このポートのウェルカムメッセージは、既知のバックドアのバナーと一致します。これは非常に疑わしいものです。ホストはおそらくバックドアに感染しており、おそらく悪意のある攻撃者のコントロール下にあります。

TFTPサーバーがこのポートで実行されています。しかし、ランダムファイルをフェッチしようとする際に、実行可能ファイルを取得しました。 

多くのワームは、TFTPを介して増殖することが知られています。これはおそらくバックドアです。

TCP ポート 0 がリモートホストで開いています。この TCP ポートは予約されており、使用してはならないので、これは非常に疑わしいことです。これはバックドア（REx）である可能性があります。

リモートホストは、Bofraワームまたはその変種の1つに感染しているようです。これは、Internet Explorer IFRAMEエクスプロイトを介してマシンに感染します。このシステムが侵害された可能性が非常に高いです。

システムがMoonLitウイルスに感染しており、バックドアポートが開いています。

Backdoor.Moonlitは、ファイルをダウンロードして実行できるトロイの木馬プログラムで、プロキシサーバーとして動作する可能性があります。

アカウント「bash」にはパスワードが設定されていません。攻撃者は、これを使用して、このシステムについてさらに権限を取得することがあります。 

このアカウントは、偽のLinux RedHatパッチによってインストールされたバックドアによって作成された可能性があります。

リモートホストは、「PostNuke」コンテンツ管理システムのトロイの木馬バージョンのコピーを実行しているようです。

PostNukeはPHPのコンテンツ管理システムで、メインのWebサイトが2004年10月24日から26日の間に侵害されています。攻撃者は、pnAPI.phpファイルの「oops」パラメーターに引数を渡すことで、リモートホストで任意のコマンドをリモートで実行するためにツールのソースコードの一部を変更しました。

リモートシステムは、ワームw32.spybot.fcdの変種に感染しています。感染したシステムは、同じサブネットで脆弱なシステムをスキャンして感染を拡大させ、DDoS攻撃などの目的で使用されるボットネットを作成します。

リモートホストは、Hacker Defenderルートキットを実行しています。特に、Hacker Defenderはシステム上で開いているすべてのTCPポートで自身をフックし、特別に細工されたパケットをリッスンして、見つかった場合にそのポートでバックドアを開きます。悪意のあるユーザーがこのバックドアを利用して、影響を受けるホストをリモートで制御する可能性があります。

このホストはUnmanarc Remote Control Server（URCS）を実行しているようです。URCSには正当な使用法はありますが、バックドアとしてサイレントにインストールされており、侵入者がリモートシステムのファイルにリモートアクセスできる可能性があります。リモート管理用にこのプログラムがインストールされたのではない場合は、リモートホストが侵害されています。 

攻撃者がこれを利用して、ファイルやパスワードを盗んだりリモートシステムのポートをリダイレクトして、他の攻撃を仕掛ける可能性があります。

このホストはidentサーバーを実行しているようですが、identサーバーがランダムなユーザーIDで行われている空のクエリに応答しています。この動作は、IRCボット、ワーム、ウイルスの感染を示している可能性があります。このシステムが侵害された可能性が非常に高いです。

リモートホストは、ポート10002でradmin-リモート管理ツール-を実行しています。 

これは、広く利用可能な悪用で攻撃者がMS04-028で説明されている欠陥の1つを悪用した可能性があることを示しています。 

その結果、誰でもリモートホストに接続し、リモートのradminサーバーにログインすることでコントロールを取得する可能性があります。

W32.Dabber ワームは、このポートでリッスンしています。W32.Dabber は、W32.Sasser.Worm およびその変種の FTP サーバーコンポーネントの脆弱性を悪用することで伝播します。

感染したホストにバックドアをインストールし、ポート 9898 でリッスンしようとします。試みが失敗した場合、開いているポートが見つかるまで 9899 から順に 9999 までのポートでリッスンしようとします。

リモートシステムに PhatBOT がインストールされているようです。このプログラムにより、マシンは P2P ネットワークを介してコントロールされる可能性があります。PhatBOT は非常に洗練されており、これによりリモートの攻撃者が被害者のマシンを使用して、さまざまなアクションを実行する可能性があります。

リモートホストが、NCASE プログラムを使用しています。次の点を確認する必要があります。\n
- NCASE のインストールを意図したユーザー (密かにインストールされることもあります) - NCASE の使用が企業義務やセキュリティポリシーと一致している。

通常、スパイウェア対策アプリケーションの実行により、このソフトウェアを削除できます。

リモートホストが、DOWNLOADWARE プログラムを使用しています。次の点を確認する必要があります。- DOWNLOADWARE のインストールを意図したユーザー (密かにインストールされることもあります) - DOWNLOADWARE の使用が企業義務やセキュリティポリシーと一致している。

この種のソフトウェアを削除するために、Ad-Aware や Spybot をチェックアウトすることを望むかもしれません。

アドウェアプログラムである Cydoor Desktop Media がリモートホストにインストールされています。このプログラムは、ポップアップ / ポップアンダー広告を表示し、ユーザーの許可なしに Web ブラウザの設定 (ホームページなど) を変更します。

リモートホストが、VCATCH プログラムを使用しています。次の点を確認する必要があります。

- VCATCH のインストールを意図したユーザー (密かにインストールされることもあります)
    - VCATCH の使用が企業義務やセキュリティポリシーと一致している。

この種のソフトウェアを削除するために、Ad-Aware や Spybot をチェックアウトすることを望むかもしれません。

リモートホストが、TIMESINK プログラムを使用しています。次の点を確認する必要があります。

  - TIMESINK のインストールを意図したユーザー (密かにインストールされることもあります)
    - TIMESINK の使用が企業義務やセキュリティポリシーと一致している。

この種のソフトウェアを削除するために、Ad-Aware や Spybot をチェックアウトすることを望むかもしれません。

ログイン「e」とパスワード「asd#321」でリモートホストにログインすることが可能でした。
Microsoft Bulletin MS03-039 に記載されている脆弱性の 1 つを使用した広く利用可能な悪用により、このようなアカウントが作成されます。これは、恐らくリモートホストがこの悪用の使用により侵害されたことを意味しています。

RemotelyAnywhere WWW サーバーがこのシステムで実行中です。
NAVCIRT により、攻撃者のターゲットは、この管理ツールを好みます。

このホストは、このポートでSubSevenを実行しているようです。
SubSevenはトロイの木馬であり、侵入者がリモートコンピューターを乗っ取る可能性があります。

攻撃者がこれを悪用して、パスワードを盗み出し、データを変更して、適切に動作できなくする可能性があります。

NetBus 1.x インストールされています。

NetBusは、ユーザーが入力している情報やパスワードなどをスニッフィングするなど、悪意のある目的で使用される可能性があるリモート管理ツールです。 

攻撃者がこれをインストールして、ネットワーク上のホストを制御する可能性があります。 

さらに、Netbus認証がバイパスされる可能性があります。

ID	名前	深刻度
18367	Kibuvワーム検出	critical
18263	TFTPバックドアの検出	critical
18164	TCP ポート 0 がオープン：可能性のあるバックドア	info
15746	Microsoft IE FRAME / IFRAME / EMBEDタグオーバーフロー（Bofraワーム検出）	critical
15586	MoonLitウイルスのバックドア検出	critical
15583	パスワードのない「bash」バックドアアカウント	critical
15570	PostNukeトロイの木馬に感染したディストリビューション	high
15520	w32.spybot.fcdワーム感染検出	high
15517	Hacker Defenderバックドア検出	critical
15405	Unmanarc Remote Control Server（URCS）の検出	critical
14841	IRC Bot identサーバーの検出	critical
14834	Radmin（リモート管理者）ポート10002-GDIの侵害の可能性	high
12266	W32.Dabber ワームの検出	critical
12111	PhatBOT バックドアの検出	critical
12017	NCASE ソフトウェアの検出	high
12013	DOWNLOADWARE ソフトウェアの検出	high
12012	CYDOOR ソフトウェアの検出	medium
12004	VCATCH スパイウェアの検出	high
12003	TIMESINK スパイウェアの検出	high
11839	MS03-039 悪用バックドアアカウントの検出	critical
10920	RemotelyAnywhere WWW の検出	info
10409	トロイの木馬SubSevenの検出	critical
10151	NetBus 1.xソフトウェアの検出	high

検出

Nessus の Backdoors ファミリー

critical

critical

info

critical

critical

critical

high

high

critical

critical

critical

high

critical

critical

high

high

medium

high

high

critical

info

critical

high