, są łatwe do odgadnięcia. Znaleziono też wiele luk w implementacjach SNMP.
Skanowanie portu 161/UDP może być próbą wykorzystania tych luk.
Na porcie 443/TCP często nasłuchują serwery HTTP. Na ten port kierowany jest ruch HTTP wzbogacony o
SSL (Secure Sockets Layer). Protokół HTTPS umożliwia klientom zestawienie bezpiecznego połączenia z
serwerem WWW. Jednak luki na poziomie serwera WWW są często takie same, niezależne od tego czy
serwer nasłuchuje ruch HTTPS na porcie 443 czy też HTTP na porcie 80. Dodatkowo, istnieje wiele luk
związanych z bibliotekami SSL (w szczególności OpenSSL). W 2002 roku robak Slapper atakował serwery
HTTPS na Linuksie, wykorzystując lukę przepełnienie bufora w implementacji OpenSSL.
Począwszy od Windows 2000, Microsoft udostępnił możliwość uruchamiania SMB (Server Message Block)
bezpośrednio po TCP. Usługę zaimplementowano na porcie 445/TCP. W związku z tym, port 445/TCP jest
często skanowany w poszukiwaniu otwartych zasobów sieciowych Windows. Port jest często atakowany
przez robaki, które usiłują złamać hasła administratora za pomocą ataku słownikowego w celu uzyskania
dostępu do zasobów sieciowych Windows. Jednym z bardziej znanych robaków tego typu był Deloder.
Podobne ataki czynione są za pomocą rozproszonych botnetów. Z kolei słynny robak Sasser wykorzystywał
przepełnienie bufora w LSASS za pośrednictwem tego portu.
Na porcie 515/TCP często można spotkać daemona lp (zarządza drukowaniem). Z usługą tą związanych jest
wiele luk. Robak Ramen wykorzystywał lukę na tym porcie w systemach Linux.
Port 554/TCP kojarzony jest z usługą Real Time Streaming Protocol. W 2003 roku opublikowano kilka
informacji o lukach związanych z RealNetworks Helix Universal RTSP Server (oprogramowanie dostępne
jest zarówno pod systemy Windows jak i Unix). Umożliwiały one zdalne wykonanie dowolnego kodu na
systemie z serwerem RTSP z przywilejami użytkownika uruchamiającego serwer. Skanowanie może być
próbą wykorzystania tych luk.
901/TCP jest jednym z portów zarządzających sensorami RealSecure. Kojarzony jest również z Samba Web
Administration Tool. W 2003 roku pojawiły się regularne skanowania tego portu. Przypuszczalnie jednak,
mają związek z trojanem NetDevil, który także nasłuchuje na tym porcie.
Skanowanie na port 1023 może mieć związek z próbami odnalezienia serwera FTP, który jest uruchamiany
przez robaka W32.Sasser.E.
1025
1026
1027
1028
WMS
1080
SOCKS
1433 MS SQL
1434
MS SQL
service
discovery
1243 SubSeven
1524
2049
2100
2967
2968
3127
3128
3306
NFS
1025 jest portem efemerycznym, często przydzielany aplikacjom klienckim. Czasem jednak przydzielany jest
też innym usługom. Przez port 1025/TCP wykorzystywane są też luki RPC na systemach Windows (robak
Agobot/Phatbot).
1026 jest portem efemerycznym, często przydzielany aplikacjom klienckim. Skanowanie TCP na ten port
może być próbą odnalezienia zainfekowanych hostów przez konie trojańskie Backdoor.Padonock,
PWSteal.ABCHlp. Skanowanie UDP ma prawdopodobnie związek z usługa Windows Messenger Service,
która często nasłuchuje na tym porcie i jest wykorzystywana przez spamerów.
1027 jest portem efemerycznym, często przydzielany aplikacjom klienckim. Skanowanie TCP na ten port
może być próbą odnalezienia zainfekowanych hostów przez konie trojańskie Backdoor.Padonock,
PWSteal.ABCHlp. Skanowanie UDP ma prawdopodobnie związek z usługa Windows Messenger Service,
która często nasłuchuje na tym porcie i jest wykorzystywana przez spamerów.
Patrz opis portu 1027.
Na porcie 1080/TCP znajduję się usługa SOCKS, umożliwiająca tunelowanie różnych protokołów przez
systemy firewall. Źle skonfigurowane proxy SOCKS przyjmują nieuwierzytelnione połączenia z zewnątrz. W
ten sposób mogą zostać wykorzystane do maskowania swojego rzeczywistego źródła połączenia. Obecność
SOCKS proxy jest często sprawdzana przez serwery IRC, w celu redukcji możliwych nadużyć.
Na porcie 1433/TCP rezyduje usługa Microsoft SQL Server. W serwerze tym znaleziono wiele luk
umożliwiających odczytywanie danych z bazy, jej modyfikacje, a także uzyskiwanie dostępu do systemu
operacyjnego. Robak MS SQLsnake w dalszym ciągu włamuje się do wielu instalacji MS SQL Server
zainstalowanych z pustym hasłem (co jest cechą instalacji domyślnej), za pośrednictwem tego portu.
MS SQL wykorzystuje port 1434/UDP do wyszukiwania usług SQL w sieci lokalnej. W serwerze tym
znaleziono wiele luk. Słynny robak SQL Slammer wykorzystał przepełnienie bufora na tym porcie.
Większość zapytań na ten port w dalszym ciągu pochodzi od tego robaka.
Z portem 1243 (a także 27374) kojarzony jest słynny koń trojański SubSeven. Trojan ten umożliwia między
innymi pełne zdalne przejęcie kontroli nad zainfekowanym komputerem. Skanowanie na ten port jest próbą
odszukania komputerów z wyżej wymienionym koniem trojańskim.
Skanowanie na ten port może być próbą odnalezienia zainfekowanych hostów przez konia trojańskiego
Trinoo.
Serwer NFS (Network File System) często nasłuchuje na tym porcie. Chociaż nie są znane żadne robaki
wykorzystujące ten port, niepoprawnie skonfigurowany serwer NFS może być wykorzystany do włamania.
ORACLE
Skanowanie na port 2100/TCP może mieć związek z próbami wykorzystania luk w serwerze FTP Oracle.
FTP
Na porcie 2967/TCP w Symantec AntiVirus 10.x oraz Symantec Client Security 3.x udostępniany jest serwer
zdalnego dostępu. Chociaż ruch na tym porcie jest zazwyczaj szyfrowany przez SSL, akceptowane są
również zapytania nieszyfrowane. Implementacja jednego z nieszyfrowanych poleceń
(COM_FORWARD_LOG, id 0x24) zawiera nieprawidłowe użycie funkcji strncat. Błąd umożliwia
ssc-agent przepełnienie bufora i wstrzyknięcie do aplikacji kodu, który zostanie wykonany z uprawnieniami
systemowymi. Robaki wykorzystujące podatność: W32.Rinbot.BF, W32.Sagevo, W32.Spybot.ANOO.
Podstawową metodą zabezpieczenia systemu przed zautomatyzowanym atakiem jest zmiana portu serwera w
rejestrze Windows:
"HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LANDesk\VirusProtect6\CurrentVersion\AgentIPPort".
Port 2968/TCP jest wykorzystywany do udostępniania zdalnego dostępu w serwerach NetWare. Połączenia
na ten port mogą być próbami wykorzystania podatności w Symantec AntiVitus 10.x oraz Symantec Client
Security 3.x umożliwiającej przepełnienie bufora i wykonanie wstrzykniętego kodu (patrz port 2967).
Port 3127 jest otwierany w charakterze tylnej furtki przez wirusa MyDoom. Wirus
MyDoom(W32.Mydoom.K@mm) jest przekazywany jako załącznik z rozszerzeniem pif, scr, exe, cmd, bat
lub zip do wiadomości e-mail. Wirus MyDoom został rozpropagowany tą drogą na wiele maszyn. Port 3127
jest często skanowany, ponieważ wiele robaków stara sie zainfekować komputery zarażone przez MyDoom.
Do najważniejszych robaków wykorzystujących maszyny zarażone MyDoom należą W32.Mockbot.A.Worm,
W32.Welchia.D.Worm oraz W32.Welchia.K.
Standardowy port wykorzystywany przez oprogramowanie squid (HTTP proxy). Skanowanie na ten port jest
zazwyczaj próbą znalezienia otwartych serwerów proxy w celu ukrycia przez atakującego swojej tożsamości.
HTTP proxy można często również spotkać na portach 8000, 8001, 8080 i 8888. Czasami źródłem połączeń
squid
na te porty są serwery IRC i podobne, próbujące w ten sposób ograniczać nadużycia spowodowane za
pośrednictwem otwartych serwerów proxy. Port ten jest też otwierany w charakterze tylnej furtki przez
wirusa W32.Mydoom.B@mm(patrz opis portu 3127).
Skanowanie portu 3306/TCP może być przeprowadzane przez robaka W32.Spybot.IVQ. Robak
W32.Spybot.IVQ propaguje się atakując serwery MySQL oraz Microsoft SQL za pomocą prostego słownika,
próbuje metodą brute-force uzyskać dostęp do baz. Szczególnie narażone na atak są więc konfiguracje ze
słabym hasłem. Port 3306 jest również wykorzystywany przez konia trojańskiego Backdoor.Nemog.D, który
ma statycznie wprowadzoną listę adresów IP oraz listę portów, na które wykonuje połączenia. Port 3306/TCP
znajduje się na tej liście. Ostatnio port 3306 jest używany również przez klony emule oraz edonkey.
3389
3410
4000
4128
4444
4899
5554
6101
6129
6662
8555
9898
10000
15118
27374
41523
Port 3389 jest kojarzony z Microsoft Terminal Services. Serwer usługi ma lukę, która uniemożliwia mu
ms-termwymuszenie szyfrowanego połączenia. W efekcie pozwala to na podsłuchanie sesji RDP i atak typu "man-inservices
the-middle".
Port 3410 jest wykorzystywany przez trojana Backdoor.Optix.Pro do otwarcia tylnej furtki. Trojan
backdoor Backdoor.Optix.Pro jest aplikacją napisaną w Delphi i daje intruzowi nieautoryzowany dostęp do
optix zainfekowanego komputera. Skanowania na ten port pojawiają się od czasu do czasu, i mogą mieć związek z
próbami odszukania zarażonych komputerów.
Skanowanie na port 4000 może mieć związek z próbami odnalezienia trojanów bądź źle skonfigurowanych
aplikacji do zdalnego zarządzania. Koń trojański Trojan.Peacomm używa portu 4000/UDP do utworzenia
szyfrowanego kanału komunikacji(rownież porty 7871 oraz 11271). Trojan.Peacomm jest propagowany w
załącznikach poczty elektronicznej.
Port 4128 jest otwierany przez konia trojańskiego Backdoor.RCServ. Zainfekowanie komputera umożliwia
intruzowi nieautoryzowany dostęp do maszyny. Do groźnych działań podejmowanych przez zarażone
komputery należą otwieranie serwera FTP oraz uczestnictwo w atakach DoS.
Port 4444 jest przypisany standardowo do usługi Kerberos. Zwiększona liczba prób połączeń na ten port
może być związana z luką w bibliotece HLINK.DLL systemu Windows. Błąd polega na niewłaściwym
sprawdzaniu rozmiaru danych wprowadzonych przez użytkownika przed kopiowaniem ich do bufora.
Wykorzystanie błędu pozwala intruzowi na wstrzyknięcie kodu i wykonanie go w kontekście aplikacji
używającej biblioteki HLINK.DLL. Podatność jest wykorzystywana przez konia trojańskiego Trojan.Hlinic,
który otwiera tylne drzwi na porcie 4444, pozwalając na zdalny dostęp do skompromitowanego systemu. Na
porcie 4444 tylne drzwi otwierają również: Reidana(patrz opis portu 139) oraz Blaster (patrz opis portu 135).
Port kojarzony z aplikacją do zdalnego zarządzania, Remote Administrator. Skanowanie tego portu może być
radmin związane z próbami znalezienia luk w tym oprogramowaniu. Robak W32.Rahack propaguje się poprzez
usługę Radmin wykorzystując słabe hasła ustawione na serwerze.
Port 5554 jest wykorzystywany przez robaka W32.Sasser.B.Worm (i jego pochodne) do otwarcia serwera
FTP. FTP na tym porcie służy do przesyłania robaka na kolejne hosty. Skanowanie portu 5554
przeprowadzane jest zazwyczaj przez W32.Dabber. Robak szuka serwera FTP otwieranego przez
W32.Sasser, w którym znajduje się luka umożliwiająca uzyskanie dostępu do komputera.
Skanowanie portu 6101/TCP ma związek z wykrytą luką w Veritas Backup Exec 8.x/9.x. Luka jest
wykorzystywana przez W32.Spybot.ANOO, który oprócz otwarcia tylnej furtki w systemie zapisuje również
sekwencje klawiszy wpisywanych na niektórych stronach WWW (np. PayPal, e-Bay).
Port kojarzony z aplikacją do zdalnego zarządzania, Windows DameWare Mini Remote Control (rezyduje na
porcie 6129/TCP). Skanowanie na ten port po raz pierwszy zauważono około 20 grudnia 2003 roku. Ma to
dameware prawdopodobnie związek z opublikowaną kilka dni wcześniej luką przepełnienia bufora w tej aplikacji.
Wykorzystanie luki zostało dodane do robaka W32.Mockbot.A.Worm. W32.Mockbot łączy się z
predefiniowanym kanałem IRC, na którym oczekuje na polecenia do wykonania.
radmind jest narzędziem linii poleceń służącym do zdalnej administracji systemami plików na kilku
radmind maszynach uniksowych jednocześnie. Zwiększony ruch na tym porcie może wskazywać na poszukiwanie luk
w tym programie.
Na porcie 8555 działa usługa Cisco Unified CallManager. W produkcie tym zostało wykrytych i
udokumentowanych wiele błędów umożliwiających eskalację uprawnień (błąd CSCse11005), nieuprawnione
Cisco nadpisywanie plików (błąd CSCse31704) oraz przepełnienie bufora (błąd CSCsd96542). Opisane luki
Tomcat umożliwiają wstrzyknięcie i wykonanie kodu na skompromitowanej maszynie. Do tej pory nie zostały
zarejestrowane żadne robaki wykorzystujące podatności CallManager'a. Zwiększony ruch na tym porcie
oznacza, iż w najbliższym czasie może pojawić się exploit.
Port 9898/TCP jest otwierany przez robaka W32.Dabber (patrz port 5554) do pozostawienia tylnej furtki,
która może zostać wykorzystana do zdalnego uruchamiania programów. Również koń trojański
Backdoor.Crashcool używa tego portu do odbierania poleceń od intruza.
Skanowanie na port 10000/TCP może mieć związek z szukaniem dziurawych wersji oprogramowania Veritas
Backup Exec. Port jest również wykorzystywany przez robaka W32.Dumaru do otwarcia tylnej furtki.
Skanowanie na port 15118 przeprowadzane jest przez robaka Dipnet (lub Oddbob) i ma związek z próbami
sprawdzenia, czy zdalny komputer jest już zinfekowany przez tego robaka internetowego. Dipnet nim
zaatakuje zdalny host, próbuje połączyć się do niego na port 11768 lub 15118 i wysyła ciąg
"__123_asdasdfdjhsdf_SAFasdfhjsdf_fsd123". Jeżeli host jest już zainfekowany przez Dipnet, odpowie
ciągiem "__1asdfasdFasdfhjsdf_fsd1092381-029348723-1AAA3" , a następnie zakończy połączenie. Ta
"wymiana" zapobiega ponownej infekcji hosta.
Z portem 27374 (a także 1243) kojarzony jest słynny koń trojański SubSeven. Trojan ten umożliwia między
SubSeven innymi pełne zdalne przejęcie kontroli nad zainfekowanym komputerem. Skanowania tego portu mogą być
próbą odszukania komputerów z wyżej wymienionym koniem trojańskim.
Skanowanie na 41523/TCP może być próbą wyexploitowania luki w CA BrightStor Agent for Microsoft SQL
Server.