Skip to content
PortsDB

Référence des ports

Port 119 (TCP) – NNTP (Usenet News)

Network News Transfer Protocol qui distribue et sert les articles des groupes de discussion Usenet.

tcpWell-knownSouvent attaqué

État par défaut

Ouvert sur les serveurs de news Usenet ; en clair par défaut sauf si TLS (NNTPS, port 563) est utilisé.

Attaques courantes

  • Capture de identifiants en clair lors de la connexion AUTHINFO
  • Relais ouvert / publication non autorisée et injection de spam
  • Authentification par brute force contre les comptes abonnés
  • Détournement pour distribuer des binaires piratés ou illégaux

Durcissement

  • Exiger TLS via NNTPS (port 563) et désactiver AUTHINFO en clair
  • Imposer l'authentification et désactiver la publication/lecture anonyme
  • Restreindre le peering et la publication aux hôtes connus et autorisés
  • Mettre à jour le serveur de news (INN, Diablo) et limiter le débit des connexions

Commande nmap

nmap -p119 --script nntp-ntlm-info,banner <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 119

Le port 119 est le port par défaut de NNTP, le Network News Transfer Protocol qui fait fonctionner Usenet. Les serveurs de news l'utilisent pour échanger des articles avec leurs pairs et pour permettre aux clients de lire et publier dans les groupes de discussion. L'authentification est gérée par la commande AUTHINFO. Le protocole simple sur 119 est non chiffré ; la variante TLS, NNTPS, utilise le port 563.

Pourquoi c'est important pour la sécurité

Sur le port 119, tout, y compris les noms d'utilisateurs et mots de passe AUTHINFO, circule en clair et peut être intercepté sur le chemin. Au-delà de l'exposition des identifiants, un serveur mal configuré peut agir comme un relais ouvert, permettant à quiconque d'injecter des publications — du spam, ou des binaires illégaux et piratés acheminés via les groupes. Un peering mal configuré peut aussi laisser des hôtes non fiables inonder votre flux.

Comment il est attaqué

Les attaquants interceptent les connexions en clair, puis réutilisent les identifiants récoltés. Ils sondent la publication et le relais ouverts pour pousser du spam ou des binaires via le serveur, et lancent du brute force contre les comptes abonnés. Les serveurs qui acceptent le peering ou la publication anonymes sont vite découverts par les scanners et enrôlés dans des réseaux d'abus pour la distribution de contenu.

Liste de durcissement

Exigez TLS en proposant NNTPS sur le port 563 et en désactivant AUTHINFO en clair sur 119. Imposez l'authentification, désactivez la lecture et la publication anonymes, et restreignez le peering aux hôtes connus et autorisés. Maintenez le logiciel serveur de news (INN, Diablo) à jour et limitez le débit des connexions pour freiner le brute force. La commande nmap ci-dessus récupère la bannière et toute info NTLM exposée sur les serveurs que vous êtes autorisé à tester.

Ports liés

Port 563Port 25Port 110Port 143

Questions fréquentes

NNTP sur le port 119 est-il chiffré ?
Non. Le NNTP simple sur le port 119 est en clair, y compris les identifiants AUTHINFO. Utilisez NNTPS sur le port 563, qui encapsule NNTP dans TLS, pour protéger les connexions et le trafic.
Pourquoi un serveur NNTP est-il un sujet de sécurité ?
Les serveurs de news ouverts ou faiblement authentifiés sont détournés comme relais de spam et pour distribuer des binaires illégaux, et les connexions en clair exposent les identifiants des abonnés à l'écoute.