Skip to content
PortsDB

Référence des ports

Port 6667 (TCP) – IRC (Internet Relay Chat)

Port en clair par défaut des serveurs Internet Relay Chat ; l'IRC en TLS utilise généralement le 6697.

tcpRegisteredSouvent attaqué

État par défaut

Ouvert sur les serveurs IRC, généralement non chiffré sur le 6667 (variante TLS sur le 6697). L'usage légitime est le chat en temps réel, mais le protocole est aussi un canal C2 de botnet historique.

Attaques courantes

  • Commande et contrôle de botnet via des canaux IRC
  • Détection d'hôtes compromis émettant vers un C2 IRC
  • Abus d'IRCd ouverts/mal configurés pour le spam et le flooding
  • Exploitation de démons IRC vulnérables ou contenant des portes dérobées

Durcissement

  • Utiliser l'IRC en TLS (6697) et désactiver le 6667 en clair si possible
  • Surveiller le trafic sortant pour de l'IRC inattendu — un signal C2 classique
  • Verrouiller la configuration IRCd : désactiver les relais ouverts, exiger auth/SASL
  • Garder le démon IRC à jour et l'exécuter en tant qu'utilisateur non privilégié
  • Filtrer les ports IRC vers les utilisateurs attendus et les bloquer depuis les serveurs/IoT

Commande nmap

nmap -p6667 --script irc-info,irc-botnet-channels <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 6667

Le port 6667 est le port Internet Relay Chat (IRC) classique. IRC est un protocole de chat simple, textuel et orienté canaux qui anime des communautés en temps réel depuis des décennies. L'IRC simple sur le 6667 n'est pas chiffré ; les réseaux modernes proposent l'IRC en TLS sur le 6697. Le port IRC enregistré apparenté est le 194.

Pourquoi c'est important pour la sécurité

La simplicité d'IRC en a fait un transport de commande et contrôle de botnet favori : les hôtes infectés rejoignent un canal et attendent des ordres. Donc bien que le 6667 soit lui-même un port de chat légitime, un trafic IRC sortant inattendu — surtout depuis des serveurs ou appareils IoT qui n'ont aucune raison de discuter — est un indicateur de compromission classique.

Comment c'est attaqué

Défenseurs et attaquants prennent l'empreinte d'IRC avec irc-info et traquent les logiciels malveillants avec irc-botnet-channels, qui signale des motifs de canaux C2 connus. Les instances IRCd ouvertes ou mal configurées sont détournées pour le spam et le flooding, et les démons vulnérables ou contenant des portes dérobées (un risque historique célèbre) sont exploités pour de l'exécution de code.

Liste de durcissement

Utilisez l'IRC en TLS sur le 6697 et désactivez le 6667 en clair si possible. Surveillez le trafic sortant pour de l'IRC inattendu — un signal C2 classique. Verrouillez la configuration IRCd : désactivez les relais ouverts, exigez auth/SASL, gardez le démon à jour et exécutez-le en tant qu'utilisateur non privilégié. Filtrez les ports IRC vers les utilisateurs attendus et bloquez-les depuis les serveurs et l'IoT. Utilisez la commande nmap ci-dessus pour vérifier l'exposition sur les hôtes que vous êtes autorisé à tester.

Ports liés

Port 194Port 6697Port 6660Port 113

Questions fréquentes

Le trafic sur le port 6667 est-il toujours malveillant ?
Non. Le 6667 est le port standard du chat IRC légitime. Cependant, comme l'IRC est simple et basé sur des canaux, les logiciels malveillants l'utilisent depuis longtemps pour la commande et le contrôle, donc un trafic sortant 6667 inattendu depuis des serveurs ou de l'IoT est suspect.
Pourquoi un trafic IRC inattendu est-il un signal d'alerte sur un serveur ?
Les serveurs et appareils IoT ont rarement besoin d'IRC. Des connexions sortantes vers le 6667 indiquent souvent un hôte compromis émettant vers un canal C2 de botnet ; le script NSE irc-botnet-channels aide à repérer des motifs C2 connus.