回帖：doly trojan开放1011端口。





端口：1024


服务：reserved


说明：它是动态端口的开始，许多程序并不在乎用哪个端口连接网络，它们请





求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是





说第一个向系统发出请求的会分配到1024端口。你可以重启机器，打开telnet





，再打开一个窗口运行natstat －a 将会看到telnet被分配1024端口。还有sql





session也用此端口和5000端口。





端口：1025、1033


服务：1025：network blackjack 1033：【null】


说明：木马netspy开放这2个端口。





端口：1080


服务：socks


说明：这一协议以通道方式穿过防火墙，允许防火墙后面的人通过一个ip地址





访问internet。理论上它应该只允许内部的通信向外到达internet。但是由于





错误的配置，它会允许位于防火墙外部的攻击穿过防火墙。wingate常会发生这





种错误，在加入irc聊天室时常会看到这种情况。


端口：1170


服务：【null】


说明：木马streaming audio trojan、psyber stream server、voice开放此端





口。





端口：1234、1243、6711、6776


服务：【null】


说明：木马subseven2.0、ultors trojan开放1234、6776端口。木马





subseven1.0/1.9开放1243、6711、6776端口。





端口：1245


服务：【null】


说明：木马vodoo开放此端口。





端口：1433


服务：sql


说明：microsoft的sql服务开放的端口。





端口：1492


服务：stone－design－1


说明：木马ftp99cmp开放此端口。





端口：1500


服务：rpc client fixed port session queries


说明：rpc客户固定端口会话查询





端口：1503


服务：netmeeting t.120


说明：netmeeting t.120





端口：1524


服务：ingress


说明：许多攻击脚本将安装一个后门shell于这个端口，尤其是针对sun系统中





sendmail和rpc服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连





接企图，很可能是上述原因。可以试试telnet到用户的计算机上的这个端口，





看看它是否会给你一个shell。连接到600/pcserver也存在这个问题。





端口：1600


服务：issd


说明：木马shivka－burka开放此端口。





端口：1720


服务：netmeeting


说明：netmeeting h.233 call setup。





端口：1731


服务：netmeeting audio call control


说明：netmeeting音频调用控制。





端口：1807


服务：【null】


说明：木马spysender开放此端口。





端口：1981


服务：【null】


说明：木马shockrave开放此端口。





端口：1999


服务：cisco identification port


说明：木马backdoor开放此端口。





端口：2000


服务：【null】


说明：木马girlfriend 1.3、millenium 1.0开放此端口。





端口：2001


服务：【null】


说明：木马millenium 1.0、trojan cow开放此端口。





端口：2023


服务：xinuexpansion 4


说明：木马pass ripper开放此端口。





端口：2049


服务：nfs


说明：nfs程序常运行于这个端口。通常需要访问portmapper查询这个服务运行





于哪个端口。





端口：2115


服务：【null】


说明：木马bugs开放此端口。





端口：2140、3150


服务：【null】


说明：木马deep throat 1.0/3.0开放此端口。





端口：2500


服务：rpc client using a fixed port session replication


说明：应用固定端口会话复制的rpc客户





端口：2583


服务：【null】


说明：木马wincrash 2.0开放此端口。





端口：2801


服务：【null】


说明：木马phineas phucker开放此端口。





端口：3024、4092


服务：【null】


说明：木马wincrash开放此端口。





端口：3128


服务：squid


说明：这是squid http代理服务器的默认端口。攻击者扫描这个端口是为了搜





寻一个代理服务器而匿名访问internet。也会看到搜索其他代理服务器的端口





8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室





。其他用户也会检验这个端口以确定用户的机器是否支持代理。





端口：3129


服务：【null】


说明：木马master paradise开放此端口。





端口：3150


服务：【null】


说明：木马the invasor开放此端口。





端口：3210、4321


服务：【null】


说明：木马schoolbus开放此端口





端口：3333


服务：dec－notes


说明：木马prosiak开放此端口





端口：3389


服务：超级终端


说明：windows 2000终端开放此端口。





端口：3700


服务：【null】


说明：