PORTLARIN KONTROLÜ

[Φ Batdalgazi]

PORTLARIN KONTROLÜ:

 

Trojanlar açık olan portlar aracılığıyla diğer bilgisayar ile irtibat kurar. Artık neredeyse tüm yeni trojanların portlarını değiştirmek mümkün olmaktadır. Fakat trojan kullanmayı seven arkadaşlar genellikle port ve diğer ayarlarını değiştirmeden kullandıkları için default olarak trojanlar tarafından kullanılan portların bilinmesinde fayda var(en azından çok kullanılan trojanların). Peki sisteminizde tehlikeli bir port un açık olduğunu nasıl anlayabiliriz. Burada yine windows imdadımıza yetişiyor. Başlat-Programlar-MsDos komut istemi çalıştırılırsa karşımıza ms-dos ortamı çıkar. Burada

 

c:\windows>netstat -an ,netstat -a ,netstat -n

 

bunlardan birini yazıp enter a basarsanız o anda bilgisayarınızın iletişim halinde olduğu bilgisayar ile arasındaki kullanılmakta olan portlar ve ip numaraları gösterilir...

 

 

Yerel adres sizi, yabancı adres bağlantı kurduğunuz karşı bilgisayarı gösterir. Yerel adresde sizin açık portlarınız görünür,bu portlara bakarak neler olduğunu anlayabilirsiniz.54321 veya 31337 gibi portlar açıksa kesinlikle bilgisayarda trojan olduğunun göstergesidir.

54321 schoolbus 31337 BO trojanın kullandığı default portlardır. Ayrıca bunun yanında o an için başka bağlantılarda olabilir,bunlar ise sizin o an için bağlantı kurduğunuz web sayfalarına bağlantı kurduğunuzu gösterir.Bilgisayarınızda,bağlantı kurmuş olduğunuz web sayfaları haricinde bağlantı var peki bunlar ne;

işte sizin bilgisayarınızda ya davetsiz misafirleriniz var yada mevcut trojan iş başında demektir.Web sayfalarına bağlantı kuruldu ise karşı bilgisayarın kullandığı port 80 yada 8080,mail server a bağlanarak mailleri kontrol ediyorsak 110, ftp programı ile web sitemize dosya gönderiyorsak 21, telnet ile bağlantı kurmuş isek 25 numaralı portlar yabancı bilgisayarın açık portları olarak görünür. Bunun haricindeki portlardan yapılan(yabancı bilgisayarın portları) bağlantılar tehlikeli olabilir. Fakat Chat ve proxy istisnası var. Chat programı karşı tarafın 6667, 7000 gibi portlarını açabilir. Eğer internete bir proxy üzerinden bağlanıyorsak bağlantı yapılan bilgisayarın portu 1080 olarak görünebilir(tabi ki proxy istisna bir durumdur. Çoğu kullanıcı normal bağlantı kurar.)

 

Bir portun açık olması bağlantı kurulduğu anlamına gelmez.Örneğin 54321 numaralı port açıktır ama bağlantı kurulmamıştır.Port açık ve İP adresi görüyorsak bilin ki bağlantı gerçekleşmiştir.Yani kesinlikle bilgisayara girildiğinden bahsedebiliridik..

 

BİLGİSAYARINIZIN KULLANDIĞI PORTLAR:

 

TROJANLARIN KULLANDIĞI PORTLAR:

 

Aşağıda gösterilen port numaraları server dosyasının ayarları değiştirilmediği sürece doğrudur.

 

TROJAN İSMİ

KULLANDIĞI PORT

 

icqtrojana

4950

 

girlfriend

21554

 

bo

31337

 

ftp99cmp

1492

 

master paradise

40421

 

fire hotker

5321

 

sockets de troje

30303

 

executor

80

 

gate crasher

6969

 

hackers paradise

456

 

hack99 keyloger

12223

 

netspy

31339

 

net monitor

7300

 

subseven

1243-27374

 

invasor

2140

 

Wincrach 1.03

5742

 

Wincrach 2.0

2583

 

Silencer

1001

 

Devil

65000

 

Millenium

20001

 

Phineas

2801

 

Backdoor

1999

 

Evilftp

23456

 

Phasezero

555

 

Psyber Streaming Server

1509

 

SSTROJG

11000

 

Voice Client

1514

 

Netbus

12345-20034

 

Schoolbus

54321