WinSyslog超长Syslog消息远程拒绝服务攻击漏洞(CVE-2003-1518)/常见高危端口/关闭端口会影响什么

https://www.cnblogs.com/zhongwang/p/15870246.html

1 syslog介绍

https://www.jianshu.com/p/823052306509

Syslog广泛应用与系统日志、syslog日志消息既可以记录到本地文件，也可以通过网络发送到接收syslog的服务器，接收的服务器可以对多个设备的消息进行统一的存储或者解析其中内容做相应处理，常见的应用场景就是网络管理工具、安全管理系统、日志审计系统。

完整的syslog日志包含了 产生日志的程序模块（facility）严重性（severity）时间、主机名或ip、进程名、进程id、正文。

约定发送syslog的设备为device，转发syslog的设备为relay、接收syslog的设备为collector；

建议syslog消息发送到collector的udp 514端口不需要接受方应答；完整的syslog消息由三部分组成，分别是pri、header、msg

2、WinSyslog

https://www.isharepc.com/23281.html

WinSyslog是Windows的增强型syslog服务器。它的作用与Unix Syslog守护程序相同。它是用于系统管理的集成，模块化和分布式解决方案。网络管理员可以连续监视其系统，并在发生重要事件时立即接收警报。WinSyslog也可以与Adiscon的MonitorWare Agent，EventReporter和ActiveLogger产品结合使用，以构建完全集中的Windows事件日志监视工具。

3、关闭端口会影响什么

关闭端口的开关，可能导致你一些软件的无法使用，比如你关闭8080、1080等端口你就无法正常上网，当然你关闭诸如1434、135、137等端口就能阻挡针对该端口的攻击。

常见高危端口

端口类型：

（1） 公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。 

（2） 注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。 

（3）动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始 。

网络安全设备建议禁止的端口：主要有：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后门端口（如 TCP 2745、3127、6129 端口），以及远程服务访问端口3389。

其他端口按需进行封禁。

高危端口详细说明，如下：

tcp 20，21：

端口说明：FTP服务（文件传输协议）。渗透测试：允许匿名上传下载、爆破、嗅探、win提取、远程执行，以及各类后门程序（backdoor）。

tcp 22：

端口说明：SSH服务（安全外壳协议）。渗透测试：容易受到中间人攻击和黑客利用收集到的信息尝试爆破（ssh隧道、内网代理转发、文件传输等等）。

tcp 23：

端口说明：Telnet服务（远程终端协议）。渗透测试：爆破、嗅探，一般用于路由器和交换机登录（弱口令密码最容易被破解）。

tcp 25：

端口说明：SMTP服务（简单邮件传输协议）。渗透测试：邮件伪造，vrfy/expn命令查询邮件用户信息，可使用smtp-user-enum工具来自动跑。

tcp/udp 53:

端口说明：DNS（域名系统）。渗透测试：DNS溢出、远程代码执行、允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控。

tcp/udp 69:

端口说明：TFTP服务（简单文件传输系统）。渗透测试：尝试下载目标及其的各类重要配置文件。

tcp 80-89、443、8440-8450，8080-8089:

端口说明：各种常用的web服务端口。渗透测试：可尝试经典的top n、 VPN、 owa、 webmail，目标oa，各类java控制台，各类服务器web管理面板，各类web中间件漏洞利用，各类web框架漏洞利用等等。

tcp 110：

端口说明：POP3服务（邮件协议版本3）。渗透测试：可尝试爆破、嗅探。

tcp 111，2049：

端口说明：NFS服务（网络文件系统）。渗透测试：权限配置不当。

tcp 135：

端口说明：实际上是一个WINNT漏洞,开放的135的端口情况容易引起自外部的”Snork”攻击。

tcp 137，139，445：

端口说明：SMB（NETBIOS协议）。渗透测试：可尝试爆破以及smb自身的各种远程执行类漏洞利用。SMB（137）；smb、嗅探（139）；ms17-010、ms08-067（445）。

另外，

139端口：NetBIOS提供服务的tcp端口;

445端口：用来传输文件和NET远程管理，端口漏洞:黑客喜欢扫描扫描的漏洞,也是震荡病毒扫描的。

tcp 389：

端口说明：LDAP服务（轻量目录访问协议）。渗透测试：LDAP注入、匿名访问、弱口令。

tcp 512，513，514：

端口说明：linuxrexec服务（远程登录）。渗透测试：可爆破，rlogin登录。

tcp 554：

端口说明：554端口默认情况下用于“Real Time Streaming Protocol”（实时流协议，简称RTSP）。端口漏洞：目前，RTSP协议所发现的漏洞主要就是RealNetworks早期发布的Helix Universal Server存在缓冲区溢出漏洞，相对来说，使用的554端口是安全的。

tcp 873：

端口说明：Rsync服务（数据镜像备份工具）。渗透测试：匿名访问，文件上传。

tcp 1029，20168：

端口说明:这两个端口是lovgate蠕虫所开放的后门端口。

tcp 1080：

端口说明：1080端口是Socks代理服务使用的端口，大家平时上网使用的WWW服务使用的是HTTP协议的代理服务。

tcp 1194：

端口说明：Open VPN服务（虚拟专用通道）。渗透测试：想办法钓VPN账号,进内网。

tcp 1352：

端口说明：Lotus服务（Lotus软件）。渗透测试：弱口令,信息泄漏,爆破。

tcp 1433：

端口说明：SQL Server服务（数据库管理系统）。渗透测试：注入,提权,sa弱口令,爆破。

tcp 1500：

端口说明：ISPmanager服务（主机控制面板）。渗透测试：弱口令。

tcp 1723：

端口说明：PPTP服务（点对点隧道协议）。渗透测试：爆破,想办法钓VPN账号,进内网。

tcp 2082、2083：

端口说明：cPanel服务（虚拟机控制系统）。渗透测试：弱口令。

tcp 2181：

端口说明：Zookeeper服务（分布式系统的可靠协调系统）。渗透测试：未授权访问。

tcp 2601、2604：

端口说明：Zebra服务（zebra路由）。渗透测试：Zebra 默认密码zerbra。

tcp 3000：

端口说明：grafan默认使用的端口。

tcp 3128：

端口说明：Squod服务（代理缓存服务器）。渗透测试：弱口令。

tcp 3306：

端口说明：MySQL服务（数据库）。渗透测试：注入，提取，爆破。

tcp 3312，3311：

端口说明：kangle服务（web服务器）。渗透测试：弱口令。

tcp 3389：

端口说明： window rdp服务（远程桌面协议）。渗透测试：ms12-020、Windows rdp shift后门[需要03以下的系统]、爆破。

首先说明3389端口是windows的远程管理终端所开的端口，它并不是一个木马程序，请先确定该服务是否是你自己开放的。

tcp 3690：

端口说明：SVN服务（开放源代码的版本控制系统）。渗透测试：svn泄露，未授权访问。

tcp 4000：

端口说明：4000端口是用于大家经常使用的qq聊天工具的，再细说就是为qq客户端开放的端口，qq服务端使用的端口是8000。

tcp 4848：

端口说明：GlassFish服务（应用服务器）。渗透测试：弱口令。

tcp 4899：

端口说明： 首先说明4899端口是一个远程控制软件（remote administrator)服务端监听的端口，他不能算是一个木马程序，但是具有远程控制功能，通常杀毒软件是无法查出它来的.

tcp 5000：

端口说明：Flask、Sybase/DB2服务（数据库）。渗透测试：爆破,注入。

tcp 5432：

端口说明：postgresql 服务（数据库）。渗透测试：爆破,注入,弱口令。

tcp 5554：

 端口说明：一种针对微软lsass服务的新蠕虫病毒——震荡波（Worm.Sasser），该病毒可以利用TCP 5554端口开启一个FTP服务，主要被用于病毒的传播。

tcp 5632：

端口说明：5632端口是被大家所熟悉的远程控制软件pcAnywhere所开启的端口，分TCP和UDP两种，通过该端口可以实现在本地计算机上控制远程计算机，查看远程计算机屏幕，进行文件传输，实现文件同步传输。

tcp 5900,5901,5902 ：

端口说明：VNC服务（虚拟网络控制台，远程控制）。渗透测试：弱口令爆破 VNC提权。

tcp 5984：

端口说明：couchdb数据库。渗透测试：未授权导致任意指令执行。

tcp 5985，5986：

端口说明：WinRM代表Windows远程管理，是一种允许管理员远程执行系统管理任务的服务。通过HTTP（5985）或HTTPS SOAP（5986）执行通信，默认情况下支持Kerberos和NTLM身份验证以及基本身份验证。使用此服务需要管理员级别凭据。

tcp 6379：

端口说明：redis服务（数据库）。渗透测试：未授权访问，弱口令爆破。

tcp 6443：

端口说明：8080是用于接收http请求，6443用于接收https请求。

tcp 7001：

端口说明：weblogic、websphere（web应用系统）。渗透测试：Java反序列化,弱口令

tcp 7002：

端口说明：WebLogic（web应用系统）。渗透测试：Java反序列化,弱口令

tcp 7778：

端口说明：Kloxo服务（虚拟主机管理系统）。渗透测试：主机面板登录。

tcp 8000：

端口说明：Ajenti（linux服务器管理面板）。渗透测试：弱口令。

tcp 8443：

端口说明：Plesk服务（虚拟主机管理面板）。渗透测试：弱口令。

tcp 8069：

端口说明：Zabbix服务（系统网络监视）。渗透测试：远程执行,SQL注入。

tcp 8080-8089：

端口说明：jenkins、GeoServer、Kubernetes、JBOSS、libssh、poodle（应用服务器）。渗透测试：反序列化，控制台弱口令。

tcp 8161：

端口说明：activemq后台弱密码漏洞。

tcp 8180：

端口说明：libssh - cve-2018-10933、JBOSS

tcp 8440-8450,8080-8089：

端口说明：应用服务器端口（可尝试经典的topn,VPN,owa,webmail,目标oa,各类Java控制台,各类服务器Web管理面板,各类Web中间件漏 洞利用,各类Web框架漏洞利用等等……）

tcp 9080-9081,9090：

端口说明：WebSphere（应用服务器）。渗透测试：Java反序列化/弱口令。

tcp 9043 、9443：

端口说明：poodle。

tcp 9200，9300：

端口说明：Elasticsearch（Lucene的搜索服务器）。未授权访问漏洞、elasticsearch远程命令执行、Elasticsearch任意文件读取

tcp 11211：

端口说明：memcache（缓存系统）。渗透测试：未授权访问。

tcp 27017，27018：

端口说明：mongodb（数据库）。渗透测试：爆破，未授权访问。

tcp 43958：

端口说明：Serv-U的本地管理端口

tcp 50070，50030：

端口说明：hadoop（分布式文件系统）。渗透测试：默认端口未授权访问

tcp 61616 ：

端口说明：ActiveMQ。activeMQ默认配置下启动会启动8161和61616两个端口，其中8161是mq自带的管理后台的端口，61616是mq服务默认端口 。8161是后台管理系统，61616是给java用的tcp端口。