防火牆埠（下）（轉載）

－－接上轉載－－

1524 ingreslock 後門許多攻擊指令碼將安裝一個後門Shell於這個埠（尤其是那些針對Sun系統中sendmail和RPC服務漏洞的指令碼，如statd, ttdbserver和cmsd）。如果你剛剛安裝了你的防火牆就看到在這個埠上的連線企圖，很可能是上述原因。你可以試試Telnet到你的機器上的 這個埠，看看它是否會給你一個Shell。連線到600/pcserver也存在這個問題。

2049 NFS NFS程式常執行於這個埠。通常需要訪問portmapper查詢這個服務執行於哪個埠，但是大部分情況是安裝後NFS執行於這個埠，Hacker/Cracker因而可以閉開portmapper直接測試這個埠。

3128 squid 這是Squid HTTP代理伺服器的預設埠。攻擊者掃描這個埠是為了搜尋一個代理伺服器而匿名訪問Internet。你也會看到搜尋其它代理伺服器的埠： 8000/8001/8080/8888。掃描這一埠的另一原因是：使用者正在進入聊天室。其它使用者（或伺服器本身）也會檢驗這個埠以確定使用者的機器是 否支援代理。

[@more@]5632 pcAnywere 你會看到很多這個埠的掃描，這依賴於你所在的位置。當使用者開啟pcAnywere時，它會自動掃描區域網C類網以尋找可能得代理（譯者：指agent而 不是proxy）。Hacker/cracker也會尋找開放這種服務的機器，所以應該檢視這種掃描的源地址。一些搜尋pcAnywere的掃描常包含端 口22的UDP資料包。

6776 Sub-7 artifact 這個埠是從Sub-7主埠分離出來的用於傳送資料的埠。例如當控制者透過電話線控制另一臺機器，而被控機器結束通話時你將會看到這種情況。因此當另一人 以此IP撥入時，他們將會看到持續的，在這個埠的連線企圖。（譯者：即看到防火牆報告這一埠的連線企圖時，並不表示你已被Sub-7控制。）

6970 RealAudio RealAudio客戶將從伺服器的6970-7170的UDP埠接收音訊資料流。這是由TCP7070埠外向控制連線設定的。

13223 PowWow PowWow 是Tribal Voice的聊天程式。它允許使用者在此埠開啟私人聊天的連線。這一程式對於建立連線非常具有“進攻性”。它會“駐紮”在這一TCP埠等待回應。這造成 類似心跳間隔的連線企圖。如果你是一個撥號使用者，從另一個聊天者手中“繼承”了IP地址這種情況就會發生：好象很多不同的人在測試這一埠。這一協議使用 “OPNG”作為其連線企圖的前四個位元組。

17027 Conducent 這是一個外向連線。這是由於公司內部有人安裝了帶有Conducent "adbot" 的共享軟體。Conducent "adbot"是為共享軟體顯示廣告服務的。使用這種服務的一種流行的軟體是Pkware。有人試驗：阻斷這一外向連線不會有任何問題，但是封掉IP地址 本身將會導致adbots持續在每秒內試圖連線多次而導致連線過載：機器會不斷試圖解析DNS名—ads.conducent.com，即 IP地址216.33.210.40 ；216.33.199.77 ；216.33.199.80 ；216.33.199.81；216.33.210.41。（譯者：不知NetAnts使用的Radiate是否也有這種現象）

27374 Sub-7木馬(TCP)

30100 NetSphere木馬(TCP) 通常這一埠的掃描是為了尋找中了NetSphere木馬。

31337 Back Orifice “elite” Hacker中31337讀做“elite”/ei’li:t/（譯者：法語，譯為中堅力量，精華。即3=E, 1=L, 7=T）。因此許多後門程式執行於這一埠。其中最有名的是Back Orifice。曾經一段時間內這是Internet上最常見的掃描。現在它的流行越來越少，其它的木馬程式越來越流行。

31789 Hack-a-tack 這一埠的UDP通訊通常是由於"Hack-a-tack"遠端訪問木馬（RAT, Remote Access Trojan）。這種木馬包含內建的31790埠掃描器，因此任何31789埠到317890埠的連線意味著已經有這種入侵。（31789埠是控 制連線，317890埠是檔案傳輸連線）

32770~32900 RPC服務 Sun Solaris的RPC服務在這一範圍內。詳細的說：早期版本的Solaris（2.5.1之前）將portmapper置於這一範圍內，即使低埠被防 火牆封閉仍然允許Hacker/cracker訪問這一埠。掃描這一範圍內的埠不是為了尋找portmapper，就是為了尋找可被攻擊的已知的 RPC服務。