端口(連接埠,Port)是外部與一台電腦或伺服器/服務器連接與傳輸數據的門戶,沒有端口的話數據就無法完成傳輸。為了保證數據傳輸成功,端口一般是長期開啓的。然而,黑客也可能通過端口對主機(電腦或伺服器)進行入侵。絕大多數的Linux或Windows主機都會擁有一些相同的端口以用於正常的數據傳輸。用戶若要查驗一台電腦或伺服器是否有被入侵的痕跡,可以通過查詢開放中的端口來判斷。 一般而言,除了最常見的端口與個別廠商生產的主機所擁有的特殊端口外,其它端口都是關閉的。一些黑客會在目標主機上開啓一些少見的端口來運作木馬或惡意程式。如果用戶在查驗的時候發現有一些奇怪的端口正被使用中,就有可能遭到黑客入侵了。 常見的主機端口有以下幾個: 21:FTP(File Transfer Protocol,文件傳輸協議) 22:SSH(Linux主機的SSH服務) 23:TELNET(遠端登錄協議) 25:SMTP(Simple Mail Transfer Protocol,簡單郵件傳輸協議) 53:DNS(Domain Name Server,域名伺服器,IP之間的相互對應) 80:HTTP(超文本傳輸協議) 110:POP3(電子郵件的一種接收協議) 139:Windows開放端口 3306:MySQL(網站的數據庫服務) 10000:Webmin(安裝主機管理工具的默認端口,可自行修改為不小於1024的端口) 雖然以上幾個端口是一般主機都會開啓的,然而另外一些端口被開啓也不一定代表有黑客入侵。一些廠商生產的主機如Cisco(思科)的用於傳輸TFTP協議的69端口或者SUN(昇陽)的111端口都屬於這些廠商產品獨有的端口。其它常用端口請點擊紅帽企業 Linux 3: 安全指南 - 附錄 C. 常用端口查看。 而有一些端口若被開啓則可以判斷為遭受入侵,如12345是遠端操控程式Netbus所使用的端口(只會運行於WinXP或更舊版本);31337端口為BackOffice木馬的默認端口;1999端口為Yai木馬程式所用;2140、3150端口都是Deep Throat木馬使用的端口。木馬常用端口清單在互聯網上搜尋“木馬端口清單”或“Trojan port list”就很容易找到,而且會不斷更新,故不在此詳述。 |