Référence des ports
Port 4899 (TCP) – Radmin
Serveur d'administration distante Famatech Radmin pour le contrôle graphique à distance des hôtes Windows.
État par défaut
Ouvert sur les hôtes Windows exécutant le service Radmin Server. Parfois installé silencieusement par des maliciels qui détournent Radmin pour le contrôle distant.
Attaques courantes
- Force brute des identifiants Radmin
- Détournement de Radmin comme canal de commande et contrôle (C2) discret
- Recherche d'hôtes 4899 exposés pour obtenir un contrôle distant
- Exploitation de serveurs Radmin non corrigés ou mal configurés
Durcissement
- Ne jamais exposer le 4899 à Internet — restreindre aux réseaux VPN/d'administration
- Utiliser le mode sécurité de Radmin avec des mots de passe forts et uniques
- Créer une liste blanche d'IP sources et activer la journalisation des connexions
- Détecter les installations Radmin inattendues comme possible indicateur de compromission
- Maintenir Radmin Server à jour et le retirer là où il est inutilisé
Commande nmap
nmap -p4899 --script banner <target>Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.
Ce qui s'exécute sur le port 4899
Le port 4899 est le défaut de Radmin (Remote Administrator) de Famatech, un outil graphique d'administration distante pour Windows. Le serveur Radmin écoute sur le 4899 et permet à un opérateur de voir et contrôler le bureau, transférer des fichiers et ouvrir un shell distant — comparable à VNC ou RDP, avec son propre protocole et sa propre authentification.
Pourquoi c'est important pour la sécurité
Radmin est à double usage : un outil d'admin légitime que les attaquants déploient aussi comme canal de commande et contrôle discret sur les machines compromises. Un 4899 exposé offre un contrôle direct et interactif d'un hôte Windows, il attire donc les scanners et les tentatives de force brute. Inversement, une installation Radmin inattendue est elle-même un signal d'alerte — elle peut indiquer que quelqu'un a déjà implanté un logiciel de contrôle distant.
Comment c'est attaqué
Les attaquants recherchent les 4899 ouverts et identifient le serveur via sa bannière, puis brute-forcent les identifiants Radmin pour prendre le contrôle. Des familles de maliciels embarquent ou déposent Radmin pour maintenir un accès distant persistant tout en se fondant dans un outil connu et fiable. Les serveurs non corrigés ou mal configurés élargissent l'ouverture.
Liste de durcissement
N'exposez jamais le 4899 à Internet — gardez Radmin sur des réseaux VPN ou d'administration internes. Activez le mode sécurité de Radmin avec des mots de passe forts et uniques, créez une liste blanche d'IP sources et activez la journalisation des connexions. Traitez toute installation Radmin inattendue comme un possible indicateur de compromission, maintenez le serveur à jour et retirez-le là où il est inutilisé. Utilisez la commande nmap ci-dessus pour localiser les hôtes exposés que vous êtes autorisé à évaluer.
Ports liés
Questions fréquentes
- Pourquoi Radmin est-il parfois signalé comme maliciel ?
- Radmin est un outil d'administration distante légitime, mais les attaquants l'installent silencieusement pour contrôler les hôtes compromis. Un serveur Radmin inattendu sur le 4899 peut donc être un indicateur de compromission.
- Peut-on exposer le port 4899 sans risque ?
- Non. Exposer Radmin sur le 4899 invite la force brute d'identifiants et la prise de contrôle distante. Gardez-le sur des réseaux d'administration internes ou derrière un VPN et exigez une authentification forte.