我用sanner扫描我的局域网,发现1/15的机子的1025口是开着的,但查不出木马

BCB 2003-02-13 09:49:41
显示
1025口-----blackjack
许多资料提到blackjack,但它究竟是黑客呢还是什么并没有介绍,
发现我的两台win2000server的1025口就是开着的,
个别win98的1025也有开着的,msconfig也找不着木马,
有没有谁了解它的?


...全文
112 7 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
7 条回复
切换为时间正序
请发表友善的回复…
发表回复
BCB 2003-02-15
  • 打赏
  • 举报
回复
512 msdtc -> 1025 TCP C:\WINNT\System32\msdtc.exe
这个程序是干啥用的

BCB 2003-02-15
  • 打赏
  • 举报
回复
谢谢楼上yztgx(静风),你将得到100分

搜到的文章:
http://www.sjbl.com/doc2/muma1.htm
查看开放端口判断木马的方法

http://www.foundstone.com/knowledge/zips/fport.zip
http://www.smartline.ru/software/aports.zip

运行结果:
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com

Pid Process Port Proto Path
612 tcpsvcs -> 7 TCP C:\WINNT\System32\tcpsvcs.exe
612 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe
612 tcpsvcs -> 13 TCP C:\WINNT\System32\tcpsvcs.exe
612 tcpsvcs -> 17 TCP C:\WINNT\System32\tcpsvcs.exe
612 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe
1172 wins -> 42 TCP C:\WINNT\System32\wins.exe
1216 dns -> 53 TCP C:\WINNT\System32\dns.exe
1236 inetinfo -> 80 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
452 svchost -> 135 TCP C:\WINNT\system32\svchost.exe
8 System -> 139 TCP
8 System -> 445 TCP
612 tcpsvcs -> 515 TCP C:\WINNT\System32\tcpsvcs.exe
8 System -> 548 TCP
512 msdtc -> 1025 TCP C:\WINNT\System32\msdtc.exe
612 tcpsvcs -> 1028 TCP C:\WINNT\System32\tcpsvcs.exe
984 MSTask -> 1029 TCP C:\WINNT\system32\MSTask.exe
1216 dns -> 1032 TCP C:\WINNT\System32\dns.exe
1172 wins -> 1036 TCP C:\WINNT\System32\wins.exe
1332 mqsvc -> 1038 TCP C:\WINNT\System32\mqsvc.exe
1236 inetinfo -> 1039 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
8 System -> 1042 TCP
772 sqlservr -> 1433 TCP C:\PROGRA~1\MICROS~4\MSSQL$~2\binn\sqlservr.exe
8 System -> 1723 TCP
1332 mqsvc -> 1801 TCP C:\WINNT\System32\mqsvc.exe
8 System -> 1884 TCP
1332 mqsvc -> 2103 TCP C:\WINNT\System32\mqsvc.exe
1332 mqsvc -> 2105 TCP C:\WINNT\System32\mqsvc.exe
1332 mqsvc -> 2107 TCP C:\WINNT\System32\mqsvc.exe
512 msdtc -> 3372 TCP C:\WINNT\System32\msdtc.exe
916 sqlservr -> 3482 TCP e:\MICROS~1\MSSQL$~1\binn\sqlservr.exe

612 tcpsvcs -> 7 UDP C:\WINNT\System32\tcpsvcs.exe
612 tcpsvcs -> 9 UDP C:\WINNT\System32\tcpsvcs.exe
612 tcpsvcs -> 13 UDP C:\WINNT\System32\tcpsvcs.exe
612 tcpsvcs -> 17 UDP C:\WINNT\System32\tcpsvcs.exe
612 tcpsvcs -> 19 UDP C:\WINNT\System32\tcpsvcs.exe
1172 wins -> 42 UDP C:\WINNT\System32\wins.exe
1216 dns -> 53 UDP C:\WINNT\System32\dns.exe
612 tcpsvcs -> 67 UDP C:\WINNT\System32\tcpsvcs.exe
612 tcpsvcs -> 68 UDP C:\WINNT\System32\tcpsvcs.exe
452 svchost -> 135 UDP C:\WINNT\system32\svchost.exe
8 System -> 137 UDP
8 System -> 138 UDP
1016 snmp -> 161 UDP C:\WINNT\System32\snmp.exe
8 System -> 445 UDP
276 lsass -> 500 UDP C:\WINNT\system32\lsass.exe
628 svchost -> 1026 UDP C:\WINNT\System32\svchost.exe
628 svchost -> 1027 UDP C:\WINNT\System32\svchost.exe
1216 dns -> 1030 UDP C:\WINNT\System32\dns.exe
1216 dns -> 1031 UDP C:\WINNT\System32\dns.exe
264 services -> 1034 UDP C:\WINNT\system32\services.exe
1172 wins -> 1035 UDP C:\WINNT\System32\wins.exe
1332 mqsvc -> 1037 UDP C:\WINNT\System32\mqsvc.exe
1992 Rundll32 -> 1096 UDP C:\WINNT\System32\Rundll32.exe
916 sqlservr -> 1434 UDP e:\MICROS~1\MSSQL$~1\binn\sqlservr.exe
628 svchost -> 1645 UDP C:\WINNT\System32\svchost.exe
628 svchost -> 1646 UDP C:\WINNT\System32\svchost.exe
8 System -> 1701 UDP
628 svchost -> 1812 UDP C:\WINNT\System32\svchost.exe
628 svchost -> 1813 UDP C:\WINNT\System32\svchost.exe
1872 iexplore -> 2406 UDP C:\Program Files\Internet Explorer\iexplore.exe
612 tcpsvcs -> 2535 UDP C:\WINNT\System32\tcpsvcs.exe
1236 inetinfo -> 3456 UDP C:\WINNT\System32\inetsrv\inetinfo.exe
1332 mqsvc -> 3527 UDP C:\WINNT\System32\mqsvc.exe



BCB 2003-02-15
  • 打赏
  • 举报
回复
Active Ports是什么软件?
BCB 2003-02-14
  • 打赏
  • 举报
回复
楼上的老兄的话有点相信,可以是有人看了某些不干净的网站,
怎样去掉它的诊听,有没有高见?
yztgx 2003-02-14
  • 打赏
  • 举报
回复
用Active Ports看看那个进程在监听1025,
不一定是木马,IE一般会打开连续的端口:1025,1026,1027……,

楼主是不是扬州的
BCB 2003-02-13
  • 打赏
  • 举报
回复
老兄,端口“分配”跟“诊听”不一样呀,
你谈的是端口的动态分配,如果你用IE访问网站
每一个窗口都将占用一个本地端口,
而我的1025口是处于诊听态,开放着,
现在的黑客技术非常高,你是找不着木马的位置

xwmhn 2003-02-13
  • 打赏
  • 举报
回复
不要紧的,1025口这个是动态端口的开始。为了验证这一点,你可以重启机器,打开Telnet,再打开一个窗口运行“natstat -a”,你将会看到Telnet被分配1025端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍,当你浏览Web页时用“netstat”查看,每个Web页需要一个新端口。 只要自己注意防护就行了,没有中马的~

6,210

社区成员

发帖
与我相关
我的任务
社区描述
windows网络管理与配置
社区管理员
  • 网络管理与配置社区
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧