Skip to content
PortsDB

Référence des ports

Port 4444 (TCP) – Metasploit / C2 reverse-shell

Port de reverse-shell et C2 de facto — écouteur Meterpreter par défaut de Metasploit, aussi détourné par le ver MSBlaster.

tcpRegisteredSouvent attaqué

État par défaut

Pas un service standard. Apparaît quand un gestionnaire Metasploit écoute ou qu'un malware ouvre un canal reverse-shell ; l'alerter est un signal de détection.

Attaques courantes

  • Rappels reverse-shell Meterpreter de Metasploit vers un gestionnaire 4444
  • Trafic de commande et contrôle (C2) et de post-exploitation
  • Propagation historique du ver MSBlaster via MSRPC (CVE-2003-0352, port 135)
  • Charges bind-shell écoutant sur 4444 pour la reconnexion de l'attaquant

Durcissement

  • Traiter le 4444 entrant/sortant comme suspect — alerter et bloquer par défaut
  • Filtrer la sortie pour que les hôtes internes ne puissent pas sortir sur des ports hauts arbitraires
  • Chasser le comportement Meterpreter, pas seulement le numéro de port
  • Corriger les failles RCE/MSRPC sous-jacentes qui déposent ces charges (ex. MS03-026)
  • Utiliser un EDR pour détecter le Meterpreter en mémoire et l'injection de processus

Commande nmap

nmap -p4444 -sV --script metasploit-info <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 4444

Le port 4444 n'a aucun service légitime fixe unique. Il est surtout connu comme l'écouteur par défaut de la charge Meterpreter de Metasploit — quand un opérateur lance un exploit, l'hôte compromis rappelle généralement un gestionnaire sur 4444. Il a aussi une histoire : le ver MSBlaster de 2003 utilisait 4444 pour ouvrir un shell distant après avoir exploité la faille MSRPC DCOM (CVE-2003-0352) sur le port 135.

Pourquoi c'est important pour la sécurité

Comme le 4444 est le port de reverse-shell et C2 de facto, le trafic vers ou depuis lui est un indicateur de compromission classique. Les équipes bleues et les règles IDS alertent spécifiquement sur les rappels 4444. Il héberge rarement quelque chose de légitime, donc voir un hôte interne se connecter en sortie vers 4444 — ou écouter dessus — signifie généralement qu'un exploit a réussi et qu'un point d'appui est actif.

Comment c'est attaqué

Les attaquants configurent un multi/handler Metasploit sur 4444 et livrent une charge qui se reconnecte, ouvrant une session Meterpreter interactive pour la post-exploitation : pivotement, vol d'identifiants et déplacement latéral. Les charges bind-shell écoutent au contraire sur 4444 que l'attaquant s'y connecte. Historiquement, des vers comme MSBlaster se propageaient via la faille MSRPC (port 135) et utilisaient 4444 comme canal de shell.

Liste de durcissement

Traitez tout trafic 4444 comme suspect par défaut — alertez et bloquez-le. Filtrez la sortie pour que les hôtes internes ne puissent pas sortir vers un C2 sur des ports hauts arbitraires. Chassez le comportement Meterpreter (injection en mémoire, activité de tubes nommés) plutôt que de vous fier au seul port, et déployez un EDR pour attraper les charges en mémoire. Corrigez les failles RCE/MSRPC sous-jacentes (ex. MS03-026) qui déposent ces implants. La commande nmap ci-dessus sonde le port sur les systèmes que vous êtes autorisé à tester.

Ports liés

Port 135Port 1337Port 31337Port 5555

Questions fréquentes

Pourquoi le port 4444 est-il considéré comme malveillant ?
C'est l'écouteur Meterpreter par défaut de Metasploit et un port reverse-shell/C2 courant, donc le trafic vers ou depuis 4444 est un fort indicateur d'exploitation. Il ne porte aucun service légitime fixe unique.
Quel est le lien entre le port 4444 et MSBlaster ?
Le ver MSBlaster de 2003 a exploité la faille MSRPC DCOM (CVE-2003-0352 sur le port 135) et utilisé 4444 pour ouvrir un shell distant sur les victimes, ancrant la réputation du port.