Port 31337 (UDP) – Back Orifice

Qu'est-ce qui tourne sur le port 31337 ?

Le port 31337 est le port par défaut de Back Orifice, l'emblématique porte dérobée Windows publiée par le Cult of the Dead Cow en 1998. Le nombre s'écrit "eleet" en leetspeak, ce qui a ancré sa place dans la culture sécurité. Ce n'est pas un service légitime : un 31337 en écoute signifie très probablement une porte dérobée de type Back Orifice, et le port est aussi réutilisé comme canal C2 / reverse-shell générique par d'autres logiciels malveillants.

Pourquoi c'est important pour la sécurité

Back Orifice donne à un attaquant le contrôle à distance furtif d'une machine Windows infectée via UDP — accès aux fichiers, exécution de commandes et surveillance. Comme le port est si emblématique, 31337 est une signature IDS/IPS de longue date : la plupart des systèmes de détection le signalent d'emblée. Un 31337 ouvert est donc un fort indice de compromission qui doit déclencher une enquête, et non un service en écoute normal.

Comment il est attaqué

La porte dérobée elle-même est la menace : un client Back Orifice envoie des paquets de contrôle UDP vers 31337 pour piloter la victime. Des acteurs opportunistes scannent aussi massivement ce port célèbre pour trouver des hôtes déjà infectés par d'autres attaquants, et diverses familles de logiciels malveillants réutilisent simplement 31337 comme port de commande et de contrôle.

Liste de durcissement

Considérez un 31337 en écoute comme une compromission probable et enquêtez avec une analyse AV/EDR réputée pour supprimer Back Orifice et les RAT similaires. Gardez la signature IDS/IPS pour 31337 activée et alertez sur tout trafic correspondant. Bloquez le port UDP 31337 entrant sur le pare-feu de périmètre. La commande nmap ci-dessus utilise -sU pour sonder le port UDP sur les systèmes que vous êtes autorisé à tester.