TurkisH
12-02-2006, 03:54 PM
Trojanlar açık olan portlar aracılığıyla diğer bilgisayar ile irtibat kurar. Artık neredeyse tüm yeni trojanların portlarını değiştirmek mümkün olmaktadır. Fakat trojan kullanmayı seven arkadaşlar genellikle port ve diğer ayarlarını değiştirmeden kullandıkları için default olarak trojanlar tarafından kullanılan
portların bilinmesinde fayda var(en azından çok kullanılan trojanların). Peki sisteminizde tehlikeli bir port un açık olduğunu nasıl anlayabiliriz. Burada yine windows imdadımıza yetişiyor. Başlat-Programlar-MsDos komut istemi çalıştırılırsa karşımıza ms-dos ortamı çıkar. Burada:
c:\windows>netstat -an ,netstat -a ,netstat -n
bunlardan birini yazıp enter a basarsanız o anda bilgisayarınızın iletişim halinde olduğu bilgisayar ile arasındaki kullanılmakta olan portlar ve ip numaraları gösterilir...
Yerel adres sizi, yabancı adres bağlantı kurduğunuz karşı bilgisayarı gösterir.
Yerel adresde sizin açık portlarınız görünür,bu portlara bakarak neler olduğunu anlayabilirsiniz.
54321 veya 31337 gibi portlar açıksa kesinlikle bilgisayarda trojan olduğunun göstergesidir.
54321 schoolbus 31337 BO trojanın kullandığı default portlardır. Ayrıca bunun yanında o an için başka bağlantılarda olabilir,bunlar ise sizin o an için bağlantı kurduğunuz web sayfalarına bağlantı kurduğunuzu gösterir.
Bilgisayarınızda,bağlantı kurmuş olduğunuz web sayfaları haricinde bağlantı var peki bunlar ne;işte sizin bilgisayarınızda ya davetsiz misafirleriniz var yada mevcut trojan iş başında demektir.Web sayfalarına bağlantı
kuruldu ise karşı bilgisayarın kullandığı port 80 yada 8080,mail server a bağlanarak mailleri kontrol ediyorsak 110, ftp programı ile web sitemize dosya gönderiyorsak 21, telnet ile bağlantı kurmuş isek 25 numaralı portlar yabancı bilgisayarın açık portları olarak görünür. Bunun haricindeki portlardan yapılan(yabancı bilgisayarın portları) bağlantılar tehlikeli olabilir. Fakat Chat ve proxy istisnası var. Chat programı karşı tarafın 6667, 7000 gibi portlarını açabilir. Eğer internete bir proxy üzerinden bağlanıyorsak bağlantı yapılan bilgisayarın portu 1080 olarak görünebilir(tabi ki proxy istisna bir durumdur). Çoğu kullanıcı normal bağlantı kurar.)
Bir portun açık olması bağlantı kurulduğu anlamına gelmez.Örneğin 54321 numaralı port açıktır ama bağlantı kurulmamıştır.Port açık ve İP adresi görüyorsak bilin ki bağlantı gerçekleşmiştir.Yani kesinlikle bilgisayara girildiğinden bahsedebilirdik.
Aşağıda gösterilen port numaraları server dosyasının ayarları değiştirilmediği sürece doğrudur.
TROJAN İSİMLERİ VEKULLANDIĞI PORTLAR:
icqtrojana-4950
girlfriend-21554
bo-31337
ftp99cmp-1492
master paradise-40421
fire hotker-5321
sockets de troje-30303
executor-80
gate crasher-6969
hackers paradise-456
hack99 keyloger-12223
netspy-31339
net monitor-7300
subseven-1243-27374
invasor-2140
Wincrach 1.03-5742
Wincrach 2.0-2583
Silencer-1001
Devil-65000
Millenium-20001
Phineas-2801
Backdoor-1999
Evilftp-23456
Phasezero-555
Psyber Streaming Server-1509
SSTROJG-11000
Voice Client-1514
Netbus-12345-20034
Schoolbus-54321
portların bilinmesinde fayda var(en azından çok kullanılan trojanların). Peki sisteminizde tehlikeli bir port un açık olduğunu nasıl anlayabiliriz. Burada yine windows imdadımıza yetişiyor. Başlat-Programlar-MsDos komut istemi çalıştırılırsa karşımıza ms-dos ortamı çıkar. Burada:
c:\windows>netstat -an ,netstat -a ,netstat -n
bunlardan birini yazıp enter a basarsanız o anda bilgisayarınızın iletişim halinde olduğu bilgisayar ile arasındaki kullanılmakta olan portlar ve ip numaraları gösterilir...
Yerel adres sizi, yabancı adres bağlantı kurduğunuz karşı bilgisayarı gösterir.
Yerel adresde sizin açık portlarınız görünür,bu portlara bakarak neler olduğunu anlayabilirsiniz.
54321 veya 31337 gibi portlar açıksa kesinlikle bilgisayarda trojan olduğunun göstergesidir.
54321 schoolbus 31337 BO trojanın kullandığı default portlardır. Ayrıca bunun yanında o an için başka bağlantılarda olabilir,bunlar ise sizin o an için bağlantı kurduğunuz web sayfalarına bağlantı kurduğunuzu gösterir.
Bilgisayarınızda,bağlantı kurmuş olduğunuz web sayfaları haricinde bağlantı var peki bunlar ne;işte sizin bilgisayarınızda ya davetsiz misafirleriniz var yada mevcut trojan iş başında demektir.Web sayfalarına bağlantı
kuruldu ise karşı bilgisayarın kullandığı port 80 yada 8080,mail server a bağlanarak mailleri kontrol ediyorsak 110, ftp programı ile web sitemize dosya gönderiyorsak 21, telnet ile bağlantı kurmuş isek 25 numaralı portlar yabancı bilgisayarın açık portları olarak görünür. Bunun haricindeki portlardan yapılan(yabancı bilgisayarın portları) bağlantılar tehlikeli olabilir. Fakat Chat ve proxy istisnası var. Chat programı karşı tarafın 6667, 7000 gibi portlarını açabilir. Eğer internete bir proxy üzerinden bağlanıyorsak bağlantı yapılan bilgisayarın portu 1080 olarak görünebilir(tabi ki proxy istisna bir durumdur). Çoğu kullanıcı normal bağlantı kurar.)
Bir portun açık olması bağlantı kurulduğu anlamına gelmez.Örneğin 54321 numaralı port açıktır ama bağlantı kurulmamıştır.Port açık ve İP adresi görüyorsak bilin ki bağlantı gerçekleşmiştir.Yani kesinlikle bilgisayara girildiğinden bahsedebilirdik.
Aşağıda gösterilen port numaraları server dosyasının ayarları değiştirilmediği sürece doğrudur.
TROJAN İSİMLERİ VEKULLANDIĞI PORTLAR:
icqtrojana-4950
girlfriend-21554
bo-31337
ftp99cmp-1492
master paradise-40421
fire hotker-5321
sockets de troje-30303
executor-80
gate crasher-6969
hackers paradise-456
hack99 keyloger-12223
netspy-31339
net monitor-7300
subseven-1243-27374
invasor-2140
Wincrach 1.03-5742
Wincrach 2.0-2583
Silencer-1001
Devil-65000
Millenium-20001
Phineas-2801
Backdoor-1999
Evilftp-23456
Phasezero-555
Psyber Streaming Server-1509
SSTROJG-11000
Voice Client-1514
Netbus-12345-20034
Schoolbus-54321