Port # 1

Protocol

Information

0

ICMP

Click attack

19

UDP

Chargen

21

TCP

Detects if someone is trying to FTP to you.

23

TCP

Detects if someone is trying to Telnet to you.

25 *

TCP

Several trojans use this port.

31 *

TCP

Agent 31, Hacker's Paradise, Master's Paradise

41 *

TCP

Deep Throat

53

TCP

DNS

58 *

TCP

DM Setup

80 *

TCP

Executor

110 *

TCP

ProMail Trojan

121 *

TCP

Jammer Killah

129

TCP

Password Generator Protocol

137

TCP

Netbios name (DoS attacks)

138

TCP

Netbios datagram (DoS attacks)

139

TCP

Netbios session (DoS attacks)

456 *

TCP

Hacker's Paradise

555

TCP

Stealth Spy, Phaze

666

TCP

Attack FTP

1001 *

TCP

Silencer, WebEx

1011 *

TCP

Doly Trojan

1012 *

TCP

Doly Trojan

1024 *

TCP

NetSpy

1027

TCP

ICQ

1029

TCP

ICQ

1032

TCP

ICQ

1080

TCP

Used to detect Wingate sniffers.

1170 *

TCP

Voice Streaming Audio

1243

TCP

Sub Seven

1245 *

TCP

VooDoo Doll

1492 *

TCP

FTP99CMP

1981

TCP

Shockrave

1999 *

TCP

BackDoor

2001 *

TCP

Trojan Cow

2023 *

TCP

Ripper

2115 *

TCP

Bugs

2140 *

TCP

Deep Throat

2140

UDP

Deep Throat

2565 *

TCP

Striker

2583 *

TCP

WinCrash

2801 *

TCP

Phineas Phucker

2989

UDP

Rat

3024 *

TCP

WinCrash

3129 *

TCP

Master's Paradise

3150 *

TCP

Deep Throat

3150

UDP

Deep Throat

3389 3 *

TCP

See footnote 3 at the bottom of this table.

3700 *

TCP

Portal of Doom

4092 *

TCP

WinCrash

4590 *

TCP

ICQ Trojan

5000 2

TCP

Detects & blocks Sokets de Trois v1.

5001

TCP

Detects & blocks Sokets de Trois v1.

5400 *

TCP

Blade Runner

5401 *

TCP

Blade Runner

5402 *

TCP

Blade Runner

5569 *

TCP

Robo-Hack

5742 *

TCP

WinCrash

6400 *

TCP

The Thing

6670 *

TCP

Deep Throat

6711

TCP

Sub Seven

6712 *

TCP

Sub Seven

6713 *

TCP

Sub Seven

6771 *

TCP

Deep Throat

6776

TCP

Sub Seven

6939 *

TCP

Indoctrination

6969

TCP

Gate Crasher, Priority

6970 *

TCP

Gate Crasher

7000 *

TCP

Remote Grab

7300

TCP

Net Monitor

7301

TCP

Net Monitor

7306 *

TCP

Net Monitor

7307 *

TCP

Net Monitor

7308 *

TCP

Net Monitor

7789 *

TCP

ICKiller

9872 *

TCP

Portal of Doom

9873 *

TCP

Portal of Doom

9874 *

TCP

Portal of Doom

9875 *

TCP

Portal of Doom

9989 *

TCP

iNi-Killer

10067 *

TCP

Portal of Doom

10067

UDP

Portal of Doom

10167 *

TCP

Portal of Doom

10167

UDP

Portal of Doom

10520 *

TCP

Acid Shivers

10607 *

TCP

Coma

11000 *

TCP

Senna Spy

11223 *

TCP

Progenic Trojan

12076

TCP

GJamer

12223 *

TCP

Hack'99, KeyLogger

12345

TCP

Netbus, Ultor's Telnet Trojan

12346

TCP

Netbus

12456 *

TCP

NetBus

13000 *

TCP

Senna Spy

16969 *

TCP

Priority

20000

TCP

Millennium

20001

TCP

Millennium

20034 *

TCP

NetBus 2 Pro

21554

TCP

GirlFriend

22222 *

TCP

Prosiak

23456

TCP

EvilFTP, UglyFTP

26274 *

TCP

Delta Source

26274 *

UDP

Delta Source

29891 *

TCP

The Unexplained

30100

TCP

NetSphere

30101 *

TCP

NetSphere

30102

TCP

NetSphere

30303 *

TCP

Sockets de Troie

31337

UDP

Backorifice (BO)

31337

TCP

Netpatch

31338 *

TCP

NetSpy DK

31338

UDP

Deep BO

31339 *

TCP

NetSpy DK

31785

TCP

Hack'a'Tack

31789

UDP

Hack'a'Tack

31791

UDP

Hack'a'Tack

33333 *

TCP

Prosiak

40421

TCP

Master's Paradise - Hacked

40412 *

TCP

The Spy

40422

TCP

Master's Paradise - Hacked

40423

TCP

Master's Paradise - Hacked

40425

TCP

Master's Paradise - Hacked

40426 *

TCP

Master's Paradise

47252 *

TCP

Delta Source

47262 *

UDP

Delta Source

50505

TCP

Detects & blocks Sokets de Trois v2.

50776 *

TCP

Fore

53001 *

TCP

Remote Windows Shutdown

54320

TCP

Back Orifice 2000

54320 *

UDP

Back Orifice

54321 *

TCP

School Bus, Back Orifice

54321

UDP

Back Orifice 2000

60000 *

TCP

Deep Throat

61466 *

TCP

Telecommando

65000

TCP

Devil
 
 

 
 

Puertos de entrada

Troyano

Puerto

Master Paradise

31

BO jammerkillahV

121

Hackers Paradise

456

NeTadmin

555

Phase0

555

Stealth Spy

555

Attack FTP

666

AimSpy

777

Der Spaeher 3

1000

Der Spaeher 3

1001

Silencer

1001

Silencer

1001

WebEx

1001

Doly trojan v1.35

1010

Doly Trojan

1011

Doly trojan v1.5

1015

Netspy

1033

Bla1.1

1042

Wingate (Socks-Proxy) (No es un troyano)

1080

Streaming Audio Trojan

1170

SoftWar

1207

SubSeven

1243

Vodoo

1245

Maverick's Matrix

1269

FTP99CMP

1492

Psyber Streaming Server

1509

Shiva Burka

1600

SpySender

1807

ShockRave

1981

Backdoor

1999

Transcout 1.1 + 1.2

1999

Der Spaeher 3

2000

Der Spaeher 3

2001

TrojanCow

2001

Pass Ripper

2023

The Invasor

2140

HVL Rat5

2283

Striker

2565

Wincrash2

2583

Phineas

2801

Total Eclypse 1.0

3791

FileNail

4567

IcqTrojan

4950

IcqTrojen

4950

OOTLT + OOTLT Cart

5011

NetMetro 1.0

5031

NetMetropolitan 1.04

5031

NetMetropolitan 1.04

5032

Firehotcker

5321

BackConstruction1.2

5400

BladeRunner

5400

Illusion Mailer

5521

Xtcp

5550

RoboHack

5569

Wincrash

5742

TheThing 1.6

6000

The tHing

6400

Vampire

6669

Deep Throath 1,2,3.x

6670

DeltaSource

6883

Shitheep

6912

Indoctrination

6939

Gatecrasher

6969

NetMonitor

7306

ICQKiller

7789

InCommand 1.0

9400

PortalOfDoom

9872

Portal of Doom

9875

InIkiller

9989

iNi-Killer

9989

Coma

10607

Ambush

10666

Senna Spy Trojans

11000

ProgenicTrojan

11223

Gjamer

12076

Hack´99 KeyLogger

12223

NetBus 1.x (avoiding Netbuster)

12346

Eclipse 2000

12701

Priotrity

16969

Kuang2 theVirus

17300

Millenium

20000

NetBus Pro

20034

Chupacabra

20203

Logged!

20203

Bla

20331

GirlFriend

21554

Schwindler 1.82

21554

Prosiak 0.47

22222

UglyFtp

23456

WhackJob

23456

The Unexplained

29891

AOLTrojan1.1

30029

NetSphere

30100

Socket23

30303

Kuang

30999

Back Orifice (primer versión)

31337

NetSpy DK

31339

Hack'a'tack

31787

Trojan Spirit 2001 a

33911

BigGluck, aka TN

34324

Tiny Telnet Server

34324

TheSpy

40412

Master Paradise

40423

Fore, Schwindler

50766

Remote Windows Shutdown

53001

RemoteWindowsShutdown

53001

Schoolbus 1.6

54321

Schoolbus 2.0

54321

Telecommando

61466

Devil 1.03

65000

ShitHeep

69123

Back Orifice 2000

cualquiera
 
 

 
 
**** LISTA DE PUERTOS *****
Nombre del Puerto
Puerto/Protocolo
Información del Puerto
tcpmux 1/tcp # rfc-1078
echo 7/tcp  
echo 7/udp  
discard 9/tcp sink null
discard 9/udp sink null
systat 11/tcp users
daytime 13/tcp  
daytime 13/udp  
netstat 15/tcp  
qotd 17/tcp quote
chargen 19/tcp ttytst source
chargen 19/udp ttytst source
ftp-data 20/tcp  
ftp 21/tcp  
telnet 23/tcp te dice la version del sistema operativo
smtp 25/tcp mail jose@ctv.es Pues poneis:telnet pop.ctv.es 25 vrfy jose
time 37/tcp timserver
time 37/udp timserver
rlp 39/udp resource # resource location
name 42/udp nameserver
whois 43/tcp nicname # usually to sri-nic
domain 53/tcp  
domain 53/udp  
mtp 57/tcp # deprecated
bootps 67/udp # bootp server
bootpc 68/udp # bootp client
tftp 69/udp  
gopher 70/tcp # gopher server
rje 77/tcp  
#finger 79/tcp TEST
#http 80/tcp # www is used by some broken
#www 80/tcp # progs, http is more correct
link 87/tcp ttylink
kerberos 88/udp kdc # Kerberos authentication--udp
kerberos 88/tcp kdc # Kerberos authentication--tcp
supdup 95/tcp # BSD supdupd(8)
hostnames 101/tcp hostname # usually to sri-nic
iso-tsap 102/tcp  
x400 103/tcp # x400-snd 104/tcp
csnet-ns 105/tcp  
#pop-2 109/tcp # PostOffice V.2
#pop-3 110/tcp # PostOffice V.3
#pop 110/tcp # PostOffice V.3
sunrpc 111/tcp  
sunrpc 111/tcp portmapper # RPC 4.0 portmapper UDP
sunrpc 111/udp  
sunrpc 111/udp portmapper # RPC 4.0 portmapper TCP
auth 113/tcp ident # User Verification
sftp 115/tcp  
uucp-path 117/tcp  
nntp 119/tcp usenet # Network News Transfer
ntp 123/tcp # Network Time Protocol
ntp 123/udp # Network Time Protocol
#netbios-ns 137/tcp nbns
#netbios-ns 137/udp nbns
#netbios-dgm 138/tcp nbdgm
#netbios-dgm 138/udp nbdgm
#netbios-ssn 139/tcp nbssn
#imap 143/tcp # imap network mail protocol
NeWS 144/tcp news # Window System
snmp 161/udp  
snmp-trap 162/udp  
exec 512/tcp # BSD rexecd(8)
biff 512/udp comsat
login 513/tcp # BSD rlogind(8)
who 513/udp whod # BSD rwhod(8)
shell 514/tcp cmd # BSD rshd(8)
syslog 514/udp # BSD syslogd(8)
printer 515/tcp spooler # BSD lpd(8)
talk 517/udp # BSD talkd(8)
ntalk 518/udp # SunOS talkd(8)
efs 520/tcp # for LucasFilm
route 520/udp router routed # 521/udp too
timed 525/udp timeserver
tempo 526/tcp newdate
courier 530/tcp rpc # experimental
conference 531/tcp chat
netnews 532/tcp readnews
netwall 533/udp # -for emergency broadcasts
uucp 540/tcp uucpd # BSD uucpd(8) UUCP service
klogin 543/tcp # Kerberos authenticated rlogin
kshell 544/tcp cmd # and remote shell
new-rwho 550/udp new-who # experimental
remotefs 556/tcp rfs_server rfs # Brunhoff remote filesystem
rmonitor 560/udp rmonitord # experimental
monitor 561/udp # experimental
pcserver 600/tcp # ECD Integrated PC board srvr
mount 635/udp # NFS Mount Service
pcnfs 640/udp # PC-NFS DOS Authentication
bwnfs 650/udp # BW-NFS DOS Authentication
kerberos-adm 749/tcp # Kerberos 5 admin/changepw
kerberos-adm 749/udp # Kerberos 5 admin/changepw
kerberos-sec 750/udp # Kerberos authentication--udp
kerberos-sec 750/tcp # Kerberos authentication--tcp
kerberos_master 751/udp # Kerberos authentication
kerberos_master 751/tcp # Kerberos authentication
krb5_prop 754/tcp # Kerberos slave propagation
listen 1025/tcp  
nterm 1026/tcp # Remote_login network_terminal
#kpop 1109/tcp # Pop with Kerberos
ingreslock 1524/tcp  
tnet 1600/tcp # transputer net daemon
cfinger 2003/tcp # GNU finger
nfs 2049/udp # NFS File Service
eklogin 2105/tcp # Kerberos encrypted rlogin
krb524 4444/tcp # Kerberos 5 to 4 ticket xlator
irc 6667/tcp # Internet Relay Chat
 
 

 
 

echo (7/tcp,udp)
Se utiliza únicamente para depuración. Sin embargo, un atacante puede realizar "labores de depuración" creando bucles en la red a partir de este puerto (véase udp chargen/19).
BLOQUEAR.

systat (11/tcp/udp)
Muestra información acerca del host como usuarios conectados, carga del sistema, procesos en funcionamiento, etc..
BLOQUEAR.

chargen (19/tcp,udp)
Se utiliza únicamente para depuración. Basta con enviar un paquete a este puerto aparentemente originado en el puerto de echo (7/udp) para provocar un bucle en la red.
BLOQUEAR.

telnet (23/tcp,udp)
Vulnerable a "toma de sesiones". Es preferible utilizar en su lugar otras soluciones como SSH.

smtp (25/tcp,udp)
Históricamente la mayoría de las entradas en hosts han venido a través de este puerto. Se debe FILTRAR este puerto y mantener SIEMPRE la última versión estable conocida de cualquier programa de correo, especialmente si trabajamos con sendmail.

time (37/tcp,udp)
Devuelve la hora del sistema en un formato legible por la máquina (4 bytes mas o menos). Puede ser accedido tras un ataque vía ntp(123/tcp,udp).

nameserver (42/tcp,udp)
Si dispone de una red privada, debe instalar un servidor de nombres para ella. Bloquee el acceso a dicho servidor desde el exterior, y utilice siempre la última versión de BIND para resolver nombres. En este caso, puede cortar sin excesivos problemas el acceso al DNS sobre UDP.

tftp (69/tcp,udp)
Falta de autentificación. Bloquear si no se dispone de máquina alguna con arranque remoto.

private dialout (75/tcp,udp) - - - [RFC1700]
Si encontramos una traza de este puerto en los diarios del sistema (logs), en el mejor de los casos estaremos siendo analizados por un scanner de puertos.
BLOQUEAR.

finger (79/tcp,udp)
Puede obtenerse información acerca de usuarios concretos, información que puede utilizarse para adivinar claves de acceso. BLOQUEAR o SUSTITUIR por una política coherente de asignación de direcciones de correo (Juan Fernadez - - -> juan.fernandez@host.com) y un mensaje advirtiendo de dicha política.

http (80/tcp,udp)
¡¡¡Cuidado!!! los servidores web son cada vez más complejos y permiten demasiadas cosas. Conviene redirigir el acceso a un puerto no privilegiado en maquinas unix. A ser posible, utilice servidores http específicos para la tarea a realizar (servir archivos, acceso a Bases de datos, etc...).

npp (92/tcp,udp) - [Network Printing Protocol]
Nadie quiere imprimir documentos ajenos ¿ verdad ?.

objcall (94/tcp,udp) - [Tivoli Object Dispatcher]
Utilizado por la herramienta de Gestión de redes Tivoli. Si utilizamos tivoli, aplicar las mismas precauciones que con SNMP.

sunrpc (111/tcp,udp)
Especialmente peligroso sobre UDP. No autentifica fuentes, y es la base para otros servicios como NFS.

auth (113/tcp,udp)
No debería permitirse obtener información acerca de puertos privilegiados (puede utilizarse para realizar un portscan). No se utiliza mas que en Unix.

ntp (123/tcp,udp) [Network Time Protocol]
Se utiliza para sincronizar los relojes de las máquinas de una subred. Un ejemplo de ataque clásico consiste en enviar paquetes a este puerto para distorsionar los logs de la máquina.

netbios (137,138,139/tcp,udp)
No dispone de suficiente autenticación. Afortunadamente según los RFC2001 y 2002 NetBIOS es capaz de funcionar correctamente a pesar de que se estén enviando bloques de datos con información errónea o corrompida.

snmp (161/tcp,udp) –
¿ Quién puede querer administrar nuestra red desde el exterior ? Se puede obtener mucha información a través de este servicio, como por ejemplo estado de los interfaces de red, conexiones concurrentes en la máquina, etc...
BLOQUEAR.

snmp-trap (162/tcp,udp)
Traps de SNMP. A través de este puerto se realizan solicitudes que pueden cambiar la configuración del host.
BLOQUEAR.

irc (194/tcp,udp) –
No es peligroso en sí; sin embargo sus usuarios suelen divertirse atacando los hosts de otras personas con el fin de echarlos cuando no pueden hacer uso de la orden 'kick'. Generalmente conviene bloquear los puertos 6666, 6667 y 6668 ya que son a los que se enganchan los servidores de IRC.

exec (512/tcp)
Ejecuta ordenes en estaciones remotas. Como todos los comandos 'r' (rexec, rcp, rlogin) en la otra partes cuando se accede desde un conjunto de direcciones IP definidas por el usuario. No se realiza más autentificación que la basada en dirección IP y usuario remoto. MUY PELIGROSO (aunque muy potente).
BLOQUEAR.

biff (512/udp)
Notifica de la llegada de correo. Buen candidato para posibles desbordamientos de buffer, o simplemente para obligar a abandonar la sesión a un usuario debido a la llegada masiva de mensajes de correo. (biff suele funcionar incluso con mesg n)
BLOQUEAR.

login (513/tcp) - rlogin. (ver exec)
BLOQUEAR.

who (513/udp)
Muestra quien está utilizando el host remoto. Se puede obtener información bastante detallada acerca de quién utiliza una máquina y desde que terminal, uptime (tiempo que lleva en funcionamiento), carga de la máquina, etc...
BLOQUEAR.

cmd (514/tcp) –
Similar a exec (512/tcp), mismas precauciones.
BLOQUEAR.

syslog (514/udp)
BLOQUEAR a menos que existan suficientes razones como para mantenerlo. Suele atacarse para corromper los diarios (logs) del sistema con entradas falsas.

printer (515/tcp,udp)

router (520/tcp,udp) - Local routing process.
BLOQUEAR

ingreslock (1524/tcp) –
En la mayoría de los Un*x se puede encontrar esta entrada en /etc/services. Ya que está dado de alta y es un puerto no privilegiado es un buen lugar para una puerta trasera (no sería la primera vez que ocurre).