Port # 1

Protocol

Information

0

ICMP

Click attack

19

UDP

Chargen

21

TCP

Detects if someone is trying to FTP to you.

23

TCP

Detects if someone is trying to Telnet to you.

25 *

TCP

Several trojans use this port.

31 *

TCP

Agent 31, Hacker's Paradise, Master's Paradise

41 *

TCP

Deep Throat

53

TCP

DNS

58 *

TCP

DM Setup

80 *

TCP

Executor

110 *

TCP

ProMail Trojan

121 *

TCP

Jammer Killah

129

TCP

Password Generator Protocol

137

TCP

Netbios name (DoS attacks)

138

TCP

Netbios datagram (DoS attacks)

139

TCP

Netbios session (DoS attacks)

456 *

TCP

Hacker's Paradise

555

TCP

Stealth Spy, Phaze

666

TCP

Attack FTP

1001 *

TCP

Silencer, WebEx

1011 *

TCP

Doly Trojan

1012 *

TCP

Doly Trojan

1024 *

TCP

NetSpy

1027

TCP

ICQ

1029

TCP

ICQ

1032

TCP

ICQ

1080

TCP

Used to detect Wingate sniffers.

1170 *

TCP

Voice Streaming Audio

1243

TCP

Sub Seven

1245 *

TCP

VooDoo Doll

1492 *

TCP

FTP99CMP

1981

TCP

Shockrave

1999 *

TCP

BackDoor

2001 *

TCP

Trojan Cow

2023 *

TCP

Ripper

2115 *

TCP

Bugs

2140 *

TCP

Deep Throat

2140

UDP

Deep Throat

2565 *

TCP

Striker

2583 *

TCP

WinCrash

2801 *

TCP

Phineas Phucker

2989

UDP

Rat

3024 *

TCP

WinCrash

3129 *

TCP

Master's Paradise

3150 *

TCP

Deep Throat

3150

UDP

Deep Throat

3389 3 *

TCP

See footnote 3 at the bottom of this table.

3700 *

TCP

Portal of Doom

4092 *

TCP

WinCrash

4590 *

TCP

ICQ Trojan

5000 2

TCP

Detects & blocks Sokets de Trois v1.

5001

TCP

Detects & blocks Sokets de Trois v1.

5400 *

TCP

Blade Runner

5401 *

TCP

Blade Runner

5402 *

TCP

Blade Runner

5569 *

TCP

Robo-Hack

5742 *

TCP

WinCrash

6400 *

TCP

The Thing

6670 *

TCP

Deep Throat

6711

TCP

Sub Seven

6712 *

TCP

Sub Seven

6713 *

TCP

Sub Seven

6771 *

TCP

Deep Throat

6776

TCP

Sub Seven

6939 *

TCP

Indoctrination

6969

TCP

Gate Crasher, Priority

6970 *

TCP

Gate Crasher

7000 *

TCP

Remote Grab

7300

TCP

Net Monitor

7301

TCP

Net Monitor

7306 *

TCP

Net Monitor

7307 *

TCP

Net Monitor

7308 *

TCP

Net Monitor

7789 *

TCP

ICKiller

9872 *

TCP

Portal of Doom

9873 *

TCP

Portal of Doom

9874 *

TCP

Portal of Doom

9875 *

TCP

Portal of Doom

9989 *

TCP

iNi-Killer

10067 *

TCP

Portal of Doom

10067

UDP

Portal of Doom

10167 *

TCP

Portal of Doom

10167

UDP

Portal of Doom

10520 *

TCP

Acid Shivers

10607 *

TCP

Coma

11000 *

TCP

Senna Spy

11223 *

TCP

Progenic Trojan

12076

TCP

GJamer

12223 *

TCP

Hack'99, KeyLogger

12345

TCP

Netbus, Ultor's Telnet Trojan

12346

TCP

Netbus

12456 *

TCP

NetBus

13000 *

TCP

Senna Spy

16969 *

TCP

Priority

20000

TCP

Millennium

20001

TCP

Millennium

20034 *

TCP

NetBus 2 Pro

21554

TCP

GirlFriend

22222 *

TCP

Prosiak

23456

TCP

EvilFTP, UglyFTP

26274 *

TCP

Delta Source

26274 *

UDP

Delta Source

29891 *

TCP

The Unexplained

30100

TCP

NetSphere

30101 *

TCP

NetSphere

30102

TCP

NetSphere

30303 *

TCP

Sockets de Troie

31337

UDP

Backorifice (BO)

31337

TCP

Netpatch

31338 *

TCP

NetSpy DK

31338

UDP

Deep BO

31339 *

TCP

NetSpy DK

31785

TCP

Hack'a'Tack

31789

UDP

Hack'a'Tack

31791

UDP

Hack'a'Tack

33333 *

TCP

Prosiak

40421

TCP

Master's Paradise - Hacked

40412 *

TCP

The Spy

40422

TCP

Master's Paradise - Hacked

40423

TCP

Master's Paradise - Hacked

40425

TCP

Master's Paradise - Hacked

40426 *

TCP

Master's Paradise

47252 *

TCP

Delta Source

47262 *

UDP

Delta Source

50505

TCP

Detects & blocks Sokets de Trois v2.

50776 *

TCP

Fore

53001 *

TCP

Remote Windows Shutdown

54320

TCP

Back Orifice 2000

54320 *

UDP

Back Orifice

54321 *

TCP

School Bus, Back Orifice

54321

UDP

Back Orifice 2000

60000 *

TCP

Deep Throat

61466 *

TCP

Telecommando

65000

TCP

Devil

 

 

 

Puertos de entrada

Master Paradise

31

BO jammerkillahV

121

Hackers Paradise

456

NeTadmin

555

Phase0

555

Stealth Spy

555

Attack FTP

666

AimSpy

777

Der Spaeher 3

1000

Der Spaeher 3

1001

Silencer

1001

Silencer

1001

WebEx

1001

Doly trojan v1.35

1010

Doly Trojan

1011

Doly trojan v1.5

1015

Netspy

1033

Bla1.1

1042

Wingate (Socks-Proxy)
(No es un troyano)

1080

Streaming Audio Trojan

1170

SoftWar

1207

SubSeven

1243

Vodoo

1245

Maverick's Matrix

1269

FTP99CMP

1492

Psyber Streaming Server

1509

Shiva Burka

1600

SpySender

1807

ShockRave

1981

Backdoor

1999

Transcout 1.1 + 1.2

1999

Der Spaeher 3

2000

Der Spaeher 3

2001

TrojanCow

2001

Pass Ripper

2023

The Invasor

2140

HVL Rat5

2283

Striker

2565

Wincrash2

2583

Phineas

2801

Total Eclypse 1.0

3791

FileNail

4567

IcqTrojan

4950

IcqTrojen

4950

OOTLT + OOTLT Cart

5011

NetMetro 1.0

5031

NetMetropolitan 1.04

5031

NetMetropolitan 1.04

5032

Firehotcker

5321

BackConstruction1.2

5400

BladeRunner

5400

Illusion Mailer

5521

Xtcp

5550

RoboHack

5569

Wincrash

5742

TheThing 1.6

6000

The tHing

6400

Vampire

6669

Deep Throath 1,2,3.x

6670

DeltaSource (

6883

Shitheep

6912

Indoctrination

6939

Gatecrasher

6969

NetMonitor

7306

ICQKiller

7789

InCommand 1.0

9400

PortalOfDoom

9872

Portal of Doom

9875

InIkiller

9989

iNi-Killer

9989

Coma

10607

Ambush

10666

Senna Spy Trojans

11000

ProgenicTrojan

11223

Gjamer

12076

Hack´99 KeyLogger

12223

NetBus 1.x (avoiding Netbuster)

12346

Eclipse 2000

12701

Priotrity

16969

Kuang2 theVirus

17300

Millenium

20000

NetBus Pro

20034

Chupacabra

20203

Logged!

20203

Bla

20331

GirlFriend

21554

Schwindler 1.82

21554

Prosiak 0.47

22222

UglyFtp

23456

WhackJob

23456

The Unexplained

29891

AOLTrojan1.1

30029

NetSphere

30100

Socket23

30303

Kuang

30999

Back Orifice (primer versión)

31337

NetSpy DK

31339

Hack'a'tack

31787

Trojan Spirit 2001 a

33911

BigGluck, aka TN

34324

Tiny Telnet Server

34324

TheSpy

40412

Master Paradise

40423

Fore, Schwindler

50766

Remote Windows Shutdown

53001

RemoteWindowsShutdown

53001

Schoolbus 1.6

54321

Schoolbus 2.0

54321

Telecommando

61466

Devil 1.03

65000

ShitHeep

69123

Back Orifice 2000

cualquiera

 

                  **** LISTA DE PUERTOS *****

 

 

tcpmux          1/tcp                           # rfc-1078

echo              7/tcp

echo              7/udp

discard          9/tcp           sink null

discard          9/udp           sink null

systat            11/tcp          users

daytime         13/tcp

daytime         13/udp

netstat           15/tcp

qotd              17/tcp          quote

chargen         19/tcp          ttytst source

chargen         19/udp          ttytst source

ftp-data          20/tcp

ftp                 21/tcp

telnet             23/tcp          te dice la version del sistema operativo

smtp              25/tcp mail  Un tio jose@ctv.es. Pues poneis; telnet pop.ctv.es 25 -- luego, vrfy jose

time              37/tcp          timserver

time              37/udp          timserver

rlp                 39/udp          resource        # resource location

name             42/udp          nameserver

whois            43/tcp          nicname         # usually to sri-nic

domain          53/tcp

domain          53/udp

mtp               57/tcp                          # deprecated

bootps            67/udp                          # bootp server

bootpc           68/udp                          # bootp client

tftp                69/udp

gopher           70/tcp                          # gopher server

rje                  77/tcp

#finger          79/tcp                         TEST

#http              80/tcp                          # www is used by some broken

#www            80/tcp                          # progs, http is more correct

link                87/tcp          ttylink

kerberos         88/udp          kdc             # Kerberos authentication--udp

kerberos         88/tcp          kdc             # Kerberos authentication--tcp

supdup            95/tcp                          # BSD supdupd(8)

hostnames       101/tcp         hostname        # usually to sri-nic

iso-tsap           102/tcp

x400               103/tcp                         # x400-snd        104/tcp

csnet-ns           105/tcp

#pop-2             109/tcp                         # PostOffice V.2

#pop-3             110/tcp                         # PostOffice V.3

#pop               110/tcp                         # PostOffice V.3

sunrpc             111/tcp

sunrpc             111/tcp         portmapper      # RPC 4.0 portmapper UDP

sunrpc             111/udp

sunrpc             111/udp         portmapper      # RPC 4.0 portmapper TCP

auth                 113/tcp         ident           # User Verification

sftp                  115/tcp

uucp-path        117/tcp

nntp                119/tcp         usenet          # Network News Transfer

ntp                  123/tcp                         # Network Time Protocol

ntp                  123/udp                         # Network Time Protocol

#netbios-ns      137/tcp         nbns

#netbios-ns      137/udp         nbns

#netbios-dgm     138/tcp         nbdgm

#netbios-dgm     138/udp         nbdgm

#netbios-ssn       139/tcp         nbssn

#imap                143/tcp                         # imap network mail protocol

NeWS               144/tcp         news            # Window System

snmp                 161/udp

snmp-trap          162/udp

exec                   512/tcp                         # BSD rexecd(8)

biff                    512/udp         comsat

login                 513/tcp                         # BSD rlogind(8)

who                   513/udp         whod            # BSD rwhod(8)

shell                  514/tcp         cmd             # BSD rshd(8)

syslog                 514/udp                         # BSD syslogd(8)

printer               515/tcp         spooler         # BSD lpd(8)

talk                  517/udp                         # BSD talkd(8)

ntalk                518/udp                         # SunOS talkd(8)

efs                   520/tcp                         # for LucasFilm

route               520/udp         router routed   # 521/udp too

timed              525/udp         timeserver

tempo             526/tcp         newdate

courier           530/tcp         rpc             # experimental

conference      531/tcp         chat

netnews          532/tcp         readnews

netwall           533/udp                         # -for emergency broadcasts

uucp              540/tcp         uucpd           # BSD uucpd(8) UUCP service

klogin            543/tcp                         # Kerberos authenticated rlogin

kshell             544/tcp         cmd             # and remote shell

new-rwho        550/udp         new-who         # experimental

remotefs         556/tcp         rfs_server rfs  # Brunhoff remote filesystem

rmonitor        560/udp         rmonitord       # experimental

monitor         561/udp                         # experimental

pcserver        600/tcp                         # ECD Integrated PC board srvr

mount           635/udp                         # NFS Mount Service

pcnfs             640/udp                         # PC-NFS DOS Authentication

bwnfs             650/udp                         # BW-NFS DOS Authentication

kerberos-adm    749/tcp                         # Kerberos 5 admin/changepw

kerberos-adm    749/udp                         # Kerberos 5 admin/changepw

kerberos-sec     750/udp                         # Kerberos authentication--udp

kerberos-sec     750/tcp                         # Kerberos authentication--tcp

kerberos_master 751/udp                         # Kerberos authentication

kerberos_master 751/tcp                         # Kerberos authentication

krb5_prop       754/tcp                         # Kerberos slave propagation

listen              1025/tcp        listener RFS remote_file_sharing

nterm             1026/tcp        remote_login network_terminal

#kpop             1109/tcp                        # Pop with Kerberos

ingreslock       1524/tcp

tnet                 1600/tcp                        # transputer net daemon

cfinger           2003/tcp                        # GNU finger

nfs                 2049/udp                        # NFS File Service

eklogin          2105/tcp                        # Kerberos encrypted rlogin

krb524          4444/tcp                        # Kerberos 5 to 4 ticket xlator

irc                6667/tcp                        # Internet Relay Chat

 

echo (7/tcp,udp)
Se utiliza únicamente para depuración. Sin embargo, un atacante puede realizar "labores de depuración" creando bucles en la red a partir de este puerto (véase udp chargen/19).
BLOQUEAR.

 

systat (11/tcp/udp)
Muestra información acerca del host como usuarios conectados, carga del sistema, procesos en funcionamiento, etc..
BLOQUEAR.

 

chargen (19/tcp,udp)
Se utiliza únicamente para depuración. Basta con enviar un paquete a este puerto aparentemente originado en el puerto de echo (7/udp) para provocar un bucle en la red.
BLOQUEAR.

 

telnet (23/tcp,udp)
Vulnerable a "toma de sesiones". Es preferible utilizar en su lugar otras soluciones como SSH.

 

smtp (25/tcp,udp)
Históricamente la mayoría de las entradas en hosts han venido a través de este puerto. Se debe FILTRAR este puerto y mantener SIEMPRE la última versión estable conocida de cualquier programa de correo, especialmente si trabajamos con sendmail.

 

time (37/tcp,udp)
Devuelve la hora del sistema en un formato legible por la máquina (4 bytes mas o menos). Puede ser accedido tras un ataque vía ntp(123/tcp,udp).

 

nameserver (42/tcp,udp)
Si dispone de una red privada, debe instalar un servidor de nombres para ella. Bloquee el acceso a dicho servidor desde el exterior, y utilice siempre la última versión de BIND para resolver nombres. En este caso, puede cortar sin excesivos problemas el acceso al DNS sobre UDP.

 

tftp (69/tcp,udp)
Falta de autentificación. Bloquear si no se dispone de máquina alguna con arranque remoto.

private dialout (75/tcp,udp) - - - [RFC1700]
Si encontramos una traza de este puerto en los diarios del sistema (logs), en el mejor de los casos estaremos siendo analizados por un scanner de puertos.
BLOQUEAR.

 

finger (79/tcp,udp)
Puede obtenerse información acerca de usuarios concretos, información que puede utilizarse para adivinar claves de acceso. BLOQUEAR o SUSTITUIR por una política coherente de asignación de direcciones de correo (Juan Fernadez - - -> juan.fernandez@host.com) y un mensaje advirtiendo de dicha política.

 

http (80/tcp,udp)
¡¡¡Cuidado!!! los servidores web son cada vez más complejos y permiten demasiadas cosas. Conviene redirigir el acceso a un puerto no privilegiado en maquinas unix. A ser posible, utilice servidores http específicos para la tarea a realizar (servir archivos, acceso a Bases de datos, etc...).

 

npp (92/tcp,udp) - [Network Printing Protocol]
Nadie quiere imprimir documentos ajenos ¿ verdad ?.

objcall (94/tcp,udp) - [Tivoli Object Dispatcher]
Utilizado por la herramienta de Gestión de redes Tivoli. Si utilizamos tivoli, aplicar las mismas precauciones que con SNMP.

 

sunrpc (111/tcp,udp)
Especialmente peligroso sobre UDP. No autentifica fuentes, y es la base para otros servicios como NFS.

 

auth (113/tcp,udp)
No debería permitirse obtener información acerca de puertos privilegiados (puede utilizarse para realizar un portscan). No se utiliza mas que en Unix.

 

ntp (123/tcp,udp) [Network Time Protocol]
Se utiliza para sincronizar los relojes de las máquinas de una subred. Un ejemplo de ataque clásico consiste en enviar paquetes a este puerto para distorsionar los logs de la máquina.

 

netbios (137,138,139/tcp,udp)
No dispone de suficiente autenticación. Afortunadamente según los RFC2001 y 2002 NetBIOS es capaz de funcionar correctamente a pesar de que se estén enviando bloques de datos con información errónea o corrompida.

 

snmp (161/tcp,udp) –
¿ Quién puede querer administrar nuestra red desde el exterior ? Se puede obtener mucha información a través de este servicio, como por ejemplo estado de los interfaces de red, conexiones concurrentes en la máquina, etc...
BLOQUEAR.

 

snmp-trap (162/tcp,udp)
Traps de SNMP. A través de este puerto se realizan solicitudes que pueden cambiar la configuración del host.
BLOQUEAR.

 

irc (194/tcp,udp) –
No es peligroso en sí; sin embargo sus usuarios suelen divertirse atacando los hosts de otras personas con el fin de echarlos cuando no pueden hacer uso de la orden 'kick'. Generalmente conviene bloquear los puertos 6666, 6667 y 6668 ya que son a los que se enganchan los servidores de IRC.

 

exec (512/tcp)
Ejecuta ordenes en estaciones remotas. Como todos los comandos 'r' (rexec, rcp, rlogin) en la otra partes cuando se accede desde un conjunto de direcciones IP definidas por el usuario. No se realiza más autentificación que la basada en dirección IP y usuario remoto. MUY PELIGROSO (aunque muy potente).
BLOQUEAR.

 

biff (512/udp)
Notifica de la llegada de correo. Buen candidato para posibles desbordamientos de buffer, o simplemente para obligar a abandonar la sesión a un usuario debido a la llegada masiva de mensajes de correo. (biff suele funcionar incluso con mesg n)
BLOQUEAR.

login (513/tcp) - rlogin. (ver exec)
BLOQUEAR.

 

who (513/udp)
Muestra quien está utilizando el host remoto. Se puede obtener información bastante detallada acerca de quién utiliza una máquina y desde que terminal, uptime (tiempo que lleva en funcionamiento), carga de la máquina, etc...
BLOQUEAR.

 

cmd (514/tcp) –
Similar a exec (512/tcp), mismas precauciones.
BLOQUEAR.

 

syslog (514/udp)
BLOQUEAR a menos que existan suficientes razones como para mantenerlo. Suele atacarse para corromper los diarios (logs) del sistema con entradas falsas.

 

printer (515/tcp,udp)

 

router (520/tcp,udp) - Local routing process.
BLOQUEAR

 

ingreslock (1524/tcp) –
En la mayoría de los Un*x se puede encontrar esta entrada en /etc/services. Ya que está dado de alta y es un puerto no privilegiado es un buen lugar para una puerta trasera (no sería la primera vez que ocurre).

Hay más puertos considerados poco seguros; por lo que la lista crecerá en futuras ediciones...