DEMETOLE-TICS: julio 2010

viernes, julio 30, 2010

Linux Detectar RootKits.

Tomado de: Blog de Redes Privadas

Una vez presentadas las características de los rootkits y la herramienta que tenemos en Linux para combatirlos, vamos a pasar a instalar Rkhunter 1.3.6 en una máquina CentOS 5.4 de 64 bits.

Rkhunter puede instalarse de forma permanente en el sistema:

[root@centos ~]# tar zxf rkhunter-1.3.6.tar.gz

[root@centos ~]# cd rkhunter-1.3.6

[root@centos rkhunter-1.3.6]# ./installer.sh --install

O de forma temporal:

[root@centos ~]# mkdir /tmp/rkh

[root@centos ~]# cd /tmp/rkh

[root@centos rkh]# tar zxf rkhunter-1.3.6.tar.gz

[root@centos rkh/rkhunter-]# cd rkhunter-1.3.6

[root@centos rkhunter-1.3.6]# ./installer.sh --layout custom . --install

[root@centos rkhunter-1.3.6]# cd files

Para el caso del presente artículo emplearemos la forma temporal. Lo primero que haremos será actualizar las bases de datos con la información del malware actualizada por los desarrolladores de Rkhunter, y a continuación, crearemos una base de datos inicial (rkhunter.dat) con la información (MD5, permisos, etc.) de los principales binarios del sistema.

[root@centos files]# ./rkhunter --update
[ Rootkit Hunter version 1.3.6 ]

Checking rkhunter data files...
Checking file mirrors.dat                                  [ No update ]
Checking file programs_bad.dat                             [ No update ]
...

[root@centos files]# ./rkhunter --propupd
[ Rootkit Hunter version 1.3.6 ]
File created: searched for 159 files, found 134, missing hashes 35

Si en algún momento alguno de los binarios sufre algún tipo de modificación, tendremos que volver a ejecutar la opción propupd.

Para realizar un escaneo ejecutaremos el siguiente comando (se ha obviado parte de la salida del comando):

[root@centos files]# ./rkhunter --check --sk
[ Rootkit Hunter version 1.3.6 ]          

Checking system commands...

Performing 'strings' command checks
 Checking 'strings' command                               [ OK ]

Performing 'shared libraries' checks
 Checking for preloading variables                        [ None found ]
 Checking for preloaded libraries                         [ None found ]
 Checking LD_LIBRARY_PATH variable                        [ Not found ]

Performing file properties checks
 Checking for prerequisites                               [ Warning ]
 /bin/awk                                                 [ OK ]  
 /bin/basename                                            [ OK ]
...
Checking for rootkits...

Performing check of known rootkit files and directories
 55808 Trojan - Variant A                                 [ Not found ]
 ADM Worm                                                 [ Not found ]
...
Performing additional rootkit checks
 Suckit Rookit additional checks                          [ OK ]
...
Performing malware checks
 Checking running processes for suspicious files          [ None found ]
...
Performing Linux specific checks
 Checking loaded kernel modules                           [ OK ]
...
Checking the network...

Performing check for backdoor ports
 Checking for TCP port 1524                               [ Not found ]
 Checking for TCP port 1984                               [ Not found ]
...
Performing checks on the network interfaces
 Checking for promiscuous interfaces                      [ None found ]

Checking the local host...

Performing system boot checks
 Checking for local host name                             [ Found ]
...
Performing group and account checks
 Checking for passwd file                                 [ Found ]
...
Performing system configuration file checks
 Checking for SSH configuration file                      [ Found ]
...
Performing filesystem checks
 Checking /dev for suspicious file types                  [ None found ]
 Checking for hidden files and directories                [ Warning ]

Checking application versions...

 Checking version of GnuPG                                [ OK ]
...
System checks summary
=====================

File properties checks...
 Required commands check failed
 Files checked: 134         
 Suspect files: 5           

Rootkit checks...
 Rootkits checked : 253
 Possible rootkits: 0

Applications checks...
 Applications checked: 4
 Suspect applications: 2

Dentro del log (rkhunter.log) podremos encontrar información más detallada sobre los warnings y errores encontrados.

Rkhunter dispone de un fichero de configuración donde podremos definir distintas opciones del escaneo (por ejemplo si está permitido el acceso por SSH para root).

[root@centos files]# cat rkhunter.conf
...
ALLOW_SSH_ROOT_USER=yes

LINUX - LISTADO DE PUERTOS

Tomado de: Listado de Puertos

Este es un listado de puertos con las aplicaciones definidas por IANA (acrónimo de Internet Assigned Number Authority), la Agencia de Asignación de Números Internet, quién fué el antiguo registro central de los protocolos de Internet, como Puertos, direcciones IP, etc. En 1998 fué sustituido por ICANN (Internet Corporation for Assigned Names and Numbers), Corporación de Internet para la Asignación de Nombres y Números.

Las aplicaciones asignadas por IANA para cada puerto se marcan en color negro, mientras que los troyanos y software malicioso que también hace uso de los mismos, se marcan en color rojo.

Por lo general, los troyanos utilizan por default los puertos aquí señalados, sin embargo pueden cambiar de puerto si este ya está ocupado o para tratar de pasar desapercibido. De cualquier manera, si encuentras algún puerto abierto y no estás seguro, revisa tu computadora con algún antivirus y asegúrate con un firewall.

Cabe mencionar que el número de puertos que se pueden utilizar es de 65535, significando que un troyano puede usar cualquiera de ellos.

Instrucciones

Selecciona los puertos que quieres escanear (hasta un máximo de 20) haciendo click en la casilla a la izquierda del Puerto o bién, presiona el botón de la derecha para escanear solo el puerto que seleccionaste.

Si seleccionas varios puertos, presiona el botón al final de la lista; la prueba puede tardar hasta un minuto.

Si quieres revisar un puerto que no aparece en el listado, intróducelo en la casilla de abajo y presiona el botón de Scan. El escaneador de puertos intentará probar ese puerto durante unos segundos.

Tu IP actualmente es 201.238.160.208

Nota: Sólo puedes seleccionar un máximo de 20 puertos por cada scan
Total Puertos listados: 110

x	#	Nombre	Descripción	Scan
	1	TCPMUX	Servicio de Multiplexación de Puertos; Protocolo muy poco usado en Internet.
	7	ECHO	Este protocolo fue propuesto originalmente para hacer pruebas en una red TCP/IP (actualmente, es mas común usar ping y traceroute) Cuando una computadora se conecta a un servidor que tiene el protocolo ECHO activo, va a contestar con los mismos datos que recibe, es decir, hace "eco" de la información.
	9	DISCARD	Al igual que ECHO, este protocolo fue diseñado para probar redes TCP/IP. Este servicio lo único que hace es recibir datos y desecharlos, sin enviar información de vuelta.
	13	DAYTIME	Cuando una computadora se conecta a este servicio, va a recibir de forma automática el día y la hora del servidor. (El formato de día y hora no está especificado).
	17	QUOTD	QUOTD (QUote Of The Day) o "cita del día". Este servicio regresa una frase célebre aleatoria a la computadora que se conecte por este puerto.
	18	SEND	Message Send Protocol, protocolo utilizado para comunicarse entre dos computadoras; actualmente se utiliza muy poco.
	19	CHARGEN	CHaracter GENerator o Generador de carácteres; utilizado para hacer pruebas en redes TCP. Cuando una computadora se conecta a este puerto, el servidor le comenzará a enviar carácteres aleatorios hasta que se desconecte. Actualmente, casi no se utiliza.
	20	FTP DATA	FTP es un protocolo utilizado para la transferencia de archivos entre dos computadoras. El puerto 20 es por donde se transmiten los datos, mientras que el puerto 21 se utiliza para la transferencia de los comandos de control. Cuando se utiliza FTP en modo ACTIVO, se utilizan tanto el puerto 20 como el 21; cuando el FTP se utiliza en modo PASIVO, solo se utiliza el puerto 21, tanto para transferencia de datos como de comandos.
	21	FTP CONTROL	FTP es un protocolo utilizado para la transferencia de archivos entre dos computadoras. El puerto 20 es por donde se transmiten los datos, mientras que el puerto 21 se utiliza para la transferencia de los comandos de control. Cuando se utiliza FTP en modo ACTIVO, se utilizan tanto el puerto 20 como el 21; cuando el FTP se utiliza en modo PASIVO, solo se utiliza el puerto 21, tanto para transferencia de datos como de comandos. Back Construction, Blade Runner, Doly Trojan, Fore, 7tp trojan, Invisible FTP, Larva, MBT, Motiv, Net Administrator, Senna Spy FTP Server, Traitor, WebEx, WinCrash (TCP)
	22	SSH	SSH (Secure SHell), es un conjunto de estándares que permite tener un canal de comunicación seguro entre dos computadoras. Hace uso de criptografia de llave pública para mantener la información segura de ojos ajenos a ésta.
	23	TELNET	Servicio ampliamente utilizado para comunicarse entre dos computadoras, emulando una terminal remota. Se le considera inseguro porque la información no está cifrada (codificada) y puede ser interceptada facilmente. En su lugar, es mas recomendable utilizar SSH. Prosiak (telnet), Tiny Telnet Server, Truva Atl, Telnet, Wingate (TCP)
	25	SMTP	Simple Mail Transfer Protocol, utilizado para recibir mails. Es un protocolo relativamente simple utilizado por los servidores de correo electrónico para recibir e-mails. Si el servidor de correo está mal configurado, se puede hacer abuso y mal uso de este servicio; normalmente un usuario de computadora en casa o en la oficina no debería tener este puerto abierto. Aji, Antigen, Email Password Sender, Email Worms, Gip, Happy99/Ska, Haebu Coceda, Loveletter, Kuang2, Magic Horse, Moscow Email Trojan, Neabi, ProMail trojan, NewApt, Shtrilitz, Stealth, Taripas, Terminator (TCP)
	26	RSFTP	Protocolo muy parecido al FTP, pero muy simplificado; actualmente casi en desuso.
	35	QMS MAGICOLOR	QMS Magicolor es una impresora a color que cuenta con un puerto paralelo y un puerto de red, por lo que es posible imprimir a travez de la red TCP. Normalmente, este servicio de impresión no debe estár abierto a Internet o cualquiera podría hacer impresiones.
	37	TIME	Es un servicio que da la fecha y hora en un formato que la computadora entiende. Una vez que el servidor manda la información, cierra la conección con la computadora remota.
	49	TACACS	Terminal access controller access control system (TACACS) es un protocolo de autentificación remota normalmente utilizado en servidores UNIX. Se utiliza para determinar si un usuario tiene permiso de accesar a la red, a algún servidor u otro recurso.
	53	DNS	Domain Name System, servicio que traduce los números de las direcciones IP (como 64.233.167.99) a nombres de dominio (como www.google.com), que son fáciles de recordar. A este servicio se le considera esencial para que Internet funcione. Bonk (DoS) (TCP)
	67	BOOTP SERVER (tambien usado por DHCP)	Bootstrap Protocol, utilizado por un cliente en una red para poder obtener su dirección IP de manera automática, del servidor que está corriendo este servicio. Este puerto tambien es usado por el protocolo DHCP (Dynamic Host Configuration Protocol), el cual está basado en BOOTP pero es mucho mas complejo y mejorado.
	68	BOOTP CLIENTE (tambien usado por DHCP)	Bootstrap Protocol, utilizado por un cliente en una red para poder obtener su dirección IP de manera automática de un servidor o dispositivo (como un proxy) que lo tenga habilitado. Este puerto tambien es usado por el protocolo DHCP (Dynamic Host Configuration Protocol), el cual está basado en BOOTP pero es mucho mas complejo y mejorado.
	69	TFTP	Trivial File Transfer Protocol, es un protocolo muy simple de transferencia de archivos, con una funcionalidad muy báasica del FTP normal. Como es muy sencillo, no requiere de mucha memoria y suele usarse en dispositivos como firewalls o ruteadores para poder actualizarlos. Algunos hackers utilizan este servicio para instalar o descargar virus o información de las máquinas afectadas.
	70	GOPHER	Gopher es un protocolo muy viejo y ha sido reemplazado por la Web. Estaba diseñado para buscar y descargar documentos e información almacenada de manera jerárquica. Era muy utlizado en universidades y centros de investigación.
	79	FINGER	Es un protocolo utilizado para el intercambio de información que de usuarios. Fue creado para resolver la necesidad de conocer información sobre otros usuarios de la red. Cuando fue creado, no había preocupaciones por la seguridad y privacidad de lo usuarios de Internet, pero dió paso a los hackers a tener información de los usuarios e iniciar un ataque de ingenieria social. Normalmente estaba disponible en los sistemas UNIX. Firehotcker (TCP)
	80	HTTP	HyperText Transfer Protocol, protocolo usado para transferir páginas web. Un cliente (como FireFox o Internet Explorer) se conectan a un servidor (como www.kvron.com), el cual tiene una aplicación conocida como Web Server quien es el que transfiere la página web al cliente. Todo esto ocurre utilizando el protocolo HTTP. Normalmente un usuario no debería tener en su maquina un servidor web, pero si una prueba de este puerto lo marca como abierto, hay que tener en cuenta que Skype (excelente programa para hablar y chatear) utiliza este puerto para comunicarse, cosa completamente normal. Back End, Executor, Hooker, RingZero (TCP)
	81	ONION ROUTING	Onion Routing es una técnica utilizada para lograr una comunicación anónima entre las computadoras de una red. Su objetivo es proteger la privacidad tanto del transmisor y del receptor así como del mensaje transmitido mientras este viaja en la red.
	88	KERBEROS	Es un protocolo de autentificación de computadoras en red que les permite a las personas que están en una red insegura, identificarse ante un servidor de una manera segura utilizando encripción de datos.
	110	POP3	Post Office Protocol, protocolo utilizado para recuperar el correo electrónico del servidor utilizando un cliente como Eudora o MS Outlook. POP3 no se utiliza cuando se revisa el correo electronico en una página web como gmail.com o hotmail.com. ProMail trojan (TCP)
	113	IDENT	Antiguo sistema de identificación de computadoras, aún utilizado por las redes de IRC (Internet Relay Chat) para identficar a sus usuarios. Invisible Identd Deamon, Kazimas (TCP)
	119	NNTP	Network News Transfer Protocol, es un protocolo utilizado en internet para leer y publicar noticias y artículos. Happy99/Ska (TCP)
	123	NTP	Network Time Protocol, utilizado para sincronizar los relojes de los sistemas de cómputo Net Controller (TCP)
	133	STATISTICS SERVICE	Servicio de Estadísticas de uso y velocidad de red, algo parecido a NETSTAT. No es de uso muy frecuente. Se diseñó par aun monitoreo rápido de gateways y computadoras. Farnaz, Infector
	137	NETBIOS NS	NetBIOS Name Service, NetBIOS es un acrónimo de "Network Basic Input/Output System". NetBIOS les permite comunicarse a las aplicaciones de varias computadoras conectadas en una red. El servicio de NetBIOS NS es proveer los nombres de las computadoras que están conectadas entre si. Chode, msinit
	138	NETBIOS DS	etBIOS Name Service, NetBIOS es un acrónimo de "Network Basic Input/Output System". NetBIOS les permite comunicarse a las aplicaciones de varias computadoras conectadas en una red. Chode
	139	NETBIOS SSN	NetBIOS Name Service, NetBIOS es un acrónimo de "Network Basic Input/Output System". NetBIOS les permite comunicarse a las aplicaciones de varias computadoras conectadas en una red. NetBIOS NS permite a una o mas computadoras manetener una conección entre ellas mientras se intercambia información. En MS Windows, este servicio permite que otros vean y escriban archivos en una computadora, pudiendo esto significar un riesgo potencial de seguridad y privacidad. Chode, God Message worm, Msinit, Netlog, Network, Qaz
	142	Britton-Lee IDM	Britton Lee Intelligent Database Machine, Base de datos utilizada en aplicaciones de Inteligencia Artificial NetTaxi
	143	IMAP4	Internet Message Access Protocol 4, permite a una computadora accesar a un servidor remoto para recuperar emails. Tiene la misma funcionalidad que POP3, con algunas diferencias.
	146	ISO-IP0	Servicio que sirve como puente o bridge entre el protocolo X.25 (protocolo que interconecta diferentes dispositivos en una red) y el protocolo TCP Infector 1.x
	161	SNMP	Simple Network Management Protocol o Protocolo Simple para Administración de Redes, utilizado para monitorear dispositivos (no solamente computadoras) en una red. Ofrece estadísticas como tiempo de uso, temperatura, etc.
	170	Network PostScript	Protocolo y servicio de Impresión en red A-trojan
	179	BGP	Border Gateway Protocol, es el protocolo base de ruteo de Internet. Normalmente este puerto es utilizado por equipos de ruteo de paquetes TCP.
	194	IRC	IRC o Internet Relay Chat es una forma de comunicación instantanea, en tiempo real, en Internet. Está diseñado para la comunicación simultánea de varias personas en foros de discusión llamados "canales" pero también permite la comunicación privada entre dos personas. Un cliente muy conocido para utilizar la red de IRC es el mIRC.
	213	IPX	Internetwork Packet Exchange, es un protocolo soportado por el Sistema Operativo NetWare de Novell. Debido a la popularidad de NetWare, este protocolo se hizo muy común a finales de los 80's y durante los 90's. Actualmente el uso de IPX es menor debido a TCP/IP.
	315	DPSI	DPSI The Invasor
	389	LDAP	Lightweight Directory Access Protocol, es un servicio que permite consultar y actualizar información en directorios, los cuales están altamente jerarquizados.
	411	DIRECT CONNECT HUB	Es probable que se esté ejecutando una aplicacion de intercambio de archivos P2P (peer to peer), la cual permite que se conecten varias computadoras para bajar/subir archivos.
	421	Ariel	Sistema de transmision de documentos en red para su posterior impresión TCP Wrappers
	427	SLP	Service Location Protocol, es un servicio para encontrar dispositivos como impresoras, escanners, etc. en una red.
	443	HTTPS	HTTP sobre SSL, indica que se esta usando el protocolo HTTP pero en el puerto 443 y además la información viaja encriptada o cifrada, dando mayor seguridad y confidencialidad al transmisor, al receptor y al mensaje. Es muy usada en sitios donde hay transferencias delicadas como pagos en linea y bancos.
	444	SNPP	Simple Network Paging Protocol, es un protocolo que define el método por el cual un pager puede recibir un mensaje a travez de Internet. Los proovedores de este servicio, suelen tener este puerto abierto en sus servidores.
	445	Microsoft-DS	Usualmente utilizado por el servicio de Active Directory de Microsoft. Este servicio les permite a los administradores asignar políticas en la red, instalar porgramas en varias computadoras al mismo tiempo y hacer actualizaciones de software a toda una red de cómputo. Se implementó por primera vez en Windows 2000 y en WIndows 2003 se le añadieron mas funcionalidades y mejor administración.
	456	MACON	MACON Hackers Paradise
	465	SMPT OVER SSL	SMTP es utilizado para transferencia de mails. Es un protocolo relativamente simple utilizado por los servidores de correo electrónico; cuando este procolo utiliza SSL para cifrar la información, se hace mas segura la transferencia de esta y el email no puede ser interceptado por terceras personas.
	514	RSH	Remote SHell, es un servicio que permite ejecutar comandos de otros usuarios a travez de Internet. Normalmente utilizado en sistemas UNIX/LINUX. RPC Backdoor
	515	LPD	Line Printer Daemon, es un conjunto de programas, normalmente en ambiente UNIX/LINUX que permite hacer impresiones a travez de la red. A la computadora que tiene este servicio se le como Print Server o Servidor de Impresión.
	524	NCP	NetWare Core Protocol, es un protocolo utilizado por algunos productos de Novell, usualmente por el sistema NetWare. Es utilizado para accesar archivos, impresoras, directorios, etc. en una red.
	530	RPC	Remote Procedure Call, permita que un programa que está corriendo en una computadora pueda ejecutar una subrutina en otra que esté corriendo RPC. RPC se hizo famoso en el 2003 gracias a un gusano llamado Blaster, el cual apagaba la computadora sin previo aviso.
	531	AOL IM, IRC	Puerto usado para el chat o para mensajería instantanea de AOL. Rasmin, Net666
	540	UUCP	Unix to Unix CoPy, es un conjunto de programas y protocolos que permiten la ejecución de comandos y la transferencia de archivos, email y mensajes entre computadoras. Como su nombre lo indica, es nativo de los sistemas LINUX y UNIX.
	554	RTSP	Real Time Streaming Protocol, es un protocol para transferir imágenes y sonido, permitiendo comandos como los de una videocasetera, como play, forward, pause, etc.
	555	DSF	DSF Ini-Killer, NeTAdministrator, Phase Zero, Phase-0, Stealth Spy, 711 trojan (Seven Eleven)
	563	NNTPS	Network News Transfer Protocol sobre SSL, protocolo de transferencia de noticias sobre SSL, donde la informacion viaja cifrada protegiendo su integridad y confidencialidad.
	606	URM	Unified Resource Manager, Servicio administrador de recursos distribuidos en sistemas de supercomputadoras Cray Secret Service
	666	DOOM MULTIPLAYER	Puerto utilizado por el famoso videojuego Doom, de Id Software, cuando se ejecuta en su modalidad de servidor (666 es el número de la bestia). Attack FTP, Satanz Backdoor, Back Construction, BLA trojan, Cain & Abel, NokNok, ServU, Shadow Phyre, th3r1pp3rz
	667	Network Queueing System	Sistema de encolamiento en Red SniperNet
	669	MeREGISTER	MeREGISTER DP Trojan
	692	HYPERWAVE	HYPERWAVE GayOL
	777	MULTILING-HTTP	Permite la interacción e interoperabilidad entre aplicaciones WEB que están relacionadas con el lenguage Aim Spy, Undetected
	808	OMIRR	Online Mirror, respaldo en red WinHole
	815	MMPFT	MMPFT Everyone?s Darling
	901	SWAT	Samba Web Administration Tool. Samba es una implementación gratuita del protocolo de red de Microsoft, que incluye NetBIOS y Active Directory. Su implementación se hace principalmente en sistemas LINUX/UNIX y MacOS X y permite compartir archivos e impresoras entre todos estos Sistemas Operativos.
	911	XACT-BACKUP	Servicio que permite hacer un respaldo de información en red utilizando un protocolo muy parecido al FTP Dark Shadow
	981	SOFAWARE	SofaWare Technologies es una compañia de Check Point que es conocida por sus firewalls y productos para VPN (redes privadas virtuales). SofaWare utiliza este puerto para la administración de sus firewalls utilizando HTTPS.
	989	FTP DATA OVER SSL	FTP es un protocolo utilizado para la transferencia de archivos entre dos computadoras. Este puerto es utilizado para la transferencia de la informacón de una manera segura cifrando la información entre las computadoras.
	990	FTP CONTROL OVER SSL	FTP es un protocolo utilizado para la transferencia de archivos entre dos computadoras. Este puerto es utilizado para la transferencia de los comandos de control de una manera segura cifrando la información entre las computadoras.
	993	IMAP4 OVER SSL	Internet Message Access Protocol 4, permite a una computadora accesar a un servidor remoto para recuperar emails. Tiene la misma funcionalidad que POP3, con algunas diferencias. Cuando corre bajo SSL, toda la información viaja cifrada.
	995	POP3 OVER SSL	Post Office Protocol, protocolo utilizado para recuperar el correo electrónico del servidor utilizando un cliente como Eudora o MS Outlook. Cuando trabaja sobre SSL, toda la información viaja cifrada, dándole mayor privacidad e integridad a la información.
	999	GARCON	GARCON DeepThroat, Foreplay, WinSatan
	1000	CADLOCK	Sistema de protección de información para usuarios de AutoCAD Der Spaeher, Direct Connection
	1001	NO ASIGNADO	Puerto no asignado por IANA Der Spaeher 3, Le Guardian, Silencer, WebEx
	1010	SURF	SURF Doly Trojan, CafeIni
	1020	Reservado	Puerto reservado por IANA Vampire
	1024	IRC DCC, NETMEETING	Usualmente, este es el primer puerto usado para abrir conexiones hacia el exterior. Es también utilizado por el mIRC (cliente del IRC) para conversasiones privadas o para transeferencia de archivos. NetSpy, Latinus, Jade
	1033	NETINFO	Servicio que ofrece información acerca del estado de la red de la computadora que corre este servicio NetSpy
	1034	ActiveSync Notifications	Servicio que notifica a usuarios de dispositivos móviles (como PDA's) de nuevos mensajes o eventos como email Mydoom.M
	1045	Fingerprint Image Transfer Protocol	Protocolo de transferencia de imágenes de huellas digitales Rasmin
	1080	SOCKS	SOCKS (abreviación de SOCKetS) es un protocolo de Internet que le permite a las aplicaciones conectarse a un servidor externo a travez de un firewall. Cuando los clientes que están detrás de un firewall se quieren conectar a servidores externos, utilizan un Proxy Server, el cual verifica los permisos de la aplicación; si esta tiene permisos, el Proxy Server reenvia la petición al servidor externo, pasando así el firewall. WinHole, Wingate, Bagle.AI (TCP)
	1095	NICELink	Puerto de administración del Proxy NICELink Rat
	1099	RMI	Java Remote Method Invocation, es el equivalente de los RPC pero en Java. BFevolution, Rat (TCP)
	1214	KAZAA	Kazaa Media Desktop, es la controvertida aplicacion Peer to Peer (P2P) que sirve para compartir archivos utilizando el protocolo FastTrack. Comunmente se utiliza Kazaa para compartir archivos de música MP3, aplicaciones, videos y documentos
	1234	Infoseek Search Agent	Robot (crawler) de búsqueda de Infoseek Ultors Trojan, SubSeven 2.0, Bagle.AF
	1241	NESSUS	Nessus Security Scanner es un programa que busca vulnerabilidades en un sistema. Su objetivo es alertar al usuario o administrador de posibles huecos en el sistema.
	1243	SerialGateway	SerialGateway BackDoor-G, SubSeven, Sub7(*), SubSeven Apocalypse, Tiles
	1337	WASTE	WASTE es un sistema tipo P2P (Peer to Peer) pero sólo permite el acceso a usuarios autorizados. Se utiliza para intercambiar información, archivos, mensajes, etc. Como WASTE ya está en desuso, una computadora con el puerto 1337 (leet) abierto, seguramente está infectada con algun virus o troyano. Back Orifice, BackOrificeLM.LEENTech, BO client
	1352	LOTUS DOMINO RPC	Lotus Notes es un software colaborativo en esquema de cliente-servidor. Para que la comunicación entre el Cliente y el Servidor se pueda dar, este puerto debe estar abierto.
	1414	WEBSPHERE MQ	IBM WebSphere MQ es una tecnología de comunicación en red lanzada por IBM en 1992. Le permite a dierentes aplicaciones comunicarse entre sí en un ambiente distribuido.
	1433	MSSQL	Microsoft SQL Server es un manejador de bases de datos relacionales (RDBMS) producido por Microsoft.
	1434	Microsoft SQL Monitor	La Base de Datos MSSQL utiliza este puerto para atender conexiones de los clientes que se quieren conectar a ella SQLSlammer.worm
	1492	STONE-DESIGN-1	STONE-DESIGN-1 FTP99CMP, Back.Orifice.FTP
	1494	Citrix MetaFrame	Citrix MetaFrame es una aplicación de acceso remoto, que permite a un usuario en cun computadora con los permisos correctos, accesar a otra y ejecutar aplicaciones (simulando estar corriendo en la computadora local).
	1521	ORACLE	Oracle es un manejador de Base de Datos (RDBMS), ampliamente usado y conocido en todo el mundo.
	1999	CISCO Identification Port	Permite la identificación de equipos CISCO BackDoor, BackDoor 1.00-1.03, BackDoor 2.x, TransScout 1.x
	2773	REMOTE BACKUP	Servicio que permite hacer respaldos remotos via red de información BackDoor-G, SubSeven, Sub7
	5800	VNC Server	VNC (Virtual Network Computing) Server, programa que permite la administración remota de una computadora via red. El puerto 5800 es utilizado para conecciones usando un navegador mediante un applet de Java
	5900	VNC Server	VNC (Virtual Network Computing) Server, programa que permite la administración remota de una computadora via red. El puerto 5900 es utilizado para conecciones usando el cliente de VNC
	12223	No Asignado	Puerto no asignado Hack?99 KeyLogger
	12345	ITalk Chat System	Sistema de comunicación que utiliza una consola como TELNET, utilizado en sistemas UNIX/Linux GabanBus, NetBus 1.x, NetBus 1.7(*), Pie Bill Gates, WhackJob, X-bill
	14500	No Asignado	Puerto no asignado PC Invader
	15000	Hypack Data Aquisition	Sistema de adquisición de datos NetDaemon
	30029	No Asignado	Puerto no asignado AOL Trojan
	31337	Puerto no Asignado	Puerto no asignado BackFire, icmp_pipe.c, Baron Night, Back Orifice, cron / crontab, Sockdmini, BackOrificeLM.LEENTech, BO client, BO2K, Bo Facil, Deep BO, Freak
	49301	No Asignado	Puerto no asignado Online Keylogger