تعرف على المنافذ Ports المفتوحة بجهازك مع برنامج AntiyPorts

[C|EH]

كيف يتم إختراقك ؟!

یتم اختراق جھاز معین عن طریق منفذ مفتوح في جھاز الضحیة Open Port الذي یسمح للمخترق للدخول في الجھاز عن طریق (Client/Server) و التحكم فیه .

أن الهكرز بمجرد انه يعرف رقم الاي بي الخاص بك يقوم بتشغيل برامج Scan لكي يعرف كل البورتات المفتوحة ، وايضا حتى يعرف اذا كان احد قد اخترقك من قبل او لا ، فلا يتعب نفسه ، بل يكمل المهمة فقط ، وهنا تكمل اهمية هذا البرنامج الصغير ، ان تعرف البورت الخطر قبل الهكرز فتغلقة ،

الشرح البسيط
مع هذا البرنامج الصغير جدا AntiyPorts، واللذي لا يحتاج لتنصيب ، سوف يعلمك بكل البورتات المفتوحة في جهازك ، مع اسم البرنامج اللذي قام بفتح هذا البورت ، مع قدرتك على التحكم بقتل هذا البورت اللذي تشك به ،،



وهنا تختار البورت اللي شاك فيه ، وتضغط على kill وسوف يغلقة على الفور




هنا روابط البرنامج

https://www.4shared.com/file/3059626...ntiyports.html

ftp://193.166.3.1/.m/mirrors2/ftp.wi...antiyports.exe

ftp://193.166.3.2/.m/mirrors2/ftp.wi...antiyports.exe

ftp://ftp.cyf-kr.edu.pl/pub/mirror/W...antiyports.exe

[C|EH]

قد يتسائل البعض ، طيب عرفنا البورتات ، كيف تعرف أن هذا خطير او انه خاص لبعض التروجونات
أنظر في هذه القائمة ، اذا وجدت نفس البورت ، ونفس البرنامج المقابل فهو تروجان ، مثلا البورت 21 هذا لل FTP ولكن قد تستغله بعض البرامج الخبيثة ، اذا وجدت الاسم اللي يظهر لك في برنامج AntiPorts مع نفس البورت فقم بإغلاقة

port 21 - Back Construction, Blade Runner, Doly Trojan, Fore, FTP trojan, Invisible FTP, Larva, WebEx, WinCrash
port 23 - Tiny Telnet Server (= TTS)
port 25 - Ajan, Antigen, Email Password Sender, Haebu Coceda (= Naebi), Happy 99, Kuang2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
port 31 - Agent 31, Hackers Paradise, Masters Paradise
port 41 - DeepThroat
port 59 - DMSetup
port 79 - Firehotcker
port 80 - Executor, RingZero
port 99 - Hidden Port
port 110 - ProMail Trojan
port 113 - Kazimas
port 119 - Happy 99
port 121 - JammerKillah
port 421 - TCP Wrappers
port 456 - Hackers Paradise
port 531 - Rasmin
port 555 - Ini-Killer, NeTAdmin, Phase Zero, Stealth Spy
port 666 - Attack FTP, Back Construction, Cain & Abel, Satanz Backdoor, ServeU, Shadow Phyre
port 911 - Dark Shadow
port 999 - DeepThroat, WinSatan
port 1001 - Silencer, WebEx
port 1010 - Doly Trojan
port 1011 - Doly Trojan
port 1012 - Doly Trojan
port 1015 - Doly Trojan
port 1024 - NetSpy
port 1042 - Bla
port 1045 - Rasmin
port 1090 - Xtreme
port 1170 - Psyber Stream Server, Streaming Audio trojan, Voice
port 1234 - Ultors Trojan
port 1243 - BackDoor-G, SubSeven, SubSeven Apocalypse
port 1245 - VooDoo Doll
port 1269 - Mavericks Matrix
port 1349 - BO DLL
port 1492 - FTP99CMP
port 1509 - Psyber Streaming Server
port 1600 - Shivka-Burka
port 1807 - SpySender
port 1981 - Shockrave
port 1999 - BackDoor, TtansScout
port 2000 - TransScout
port 2001 - TransScout
port 2002 - TransScout
port 2003 - TransScout
port 2004 - TransScout
port 2005 - TransScout
port 2023 - Ripper
port 2115 - Bugs
port 2140 - Deep Throat, The Invasor
port 2155 - Illusion Mailer
port 2283 - HVL Rat5
port 2565 - Striker
port 2583 - WinCrash
port 2600 - Digital RootBeer
port 2801 - Phineas Phucker
port 2989 - RAT
port 3024 - WinCrash
port 3128 - RingZero
port 3129 - Masters Paradise
port 3150 - Deep Throat, The Invasor
port 3459 - Eclipse 2000
port 3700 - Portal of Doom
port 3791 - Eclypse
port 3801 - Eclypse
port 4092 - WinCrash
port 4321 - BoBo
port 4567 - File Nail
port 4590 - ICQTrojan
port 5000 - Bubbel, Back Door Setup, Sockets de Troie
port 5001 - Back Door Setup, Sockets de Troie
port 5011 - One of the Last Trojans (OOTLT)
port 5031 - NetMetro
port 5321 - Firehotcker
port 5400 - Blade Runner, Back Construction
port 5401 - Blade Runner, Back Construction
port 5402 - Blade Runner, Back Construction
port 5550 - Xtcp
port 5512 - Illusion Mailer
port 5555 - ServeMe
port 5556 - BO Facil
port 5557 - BO Facil
port 5569 - Robo-Hack
port 5742 - WinCrash
port 6400 - The Thing
port 6669 - Vampyre
port 6670 - DeepThroat
port 6771 - DeepThroat
port 6776 - BackDoor-G, SubSeven
port 6912 - Shit Heep (not port 69123!)
port 6939 - Indoctrination
port 6969 - GateCrasher, Priority, IRC 3
port 6970 - GateCrasher
port 7000 - Remote Grab, Kazimas
port 7300 - NetMonitor
port 7301 - NetMonitor
port 7306 - NetMonitor
port 7307 - NetMonitor
port 7308 - NetMonitor
port 7789 - Back Door Setup, ICKiller
port 8080 - RingZero
port 9400 - InCommand
port 9872 - Portal of Doom
port 9873 - Portal of Doom
port 9874 - Portal of Doom
port 9875 - Portal of Doom
port 9876 - Cyber Attacker
port 9878 - TransScout
port 9989 - iNi-Killer
port 10067 - Portal of Doom
port 10101 - BrainSpy
port 10167 - Portal of Doom
port 10520 - Acid Shivers
port 10607 - Coma
port 11000 - Senna Spy
port 11223 - Progenic trojan
port 12076 - Gjamer
port 12223 - Hack«99 KeyLogger
port 12345 - GabanBus, NetBus, Pie Bill Gates, X-bill
port 12346 - GabanBus, NetBus, X-bill
port 12361 - Whack-a-mole
port 12362 - Whack-a-mole
port 12631 - WhackJob
port 13000 - Senna Spy
port 16969 - Priority
port 17300 - Kuang2 The Virus
port 20000 - Millennium
port 20001 - Millennium
port 20034 - NetBus 2 Pro
port 20203 - Logged
port 21544 - GirlFriend
port 22222 - Prosiak
port 23456 - Evil FTP, Ugly FTP, Whack Job
port 23476 - Donald Dick
port 23477 - Donald Dick
port 26274 - Delta Source
port 29891 - The Unexplained
port 30029 - AOL Trojan
port 30100 - NetSphere
port 30101 - NetSphere
port 30102 - NetSphere
port 30303 - Sockets de Troi
port 30999 - Kuang2
port 31336 - Bo Whack
port 31337 - Baron Night, BO client, BO2, Bo Facil, BackFire, Back Orifice, DeepBO
port 31338 - NetSpy DK ,Back Orifice, DeepBO
port 31339 - NetSpy DK
port 31666 - BOWhack
port 31785 - Hack«a«Tack
port 31787 - Hack«a«Tack
port 31788 - Hack«a«Tack
port 31789 - Hack«a«Tack
port 31791 - Hack«a«Tack
port 31792 - Hack«a«Tack
port 33333 - Prosiak
port 33911 - Spirit 2001a
port 34324 - BigGluck, TN
port 40412 - The Spy
port 40421 - Agent 40421, Masters Paradise
port 40422 - Masters Paradise
port 40423 - Masters Paradise
port 40426 - Masters Paradise
port 47262 - Delta Source
port 50505 - Sockets de Troie
port 50766 - Fore, Schwindler
port 53001 - Remote Windows Shutdown
port 54320 - Back Orifice 2000
port 54321 - School Bus, Back Orifice 2000
port 60000 - Deep Throat
port 61466 - Telecommando
port 65000 - Devili

[C|EH]

أو أدخل هنا ، قائمة مرتبة

https://www.nthelp.com/trojan_ports_list.htm

[C|EH]

توضيع بسيط ، البورتات رقم 139 - 137 - 445 قد يتم ادراجها في بعض القوائم ، وهذا خطا ، صحيح انها ضعيفة ويتم الاختراق من خلالها أحيانا ، ولكنها للاجهوة التي تعامل مع مشاركة الملفات ، وه ضرورية لا تعمل الشبكات بدونها .

اما اذا كنت لا تستعمل المشاركة بين الاجهزة او الطابعة ، فيستحسن غلقها ، لانها تأتي مفتوحة جاهزة في الوندوز ،،

هنا شرح كيفية إغلاقها بالفيديو ،،

https://www.4shared.com/file/3060501...loseports.html

[adam black ice]

شكرا يا مشرفنا الغالى واللهى رائع

[romio]

قبل أي شيء مشكور أخي على البرنامج وجزاك الله خير.
ولي استفسار بسيط... أنا مثلا كنت أعمل الهاك بواسطة برامج مثل Sub seven أو Nova أو غيرها من برامج الإختراق وكنت أدخل وأقوم بالإختراق بواسطة أي عنوان سواء TCP أو UDP وذلك على أي بورت وليس بورت محدد كما قلت أنت سابقاً "المشكلة الكبيرة هي... أن أكثر البورتات أهمية هي ما بين 23000 و 64000 لأنهم الأكثر استخداماً على الشبكة هذه الأيام لكثرة استخدام BitTorrent لتبادل البيانات... أنا أعلم أنه لكي يتم إختراق جهازي يتطلب ملف سيرفر أقوم بفتحه ليحصل الهاكر على البورت المفتوح والعنوان الخاص بجهازي ولكن هذه الأشياء قديمة جدا الآن... فهل من الممكن إختراق جهازي عبر برنامج مثل هاك أتاك بدون ملفات السيرفر -بمعنى أنه إذا فتح البورت على الشبكة فقط-؟

لكي أكون واضحاً أكثر... ما فائدة البرنامج إذا كان عندي برنامج مكافح لأحصنة طروادة أو الأبواب الخلفية أو هاي جاك مثل نروتون 2006؟

[C|EH]

حياكم اله يا اخوان ، على ردردكم الطيبة ،،

اخي romio يمكنك الاختراق بواسطة بعض البورتات وليس كلها ، ولكن لكل بورت شروط معينة ،،

مثلا انت عندما تصبع سيرفر لاي برنامج اختراق ، تحدد البورت اللذي سوف تدخل من خلالة ، حتى يتمكن السريفر من فتحة في جهاز الضحية ،

وهي اكثر طرق الاختراق انتشارا وهي انجحها في الحقيقة ، وايضا اسهلها ، وهي تعطي تحكم كامل بالجهاز ،

اما قولك انها لا تفع الان ، فهذا غير صحيح ، بل انتشارها يزيد بشكل رهيب ، وهي في تطور باهر ، وخاصة علم التشفير والدمج والضغط ،، الان بإستطاعتك عمر dowunloader بحجم 1 كيلو بايب ، عبارة عن بعض الاوامر وهي ليست فايرس ، ولكنها تعمل على عمل سماحية لملف معين من خلال الانتي فايرس ، ثم تقول بعمل download للسرفر من خلال الموقع اللي انت رافع السريفر عليه ، بدون علمك ،،

وايضا ضغط الباتش بأساليب كثيرة مع التشفير ، وهي عملية ليست بالصعبة ، وسوف ادرج لك فيديو بعملية تشفير بسيط ، منعت النورتن من كشف السيرفر ،، وايضا الRootKit واشياء كثيرة تتطور مع مرور الزمن ،،

هذه طريقة ،،

والطريقة الثانية هي الاختراق عن طريق بورتات مفتوحة بكل الاجهزة مثل 139 - 137 - 445 وهي موجودة بكل الاجهزة ، بواسطتها تستطيع الدخول على اي درايف في الجهاز ، لان كل الدرايفرات في الوندز هي ديفولت شير ، للاسف ،، مجرد امر واحد بالدوس كومانت تدخل على اي درايف في جهاز الضحية ،، انظر الصورة ،،



ايضا من خلال البورت 80 بشرط ان يكون الجهاز مفعل ال Wep service

الاداه NetCut قوية جدا بهذا المجال وهي تروجان على نظام لينوكس ، لا يستطيع كل مكافحات الفيروسات اكتشافها للاسف ،

هناك الفايرس Eblaster يقوم مصنعوه بإعطائك كفالة على انه لا يكتشف ابدا ، وسعرة 100 دولار تطلبه حسب المواصفات ،،

وهناك طرق كثيرة ، ولكن لان هذا القسم هو لتعليم الحماية ، لا اريد التفصيل بها ،،

طيب خذ هذا الفيديو ،، ودقق به ،، اولا يقوم النورتن بكشف السيرفر ، ثم يتم اغلاق النورتن وتشفير السيرفر ، ثم تشغيل النورتن ، وعمل سكان فلا يكتشفة ،،

https://www.4shared.com/file/3066561...ct_trojan.html

[romio]

أنا تحدثت عن برنامج نورتون 2006... فهل قمت بتلك التجربة معه؟؟
ثانياً: من قال أن برنامج NetCut ليس له علاج؟!!!!!!
ثالثاً: ملف الواحد كيلو اللي حضرتك سبق وتحدثت عنه, ألا يعتبر أنه ملف ضار؟. وهو أبسط بكثير من ملفات ضارة أخرى ونورتون 2006 يمكنه علاج ذلك.
رابعاً: إذا قمت أنا بعمل تحديد للمستخدمين بحذف خاصية use simple sharring وتحديد من يعمل على الحاسب للمدير Administrator فهل هذا يكفي؟

أخي في الله, لا تفهم قصدي من الأسئلة شيء سيء, فأنا كل ما أريده التعلم هذا فقط كل ما أريده
وربنا يبارك فيك على المعلومات القيمة

[C|EH]

أخي romio ،،

برنامج NetCut يوجد منه اثنان ، واحد وهو اللي يقطع الناس من النت والشبكة والامور ،،

الثاني وهو قصدي وهو اللينوكس Under Dos يعمل ببيئة dos في الونودز ،، هذا لا اعرف له علاج ابدا ،، حتى استاذنا في CEH يقول هذه الاداه ليس لها علاج ،، هناك كتاب اسمة AntiyHacker ToolKit

ياريت تشتريه ، يوجد منه نسخة مترجمة للعربية ايضا ،، اول قسم فقط في شرح أداه NetCut

،،

شيء جميل انك تحدد المستخدمين وفيه تقييد للحرية بشكل جيد ،، ولكن بامرين إثنين ، احطهم بملف Bat ولن يكتشفهم اي حماية ،، راح اكون آدمن في جهازك ،، ممكن ترسله على بريد او من المسنجر او اي سبيبل للاتصال ،

راح ارسللك رابط شرح فيديو للامر ولكن على رسالة خاصة ، جرب وقولي ،،

[الحاتمي]

بارك الله فيك أخوي C|EH

[romio]

وصلتني الفكرة تمام... مشكور أخي على المعلومات.
ما أظن إني راح أستقبل أي ملفات من أي شخص مهما كانت أهمية الموضوع.
شكرا أخي مرة أخرى على المعلومات.

[القارئ]

بسم الله الرحمن الرحيم

جزاك الله خيرا على الموضوع والبرنامج

ولكن صديقي وجد لديه حوالي أربعة بورتات ممن ذكرتهم في القائمة فهل هذا يعني أنه معرض للاختراق أو تم فعلا اختراقه ؟

ومن ضمن هذه البروتات أحدها موجود في الصورة التي عرضتها للبرنامج مع اختلاف في الـ PID و الــ process
فما رأيك هل يعمل لهذه المنافذ Kill ؟ وإذا توقفت الخدمة التي تستخدم هذه المنافذ كيف يمكن فتح المنفذ مرة أخرى ؟؟

وكيف يمكن معرفة أن تم دخول شخص ما عن طريق هذا المنفذ من قبل ؟
وما المقصود بالــ PID و local IP ؟

ويوجد بورت مكتوب وصفه في القائمة التي ذكرتها ICQ
مع أنه لا يستخدم برنامج الــ ICQ

للعلم لقد قمنا بكتابة الأمر netstat -a في شاشة الدوس ووجدنا أحد البورتات الخطيرة الموجودة في حالة listening مع أننا قمنا بإغلاق كافة المسنجرات وصفحات الويب
وكان الشكل كالآتي :
تحت قائمة local address
اسم الكومبيوتر : رقم البورت المعني

تحت قائمة foreign address
نفس اسم الكومبيوتر : 0 ( أي رقم صفر )

وفي أسطر أخرى مكتوب تحت local address
اسم الكومبيوتر : نفس البورت المعني

وتحت قائمة foreign address
localhost : رقم بورت آخر


فهل يعني أن الجهاز في خطر

لقد لاحظنا اليومين الفائتين لخبطة كبيرة بالجهاز وتهنيج بطريقة مريبة ومتكررة


أيضا ما معنى هذه العلامة التي توجد تحت قائمة foreign address

والعلامة هي *:*

وهى متكررة بكثير في عدة أسطر


بصراحة خبرتك الكبيرة تدعوني للأسئلة والتعلم أنتظر إجاباتك عن هذه الأسئلة
وأتمنى أن أكون وفقت في شرح المشكلة بشكل جيد
والسلام عليكم ورحمة الله وبركاته

[Eng:Reem]

ما شاء الله عليك دائمــاً تتحفنا بمواضيعك ..

شكراً أخوي ....

[Eng:Reem]

أيضا ما معنى هذه العلامة التي توجد تحت قائمة foreign address

والعلامة هي *:*

وهى متكررة بكثير في عدة أسطر

__________________

[C|EH]

حياكم الله ،، بالنسبة للاخ القاريئ

اولا : قل لنا ماهي البورتات اللي وجدها مفتوحة ، هل هي بقائمة التورجونات ، ومقابلها اسم البرنامج بالضبط

ام وجدت البورت مع برنامج مختلف ، لان هناك بورتات مستخدمة من الوندوز بالفعل ، ولكن تستغلها التروجونات ،،

بالنسبة لأمر Netstat

فهو اختصار لـNetwork Status. يستخدم هذا الأمر لعرض وضع بروتوكولات الشبكة TCP/IP

وفيه عدة اوامر ،،

انت استعمل الامر netstat -n

سوف يعرض لك كل البورتات والايبيات المتصل جهازك بها ووضعية الاتصال ،،

وهي كالتالي local address هنا رقم الاي بي تبعك ثم رقم البورت ،،

Foreign Address رقم الاي بي للجهة المقابلة سواء كانت صفحة وب او مسنجر او اي شيء

State وهي حالة الاتصال ولايهمك بها سوى ESTABLISHED هي ان هناك اتصال ناجح مؤسس
اما الباقي ماعليك منه ،،

اذا عملت Kill لاي بورت ، راح يذهب ، بس راح يشتغل مرة أخرى اذا شغلت البرنامج اللي يعتمد على البورت اتوماتيكيا