Référence des ports
Port 1524 (TCP) – ingreslock
Nominalement un service de verrou de base de données Ingres, mais tristement connu comme port de shell bind de porte dérobée donnant souvent un root instantané.
État par défaut
Rarement un vrai service. Un 1524 en écoute est généralement un shell bind de porte dérobée laissé par un attaquant, comme sur Metasploitable.
Attaques courantes
- Shell bind de porte dérobée en écoute sur 1524 pour un accès direct de l'attaquant
- Shell root instantané sur les hôtes mal configurés ou compromis
- Balayage massif à la recherche de la porte dérobée ingreslock classique
- Utilisation comme canal de persistance après l'exploitation initiale
Durcissement
- Considérer un 1524 en écoute comme une porte dérobée probable et enquêter sur l'hôte
- Inspecter inetd/xinetd et les scripts de démarrage pour un shell lié à 1524
- Bloquer le port 1524 entrant sur le pare-feu de périmètre
- Reconstruire l'hôte si une porte dérobée est confirmée et renouveler les identifiants
Commande nmap
nmap -p1524 -sV --script banner <target>Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.
Qu'est-ce qui tourne sur le port 1524 ?
Le port 1524 est enregistré pour ingreslock, le service de verrou de l'ancienne base de données Ingres. En pratique, il est bien plus connu comme shell bind de porte dérobée. Sur l'image délibérément vulnérable Metasploitable et sur de nombreux hôtes compromis, un shell root est laissé en écoute sur 1524, si bien que se connecter au port vous place directement dans une session privilégiée sans authentification.
Pourquoi c'est important pour la sécurité
Un 1524 en écoute est rarement un service Ingres légitime — c'est généralement une porte dérobée. Comme le shell lié s'exécute souvent en tant que root, un attaquant qui atteint le port obtient un contrôle total et instantané de la machine. Cela fait d'un 1524 ouvert un fort indice de compromission et l'une des escalades de privilèges les plus rapides disponibles lorsqu'il est présent.
Comment il est attaqué
Les attaquants scannent massivement à la recherche de la porte dérobée ingreslock classique et se connectent simplement à 1524 pour atterrir dans le shell en attente. Le port sert aussi de canal de persistance : après un exploit initial, un opérateur lie un shell root à 1524 pour pouvoir revenir plus tard. Aucun exploit n'est nécessaire au moment de la connexion — l'écouteur est toute la vulnérabilité.
Liste de durcissement
Considérez un 1524 en écoute comme une porte dérobée probable et enquêtez sur l'hôte. Inspectez la configuration inetd/xinetd et les scripts de démarrage pour un shell lié au port, et supprimez-le. Bloquez le port 1524 entrant sur le pare-feu de périmètre. Si une porte dérobée est confirmée, reconstruisez l'hôte à partir d'un support sain et renouvelez tous les identifiants. La commande nmap ci-dessus récupère la bannière sur les systèmes que vous êtes autorisé à tester.
Ports liés
Questions fréquentes
- Pourquoi le port 1524 est-il considéré comme une porte dérobée ?
- Bien que 1524 soit enregistré pour le service de verrou de la base Ingres, il est bien plus connu comme shell bind de porte dérobée. Attaquants et cibles de laboratoire comme Metasploitable y laissent un shell root en écoute pour un accès instantané.
- Que se passe-t-il si je me connecte à un port 1524 ouvert ?
- Sur un hôte avec porte dérobée, vous arrivez souvent directement dans un shell root sans authentification. C'est pourquoi un 1524 en écoute doit être considéré comme une compromission et examiné immédiatement.