Skip to content
PortsDB

Référence des ports

Port 6000 (TCP) – X11 (X Window System)

Affichage :0 du serveur X Window System, acceptant les connexions clientes GUI sur TCP.

tcpRegisteredSouvent attaqué

État par défaut

Ouvert quand un serveur X écoute sur TCP (défaut historique). Souvent laissé accessible avec un contrôle d'accès faible basé sur xhost.

Attaques courantes

  • Accès non authentifié aux affichages ouverts avec 'xhost +'
  • Enregistrement des frappes clavier et capture d'écran du bureau
  • Injection d'événements d'entrée et lecture du contenu des fenêtres
  • Abus du transfert X11 pour atteindre l'affichage d'un client de confiance

Durcissement

  • Désactiver l'écoute TCP (-nolisten tcp) ; utiliser uniquement les sockets locales
  • Ne jamais exécuter 'xhost +' ; utiliser l'authentification MIT-MAGIC-COOKIE (xauth)
  • Tunneliser les GUI distantes via le transfert X11 de SSH plutôt que le 6000 brut
  • Filtrer les ports 6000-6063 des réseaux non fiables
  • Restreindre les IP sources et éviter le transfert X11 de confiance

Commande nmap

nmap -p6000 --script x11-access <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 6000

Le port 6000 est l'affichage :0 du serveur X Window System (X11). X11 est la couche graphique Unix/Linux classique : le serveur possède l'écran, le clavier et la souris, tandis que les applications GUI se connectent en tant que clients pour dessiner des fenêtres et recevoir les entrées. Les affichages supplémentaires incrémentent le port — :1 est le 6001, et ainsi de suite jusqu'à 6063.

Pourquoi c'est important pour la sécurité

X11 a été conçu pour des réseaux de confiance, et son contrôle d'accès est faible. La fameuse commande xhost + désactive entièrement le contrôle d'accès, donc n'importe quel hôte peut se connecter à l'affichage. Comme un client X voit toutes les entrées et sorties, un attaquant connecté peut enregistrer chaque frappe, capturer le bureau, lire le contenu des fenêtres et injecter des événements clavier et souris synthétiques — une prise de contrôle complète du bureau.

Comment c'est attaqué

Les scanners cherchent les ports 6000 ouverts et confirment un accès permissif avec le script nmap x11-access. Là où xhost + ou l'absence d'authentification est en place, les attaquants se connectent directement et exécutent des outils pour capturer frappes et écrans ou injecter des entrées. Le transfert X11 est un autre risque : un serveur SSH malveillant ou compromis avec transfert de confiance peut atteindre l'affichage du client qui se connecte.

Liste de durcissement

Désactivez l'écoute TCP avec -nolisten tcp afin que X11 n'utilise que les sockets locales, et n'exécutez jamais xhost + — appuyez-vous sur l'authentification MIT-MAGIC-COOKIE (xauth). Pour les GUI distantes, tunnelisez via le transfert X11 de SSH au lieu d'exposer le 6000 brut, et préférez le transfert non fiable (et non de confiance). Filtrez les ports 6000-6063 des réseaux non fiables. La commande nmap ci-dessus vérifie le contrôle d'accès de l'affichage sur les systèmes que vous êtes autorisé à tester.

Ports liés

Port 6001Port 5900Port 22Port 177

Questions fréquentes

Que fait 'xhost +' et pourquoi est-ce dangereux ?
Il désactive le contrôle d'accès X11, laissant n'importe quel hôte se connecter à votre affichage sur le port 6000. Un attaquant peut alors enregistrer les frappes, capturer l'écran et injecter des entrées — une compromission complète du bureau.
Comment savoir si mon serveur X est exposé sur 6000 ?
Si le serveur X écoute sur TCP et que le contrôle d'accès est ouvert, le script x11-access de nmap se connectera avec succès. Désactivez l'écoute TCP et utilisez les cookies xauth pour le verrouiller.