Skip to content
ProtocolPorts

Ports de backdoors et chevaux de Troie à examiner

Ports liés aux chevaux de Troie, backdoors et C2 — NetBus, Back Orifice, ingreslock, Meterpreter et services légitimes détournés — et comment détecter une compromission.

Publié le 4 min de lecture
portssecuritymalware

Quand un logiciel malveillant arrive sur un hôte, il ouvre souvent un port pour écouter des commandes ou contacter un serveur de commande et contrôle (C2). Au fil des années, certains numéros de port sont devenus si étroitement liés à des chevaux de Troie et des backdoors précis que les trouver ouverts est un signal d'alerte à examiner. Cet article liste ces ports, explique pourquoi ils importent, et montre comment détecter une compromission. Vous pouvez parcourir tous les ports pour rechercher tout élément inattendu que vous trouvez en écoute.

Ports classiques de backdoors et chevaux de Troie

Ces ports n'ont que peu ou pas d'usage légitime. Les voir en écoute sur un hôte devrait déclencher une investigation :

PortMenace associéeNotes
port 1524backdoor ingreslockShell root laissé par de nombreux vers
port 4444Metasploit MeterpreterGestionnaire reverse-shell par défaut
port 12345NetBusCheval de Troie de contrôle à distance Windows
port 31337Back OrificeBackdoor « eleet » de la fin des années 1990
port 32764backdoor routeur SerCommPrésente dans des firmwares de routeurs grand public

Port 12345 (NetBus) et port 31337 (Back Orifice) sont les chevaux de Troie d'accès à distance par excellence. Port 1524 (ingreslock) est célèbre parce que de nombreux vers auto-propageants y déposent un shell root. Port 4444 est l'écouteur par défaut de la charge Meterpreter de Metasploit, il apparaît donc constamment lors des intrusions. Port 32764 était une backdoor littéralement intégrée à plusieurs marques de routeurs domestiques, permettant l'exécution de commandes sans authentification.

Services légitimes détournés par les attaquants

D'autres ports appartiennent à des outils réels et utiles, mais les attaquants les réutilisent pour l'accès à distance et le C2. Le contexte compte : le même port peut être parfaitement normal dans un environnement et un signal d'alerte dans un autre.

  • port 23 — Telnet. Un shell distant en clair ; des malwares IoT comme Mirai se propagent dessus en forçant les identifiants par défaut.
  • port 9050 — proxy SOCKS Tor. Légitime pour la confidentialité, mais aussi le moyen pour les malwares d'atteindre anonymement des services C2 cachés.
  • port 1080 — proxy SOCKS. Souvent ouvert par les malwares pour tunneliser le trafic ou rebondir à travers un hôte.
  • port 2375 — API Docker sans authentification. Les instances exposées sont détournées pour déployer des cryptomineurs et des conteneurs.
  • port 4899 — contrôle à distance Radmin. Un outil d'administration légitime également déposé par les attaquants comme backdoor.
  • port 5631 — pcAnywhere. Vieux logiciel d'accès à distance abusé à répétition pour des accès non autorisés.

La présence de port 9050 ou port 1080 ne prouve pas la présence d'un malware, mais une instance que vous n'avez pas déployée — ou tournant sous un processus inattendu — mérite un examen plus attentif.

Comment détecter une compromission

Un port suspect n'est qu'un point de départ. Confirmez ce qui se passe réellement :

Lister les ports en écoute

Lancez netstat -anp ou ss -tulpn sous Linux, ou netstat -anob sous Windows, pour voir chaque socket en écoute et le processus qui y est lié. Tout port ci-dessus — ou tout ce que vous ne pouvez pas expliquer — justifie une investigation.

Établir une référence et comparer

Maintenez un inventaire sain des ports que chaque serveur devrait exposer. Un écart par rapport à cette référence est bien plus significatif qu'une liste statique de « ports interdits », car les attaquants peuvent choisir n'importe quel port.

Surveiller le réseau, pas seulement l'hôte

Un hôte compromis peut écouter discrètement et ne faire que des balises sortantes. Un IDS/IPS comme Suricata ou Snort, avec des règles pour les signatures C2 connues, capte les connexions sortantes vers des ports et destinations suspects que les contrôles au niveau de l'hôte manquent. Corrélez avec les journaux de pare-feu et DNS pour repérer les motifs de balisage.

Conclusion

Les ports de backdoors comme port 12345, port 31337 et port 1524 n'ont presque aucune explication innocente, tandis que des services légitimes détournés comme Telnet, Tor et Docker exigent du contexte avant de sonner l'alarme. Dans tous les cas, la bonne réponse est la même : identifiez le processus derrière le port, comparez-le à une référence de confiance, et surveillez le trafic réseau à la recherche d'activité C2. Un port ouvert inexpliqué n'est pas un verdict — c'est une invitation à enquêter.

Articles liés

Ports TCP et UDP courants : une fiche de référence
Une fiche de référence des ports TCP et UDP courants regroupés par usage — web, messagerie, transfert de fichiers, accès distant, bases de données et infrastructure.
portssecurityreference
Les ports les plus attaqués (et comment les sécuriser)
Les ports exposés sur Internet que les attaquants ciblent en premier — RDP, SSH, SMB, bases de données — et la mesure de durcissement essentielle pour chacun.
portssecurityhardening
DDoS par amplification UDP : les ports utilisés en réflexion
Comment les attaques DDoS par réflexion et amplification abusent des services UDP comme DNS, NTP, SNMP, SSDP et Memcached, avec facteurs d'amplification et parades.
portssecurityddos