Skip to content
PortsDB

Référence des ports

Port 12345 (TCP) – NetBus

Port de contrôle par défaut du cheval de Troie d'accès distant NetBus sous Windows ; un 12345 ouvert est un fort indice de compromission.

tcpRegisteredSouvent attaqué

État par défaut

Pas un service normal. Si 12345 écoute, enquêtez pour une porte dérobée de type NetBus — bien que certaines applications légitimes réutilisent aussi ce port.

Attaques courantes

  • Canal de contrôle du cheval de Troie d'accès distant NetBus
  • Contrôle total à distance d'un hôte Windows infecté
  • Enregistrement de frappe, transfert de fichiers et capture d'écran par l'opérateur
  • Balayage massif à la recherche d'hôtes déjà infectés par NetBus

Durcissement

  • Considérer un 12345 en écoute comme une compromission probable et enquêter sur l'hôte
  • Lancer une analyse AV/EDR réputée pour supprimer NetBus et les RAT similaires
  • Bloquer le port 12345 entrant sur le pare-feu de périmètre
  • Reconstruire l'hôte si une porte dérobée est confirmée et renouveler les identifiants

Commande nmap

nmap -p12345 -sV --script banner <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Qu'est-ce qui tourne sur le port 12345 ?

Le port 12345 est le port de contrôle par défaut de NetBus, un cheval de Troie d'accès distant (RAT) classique sous Windows de la fin des années 1990. Ce n'est pas un service standard : si un hôte écoute sur 12345, l'explication la plus probable est une porte dérobée de type NetBus. Quelques applications légitimes ont aussi réutilisé ce port au fil des ans, ce qui justifie une enquête plutôt qu'une panique immédiate.

Pourquoi c'est important pour la sécurité

NetBus donne à un attaquant le contrôle total à distance d'une machine Windows infectée : enregistrement des frappes, envoi/téléchargement de fichiers, capture d'écran et exécution de commandes. Comme il s'agit d'une porte dérobée et non d'un service autorisé, un 12345 ouvert est un fort indice de compromission. Les attaquants scannent aussi Internet à la recherche d'hôtes déjà infectés, si bien qu'un port NetBus exposé peut être détourné par un tiers.

Comment il est attaqué

Le port lui-même est la surface d'attaque : un client NetBus se connecte à 12345 et pilote la victime à distance. Des acteurs opportunistes scannent massivement ce port ouvert et se connectent aux hôtes déjà infectés par d'autres attaquants. Il n'y a pas de réelle authentification à vaincre — la présence de l'écouteur est le point d'entrée.

Liste de durcissement

Considérez un 12345 en écoute comme une compromission probable et enquêtez sur l'hôte avec une analyse AV/EDR réputée pour supprimer NetBus et les RAT similaires. Bloquez le port 12345 entrant sur le pare-feu de périmètre afin qu'aucun client externe ne puisse l'atteindre. Si une porte dérobée est confirmée, reconstruisez l'hôte à partir d'un support sain et renouvelez tous les identifiants qui l'ont touché. La commande nmap ci-dessus récupère la bannière sur les systèmes que vous êtes autorisé à tester.

Ports liés

Port 31337Port 1524Port 4444Port 27374

Questions fréquentes

Un port 12345 ouvert signifie-t-il que je suis infecté ?
Pas toujours, mais c'est un fort indice. 12345 est le port par défaut du cheval de Troie NetBus, donc un 12345 en écoute justifie une enquête immédiate — même si quelques applications légitimes réutilisent aussi ce port.
Qu'est-ce que NetBus ?
NetBus est un cheval de Troie d'accès distant sous Windows de la fin des années 1990 qui donne à un attaquant le contrôle total d'une machine infectée — enregistrement de frappe, accès aux fichiers et capture d'écran — via son port par défaut 12345.