Skip to content
PortsDB

Référence des ports

Port 10000 (TCP) – Webmin

Port web par défaut de Webmin, le panneau d'administration système Unix/Linux basé navigateur.

tcpRegisteredSouvent attaqué

État par défaut

Ouvert sur les serveurs exécutant Webmin, souvent exposé à Internet pour l'administration à distance.

Attaques courantes

  • Exécution de code à distance pré-auth via la backdoor password_change CVE-2019-15107
  • Force brute et pulvérisation de mots de passe contre le login
  • Exploitation d'autres failles RCE/auth de Webmin pour obtenir root
  • Divulgation d'informations et abus des fonctions d'admin une fois connecté

CVE-2019-15107

Durcissement

  • Mettre à jour Webmin vers une version corrigée ; la backdoor de 2019 touchait des versions précises
  • Ne jamais exposer 10000 à Internet — restreindre au VPN/bastion et aux IP autorisées
  • Désactiver la fonction de changement de mot de passe sauf si nécessaire
  • Imposer des identifiants forts, le MFA et une limitation de débit/verrouillage
  • Servir uniquement via HTTPS et maintenir Webmin à jour

Commande nmap

nmap -p10000 --script http-title,http-headers,http-webmin-info <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 10000

Le port 10000 est le port web par défaut de Webmin, un panneau de contrôle basé navigateur pour administrer les serveurs Unix et Linux — gestion des utilisateurs, paquets, services, règles de pare-feu, tâches cron et plus. Il s'exécute comme une application web privilégiée, généralement joignable sur https://hôte:10000/, et accorde de fait un contrôle au niveau root de l'hôte.

Pourquoi c'est important pour la sécurité

Comme Webmin opère avec les privilèges root, une compromission du port 10000 signifie généralement une prise de contrôle complète du serveur. Il est largement exposé à Internet par commodité, ce qui en fait une cible de choix. Le panneau a un historique notable de failles graves — la plus tristement célèbre étant une backdoor RCE pré-auth, CVE-2019-15107, livrée dans des versions précises — et son login est un aimant constant à force brute.

Comment c'est attaqué

L'exploit marquant est la CVE-2019-15107 : une backdoor dans la fonction password_change.cgi permettait à un attaquant non authentifié d'exécuter des commandes en root sur 10000. Au-delà, les bots brute-forcent et pulvérisent des mots de passe contre le login, et d'autres failles auth/RCE de Webmin sont enchaînées pour obtenir root. Une fois entré, un attaquant abuse des fonctions d'admin pour ajouter des utilisateurs, modifier des services et persister.

Liste de durcissement

Mettez à jour Webmin vers une version corrigée — la backdoor de 2019 touchait des versions précises — et n'exposez jamais 10000 directement ; restreignez-le à un VPN ou bastion avec des IP autorisées. Désactivez la fonction de changement de mot de passe si inutilisée, imposez des identifiants forts, le MFA et une limitation de débit/verrouillage, et servez uniquement via HTTPS. Gardez Webmin à jour. La commande nmap ci-dessus identifie le panneau sur les systèmes que vous êtes autorisé à tester.

Ports liés

Port 20000Port 22Port 443Port 8080

Questions fréquentes

Qu'est-ce que la CVE-2019-15107 dans Webmin ?
Une backdoor d'exécution de code à distance pré-authentification introduite dans certaines versions de Webmin via la fonction password_change.cgi. Un attaquant non authentifié pouvait exécuter des commandes en root sur le port 10000. Mettez à jour vers une version corrigée.
Est-il sûr d'exposer Webmin sur le port 10000 à Internet ?
Non. Webmin est un panneau d'admin au niveau root et une cible fréquente d'exploits et de force brute. Restreignez-le à un VPN ou bastion, autorisez les IP sources, imposez le MFA et gardez-le à jour.