Port yang sering menjadi jembatan para cracker

Seringkali saat menjalankan suatu scanner, anda menjumpai port-port terbuka yang cukup familiar. Tabel dibawah berguna sebagai ceklis untuk UNIX maupun NT, sebab seringkali port-port berikut aktif (kadang secara default) walaupun sebetulnya tidak begitu diperlukan (contoh: server khusus web yang secara tidak sengaja juga menjalankan server e-mail, etc). Berikut adalah daftar port, sedikit informasi, dan (jika ada) eksploit yang relevan, tersedia di arsip Kecoak yang baru di-update (exploit search coming soon!). Gunakan informasi ini secara bijaksana :)No. Protokol Label Port Nama Port Keterangan
19 tcp/udp chargen Character Generation Generator karakter ini mengembalikan deretan karakter-karakter. Walaupun sebagian besar layanan yang ada sekarang terbatas ke 512 byte, namun bisa dijumpai server yang mengirimkan karakter secara terus menerus sampai hubungan ke port ini diputuskan. Seringkali di server-server lama, jika jumlah klien yang membuka hubungan mencapai nilai ratusan secara sekaligus, CPU time akan terkonsumsi secara besar-besaran, mebuat sang server merangkak. Serangan tipe Denial of Service paling sederhana adalah dengan me-redireksi keluaran port 19 ke port lain (mentargetkan mesin-mesin Windows NT)
20/21 tcp ftp File Transfer Protocol Protokol untuk menangani pentransferan file(-file) dari satu komputer ke komputer lainnya. Protokol ini menggunakan dua saluran, yang satu sebagai saluran untuk mengendalikan lalulintas data, sedangkan yang satunya lagi untuk dilintasi oleh data itu sendiri. Proses autentifikasi berdasar login/password. FTP adalah metode paling sering digunakan di situs-situs web untuk mengirim file (seringkali akses ‘ftp only’ diberikan kepada para pelanggan webhosting). Siapapun yang berhasil login akan diberikan hak yang sama berdasar id (jadi boleh menulis ke direktori ‘home’ milik user tsb), atau bahkan di banyak server, boleh membaca / tulis direktori milik pengguna lain. Eksploit-eksploit yang beredar termasuk untuk program-program wu_ftpd, ncftpd, ftpbounce, dll.

23 tcp telnet Telnet Metode login jarak jauh yang paling populer. Walaupun tidak seaman ssh (data yang melintasi tidak dienkripsi secara otomatis), masih terlalu banyak server-server yang mengizinkan login jarak jauh langsung tipe ini (sebagian besar UNIX, beberapa VMS). Metode ini pulalah yang paling sering diserang oleh chracker-chracker, terkadang dengan se-membabibuta mengetikkan root/daemon/dll, dan mencobakan password-password default. Seringkali mesin-mesin yang sebenarnya tidak berfungsi melayanin user (seperti dns, webserver, etc) menjalankan fungsi ini walaupun sebetulnya, tidak begitu diperlukan.

25 tcp mail Simple Mail Transfer Protokol pentransferan pesan sederhana, adalah standar de facto untuk internet. Termasuk salah satu port yang dijadikan sasaran eksploit-eksploit, yang berjumlah sampai puluhan saking populernya. Karena protokol ini memerlukan akses berprivilese tinggi (seringkali setara root/admin) supaya bisa menulis ke direktori milik user manapun juga. Sebaiknya dihilangkan bagi mesin-mesin yang tidak begitu memerlukannya.

48 tcp/udp auditd Digital Audit Daemon Digunakan oleh daemon audit komputer-komputer Digital untuk menjalankan tugas-tugas administrasi. Banyak sniffer yang mentargetkan port ini.
53 tcp/udp dns Domain Name Server salah satu layanan yang cukup vital, dijalankan di server-server, berfungsi untuk memberikan informasi berbentuk alamat IP xxx.xxx.xxx.xxx untuk setiap permintaan penterjemahan dari nama-nama domain. Eksploit nameserver bisa dicari di internet atau di arsip kecoak.
79 tcp finger Finger Daemon daemon yang bertugas memberikan informasi mengenai pengguna-pengguna suatu sistem kepada sang peminta (seringkali siapa saja). Pada versi-versi lama Unix, perintah:
finger user@host1@host2@etc…(termasuk firewall)
menjadikan sang peminta lebih anonimus sebab user@host1 akan melihat bahwa peminta berasal dari host2 atau bahkan firewall.
80/
8000/
8080/
dll tcp http WWW, HyperText Transfer Protocol Protokol pentransferan data berformat HTML (webpage-webpage) lainnya dari server kepada publik. Port ini sangat populer dijadikan sasaran para chracker (terutama ditargetkan oleh program-program pelacak kelemahan CGI), sebab banyak program CGI yang bisa dieksploit. Mesin-mesin yang menyediakan servis ‘Frontpage Extensions’ secara default terkenal berlobang besar, dan di-’patch’. Ada juga serangan dari pengunjung yang mencoba mengakses direktori-direktori yang terlindung password (contohnya di situs-situs porno) dengan cara mem-brute force proses otentifikasi (UserID dan Password), sebab serangan semacam ini tidak direkam oleh log server.
110 tcp/udp pop3 Post Office Protocol v3 Protokol standar pemeriksaan email jarak jauh. Biasanya user (atau program e-mail client user) melog-on untuk memeriksa dan mengambil pesan email yang diterima lewat mailbox server. Hilangkan jika anda tidak membutuhkan layanan ini pada suatu server. Protokol ini mengizinkan siapapun untuk memasukkan kombinasi (lewat skrip) user+password secara ‘brute force’ tanpa mencatat log.
111 tcp/udp sunrpc Sun Remote Procedure Call Beberapa portscanner mentargetkan port ini, dan terdapat beberapa program yang mengeksploit port ini (mesin-mesin Sun/Solaris).
139 tcp/udp netbios-ssn NetBIOS Session Service Port inilah yang biasanya digunakan sebagai sarana komunikasi dengan atau antara mesin-mesin Microsoft (NT/95/98). Penyerang seringkali mentargetkan ’shared device’ yang bisa diakses lewat internet. Juga terdapat banyak program ‘nuker’ yang men-denial-of-service-kan mesin-mesin Windows via port 139. Selain di mesin-mesin NT, mesin-mesin Unix juga menjalankan servis di port ini, yaitu Samba, yang memberikan kemudahan bernetwork antara mesin platform Unix dengan mesin Windows. Jalankan ADMSMB scan atau eksploit untuk memeriksa vulnerabilitas.

143 tcp/udp imap2 Interactive Mail Access Protocol Protokol pengaksesan e-mail lainnya. Seringkali berjalan tanpa diperlukan. Mesin-mesin UNIX (terutama Linux) yang menjalankan imap instalasi default terbuka terhadap serangan yang bisa berakibat pemberian privilese root kepada sang chracker.
443 tcp https Hypertext Transfer Protocol-Secure Daemon penerima permintaan tipe http yang berjalan diatas ’secure layer’ (terenkripsi). Lihat keterangan untuk port 80 diatas.
512 tcp exec Remote Process Execution Mengizinkan eksekusi proses jarak jauh dengan sistem autentifikasi berdasar file /etc/passwd.
513 tcp rlogin Remote Login Protocol Port inilah yang digunakan jika anda melakukan ‘rlogin’ ke suatu host. Dengan rlogin, user di host A tidak perlu melewati proses login lewat telnet ke host B seperti biasa, namun bisa langsung masuk ke home directorynya di host B (tanpa password). Jika seorang chracker berhasil menjebol root di salah satu host, rlogin adalah sarana paling cocok untuk digunakan ‘meloncat’ ke host lain dalam network yang sama dan mengambil alih kontrol.

Referensi Port-Port ‘Menarik’ - alpha

disusun dari berbagai sumber oleh BigDaddy (bigd@k-elektronik.org)

    Category

    • (27)
    • (24)
    • (20)
    • (11)

    Category

    • (27)
    • (24)
    • (20)
    • (11)

    Category

    • (27)
    • (24)
    • (20)
    • (11)