Så jeg kørte for nylig en portscanning (kun TCP) på min hjemmerouter / -modem (AT & T U-Verse) og fandt to ejendommelige porte, der er åbne. Her er scanningsoutputtet / resultaterne for nmap 192.168.1.254 -P0
:
Starting Nmap 6.49BETA4 ( https://nmap.org ) at 2015-10-14 14:30 UTC Stats: 0:00:01 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan SYN Stealth Scan Timing: About 51.50% done; ETC: 14:31 (0:00:42 remaining) Nmap scan report for homeportal (192.168.1.254) Host is up (0.0045s latency). Not shown: 996 closed PORT STATE SERVICE 80/tcp open http 256/tcp filtered fw1-secureremote 443/tcp open https 49152/tcp open unknown
De mærkelige porte er 256 (tcp) og 49152 (tcp). Den, jeg er mest bekymret for, er port 256. Jeg foretog en kortvarig undersøgelse på Google, og jeg fandt ud af, at fw1-secureremote
(kører på port 256) bruges af VPN-klienter (SecuRemote). “har aldrig brugt SecuRemote, endsige nogensinde hørt om det. Det ser også ud til, at port 256 bruges af en trojan (Trojan.SpBot), der bruger enheden til at sende spam. Enhver indsigt tak? Hvordan kan jeg også gå til at kontakte AT & T om dette?
Kommentarer
- Prøv at blinke igen, og se derefter, om de åbne porte forsvinder. Hvis de gør det, havde du malware. Ellers er det ' sandsynligvis noget AT & T bruger til at styre routeren (og / eller AT & T-enheder tilsluttet det).
- Er fjernadministration aktiveret? Hvis ja, i hvilken port?
- Jeg ville oprindeligt være mere bekymret over 49152, da havnen rapporterer om, at dens " åbner ". Forsøgte du at identificere, hvilken tjeneste der faktisk lytter i den port?
- @lepe Jeg var ikke i stand til at identificere, hvilken tjeneste der lytter i den port, ser ud til, at ingen af mine enheder bruger den port. Eventuelle fejlfindingstips i den henseende?
- @RobertMennell fjernadministration er IKKE på: /.
Svar
Jeg fandt denne tråd: http://ubuntuforums.org/showthread.php?t=1900623
Sammenfattende port 49152 svarer til nPNP-port i nogle routere (i den tråd er en D-link wbr-1310). Deaktivering af den lukkede den port.
Om port 256, da den er relateret til VPN, skal du se på VPN-indstillingerne i din router.
Kommentarer
- Jeg stødte også på den tråd, desværre kører PNP IKKE på routeren. Jeg lavede også en UDP-scanning på routeren lige nu (var bare interesseret) og fandt en masse filtrerede porte, der kørte på routeren:
- PORT STATE SERVICE 53 / udp open domain 67 / udp open | filtreret dhcps 776 / udp åben | filtreret wpages 1019 / udp åben | filtreret ukendt 1050 / udp åben | filtreret cma 1993 / udp åben | filtreret snmp-tcp-port 19039 / udp åben | filtreret ukendt 19075 / udp åben | filtreret ukendt 20411 / udp åben | filtreret ukendt 20540 / udp åben | filtreret ukendt 22914 / udp åben | filtreret ukendt 24606 / udp åben | filtreret ukendt 30544 / udp åben | filtreret ukendt 37212 / udp åben | filtreret ukendt 44160 / udp åben | filtreret ukendt 49155 / udp åben | filtreret ukendt 49210 / udp open | filtreret ukendt
- Naturligvis er nogle legitime tjenester, bare ikke alt for sikre på den anden. Det ser ud til, at jeg ' kommer ind til en sjov weekend. Tak alle for svarene, jeg opdaterer, hvis / når jeg finder noget nyt ud.
Svar
Er ubrugelig at køre en portscanning mod din interne IP-adresse. Du skal køre den uden for dit netværk mod din offentlige IP, hvis du vil opdage sårbarheder.