Çevrimdışı

Portların Kontrolü..

Yazımızda da belirttiğimiz gibi trojanlar açık olan portlar aracılığıyla diğer bilgisayar ile irtibat kurar. Artık neredeyse tüm yeni trojanların portlarını değiştirmek mümkün olmaktadır. Fakat trojan kullanmayı seven arkadaşlar genellikle port ve diğer ayarlarını değiştirmeden kullandıkları için default olarak trojanlar tarafından kullanılan portların bilinmesinde fayda var(en azından çok kullanılan trojanların). Peki sisteminizde tehlikeli bir port un açık olduğunu nasıl anlayabiliriz. Burada yine windows imdadımıza yetişiyor. Başlat-Programlar-MsDos komut istemi çalıştırılırsa karşımıza ms-dos ortamı çıkar. Burada

c:\windows>netstat -an

yazıp enter a basarsanız o anda bilgisayarınızın iletişim halinde olduğu bilgisayar ile arasındaki kullanılmakta olan portlar ve ip numaraları gösterilir. (Portları kontrol için totostat adında bir programı tavsiye ederim. Netstat ile aynı işlemi yapıyor. Kullanımı daha pratik..)


Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.


Yukarıdaki şekilde yerel adres sizi, yabancı adres bağlantı kurduğunuz karşı bilgisayarı gösterir. Dikkat edersek 54321 ve 31337 numaralı portlar açık görünüyor. Bunlar kesinlikle bilgisayarda trojan olduğunun göstergesidir. 54321 schoolbus 31337 BO trojanın kullandığı default portlardır. Ayrıca aktif olan iki bağlantı var. Bunlardan ikisi de bir web sayfasına bağlı olduğumuzu gösteriyor. Şayet web sayfasına bağlanırsak karşı bilgisayarın kullandığı port olarak 80 (8080 de olabilir.), mail server a bağlanarak mailleri kontrol ediyorsak 110, ftp programı ile web sitemize dosya gönderiyorsak 21, telnet ile bağlantı kurmuş isek 25 numaralı portlar yabancı bilgisayarın açık portları olarak görünür. Bunun haricindeki portlardan yapılan(yabancı bilgisayarın portları) bağlantılar tehlikeli olabilir. Fakat ve Chat ve proxy istisnası var. Chat programı karşı tarafın 6667, 7000 gibi portlarını açabilir. Eğer internete bir proxy üzerinden bağlanıyorsak bağlantı yapılan bilgisayarın portu 1080 olarak görünebilir(tabi ki proxy istisna bir durumdur. Çoğu kullanıcı normal bağlantı kurar.)
Bir portun açık olması bağlantı kurulduğu anlamına gelmez. Yukarıda görüldüğü gibi 54321 numaralı port açık fakat yabancı adreste bir bağlantı görünmüyor. Bu o anda bağlantı olmadığını gösterir. 54321 numaralı porta bir bağlantı olduğunu görmüş olsaydık. Kesinlikle birisinin bilgisayara girdiğinden bahsedebilirdik.