遠端主機上的 TCP 連接埠 0 開啟。由於此 TCP 連接埠已保留且不應使用，這種情況高度可疑。這可能是後門程式 (REx)。

遠端主機似乎已感染 Bofra 蠕蟲或其中一個變體，此病毒可透過 Internet Explorer IFRAME 攻擊程式來感染電腦。此系統很可能已遭到入侵。

系統受到 MoonLit 病毒感染，後門程式連接埠已開啟。

Backdoor.Moonlit 是一種特洛伊木馬程式，可下載並執行檔案，並可充當 Proxy 伺服器。

「bash」帳戶未設定密碼。攻擊者可能藉此取得此系統上的進階權限。 

此帳戶可能是由假的 Linux RedHat 修補程式所安裝的後門程式建立。

遠端主機似乎正在執行「PostNuke」內容管理系統受特洛伊木馬感染版本的複本。

PostNuke 是一個 PHP 內容管理系統，其主要網站在 2004 年 10 月 24 日至 26 日期間遭到入侵。攻擊者透過將引數傳遞至 pnAPI.php 檔案的「oops」參數，修改了該工具的部分原始程式碼，以便在遠端主機上執行任意命令。

遠端系統感染了蠕蟲 w32.spybot.fcd 的變體。受感染的系統將掃描相同子網路中易受攻擊的系統以進行擴散，進而建立一個已用於 DDoS 攻擊等目的的殭屍網路。

遠端主機正在執行 Hacker Defender Rootkit。除其他方面之外，它會將自己掛在系統上所有開放的 TCP 連接埠上，偵聽特製的封包，並在找到時在該連接埠上開啟後門程式。惡意使用者可利用此後門程式，從遠端控制受影響的主機。

此主機似乎正在執行 Unmanarc Remote Control Server (URCS)。雖然有些 URCS 的使用確實合法，但它也可能以無訊息的方式安裝為後門程式，進而允許入侵者取得遠端系統上檔案的遠端存取權。如果未安裝此程式進行遠端管理，則表示遠端主機已遭到入侵。 

攻擊者可能會利用它來竊取遠端系統上的檔案與密碼或重新導向連接埠，進而發動其他攻擊。

此主機似乎正在執行 ident 伺服器，但 ident 伺服器以隨機使用者 ID 回應空白查詢。此行為可能表示有 IRC bot、蠕蟲和/或病毒感染。此系統很可能已遭到入侵。

遠端主機正在連接埠 10002 上執行 radmin (一種遠端管理工具)。 

這表示攻擊者可能已利用一個可廣泛取得的攻擊程式攻擊 MS04-028 中描述的一個弱點。 

因此，任何人皆可連線至遠端主機，並透過登入遠端 radmin 伺服器取得控制權。

遠端主機上安裝了後門程式「BackDoor.Zinite.A」。它可能是由「MyDoom.M」病毒所安裝。此後門程式可能允許攻擊者在遠端主機上取得未經授權的存取權。

Download.Ject 是一種會感染 Microsoft IIS 伺服器的特洛伊木馬程式。

此特洛伊木馬程式的放置者會將其設定為受感染電腦上由 IIS 網站提供的所有頁面的文件頁尾。

遠端系統似乎已安裝 PhatBOT。此程式允許透過 P2P 網路控制機器。PhatBOT 極為複雜，允許遠端攻擊者使用受害機器執行各種動作。

遠端主機正在使用 NCASE 程式。您應該確保：\n
- 使用者打算安裝 NCASE (有時是以無訊息方式安裝) - NCASE 的使用符合貴公司的要求和安全性原則。

執行反間諜軟體應用程式通常會移除此軟體。

遠端主機正在使用 DOWNLOADWARE 程式。您應該確保：- 使用者打算安裝 DOWNLOADWARE (有時是以無訊息方式安裝) - DOWNLOADWARE 的使用符合貴公司的要求和安全性原則。

若要移除這類軟體，您可能希望簽出 ad-aware 或 spybot。

遠端主機上安裝了一個廣告軟體程式 Cydoor Desktop Media。此程式會在未經使用者允許的情況下，顯示快顯/背後快顯廣告並變更網頁瀏覽器設定 (例如：首頁)。

遠端主機正在使用 VCATCH 程式。您應該確保：

- 使用者打算安裝 VCATCH (有時會以無訊息的方式安裝)
    - VCATCH 的使用符合您公司的要求和安全性原則。

若要移除這類軟體，您可能希望簽出 ad-aware 或 spybot。

遠端主機正在使用 TIMESINK 程式。您應該確保：

  - 使用者打算安裝 TIMESINK (有時會以無訊息方式安裝)
    - TIMESINK 的使用符合您公司的要求和安全性原則。

若要移除這類軟體，您可能希望簽出 ad-aware 或 spybot。

可以使用登入名稱 'e' 和密碼 'asd#321' 登入遠端主機。
可廣泛利用 Microsoft 佈告欄 MS03-039 中所述的其中一個弱點建立此類帳戶。這可能表示遠端主機已因利用此弱點而遭到入侵。

此外掛程式已過時，因為它會標記在 TCP 6778 上發現的任何 telnet 標題，從而造成過多誤報。

已安裝 NETBUS 1.x。

NetBus 是一個可用於惡意目的的遠端管理工具，例如探查使用者正在輸入的內容、密碼等。 

攻擊者可能已安裝它來控制您網路上的主機。 

此外，可能會繞過 Netbus 驗證。

ID	名稱	嚴重性
18164	TCP 連接埠 0 開啟：可能有後門程式	info
15746	Microsoft IE FRAME/IFRAME/EMBED 標籤溢位 (Bofra 蠕蟲偵測)	critical
15586	MoonLit 病毒後門程式偵測	critical
15583	未設密碼的「bash」後門程式帳戶	critical
15570	感染特洛伊木馬的 PostNuke 發行版本	high
15520	w32.spybot.fcd 蠕蟲感染偵測	high
15517	Hacker Defender 後門程式偵測	critical
15405	Unmanarc Remote Control Server (URCS) 偵測	critical
14841	IRC Bot ident 伺服器偵測	critical
14834	Radmin (遠端系統管理員) 連接埠 10002 - 可能遭到 GDI 入侵	high
14184	Zinite.A (MyDoom.M) 後門程式偵測	critical
12287	Microsoft IIS Download.Ject 特洛伊木馬程式偵測	high
12111	PhatBOT 後門程式偵測	critical
12017	NCASE 軟體偵測	high
12013	DOWNLOADWARE 軟體偵測	high
12012	CYDOOR 軟體偵測	medium
12004	VCATCH 間諜軟體偵測	high
12003	TIMESINK 間諜軟體偵測	high
11839	MS03-039 利用後門程式帳戶偵測	critical
11170	Alcatel OmniSwitch 7700/7800 交換器後門存取 (已過時)	critical
10151	NetBus 1.x 軟體偵測	high

Nessus 的 Backdoors 系列

info

critical

critical

critical

high

high

critical

critical

critical

high

critical

high

critical

high

high

medium

high

high

critical

critical

high