Ist mein Router / Modem kompromittiert?

Daher habe ich kürzlich einen Port-Scan (nur TCP) auf meinem Heimrouter / Modem (AT & T ausgeführt U-Vers) und fand zwei eigenartige Ports, die offen sind. Hier ist die Scanausgabe / Ergebnisse für nmap 192.168.1.254 -P0:

Starting Nmap 6.49BETA4 ( https://nmap.org ) at 2015-10-14 14:30 UTC Stats: 0:00:01 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan SYN Stealth Scan Timing: About 51.50% done; ETC: 14:31 (0:00:42 remaining) Nmap scan report for homeportal (192.168.1.254) Host is up (0.0045s latency). Not shown: 996 closed PORT STATE SERVICE 80/tcp open http 256/tcp filtered fw1-secureremote 443/tcp open https 49152/tcp open unknown 

Die seltsamen Ports sind 256 (tcp) und 49152 (tcp). Das, worüber ich am meisten besorgt bin, ist Port 256. Bei einigen flüchtigen Nachforschungen bei Google stellte ich fest, dass fw1-secureremote (auf Port 256 ausgeführt) von VPN-Clients (SecuRemote) verwendet wird „Ich habe SecuRemote noch nie verwendet, geschweige denn jemals davon gehört. Es scheint auch, dass Port 256 von einem Trojaner (Trojan.SpBot) verwendet wird, der das Gerät zum Senden von Spam verwendet. Irgendwelche Einsichten bitte? Wie kann ich AT & T darüber kontaktieren?

Kommentare

  • Versuchen Sie erneut zu blinken und prüfen Sie dann, ob die offenen Ports verschwinden. Wenn ja, hatten Sie Malware. Andernfalls ist es ' wahrscheinlich etwas, das AT & T zur Steuerung des Routers (und / oder AT & T angeschlossene Geräte).
  • Ist die Fernverwaltung aktiviert? Wenn ja, an welchem Port?
  • Ich wäre anfangs mehr besorgt über 49152, da der Port seine " open ". Haben Sie versucht festzustellen, welcher Dienst an diesem Port tatsächlich empfangsbereit ist?
  • @lepe Ich konnte nicht feststellen, welcher Dienst an diesem Port empfangsbereit ist. Mir scheint, dass keines meiner Geräte diesen Port verwendet. Tipps zur Fehlerbehebung in dieser Hinsicht?
  • @RobertMennell Remoteverwaltung ist NICHT aktiviert: /.

Antwort

Ich habe diesen Thread gefunden: http://ubuntuforums.org/showthread.php?t=1900623

Zusammenfassend Port 49152 entspricht dem nPNP-Port in einigen Routern (in diesem Thread befindet sich ein D-Link wbr-1310). Durch Deaktivieren wurde dieser Port geschlossen.

Informationen zu Port 256 in Bezug auf VPN finden Sie in den VPN-Einstellungen Ihres Routers.

Kommentare

  • Ich bin auch auf diesen Thread gestoßen, leider läuft PNP NICHT auf dem Router. Ich habe gerade auch einen UDP-Scan auf dem Router durchgeführt (war nur interessiert) und eine Reihe von gefilterten Ports gefunden, die auf dem Router ausgeführt werden:
  • PORT STATE SERVICE 53 / udp open domain 67 / udp open | gefilterte dhcps 776 / udp open | gefilterte wpages 1019 / udp open | gefilterte unbekannte 1050 / udp open | gefilterte cma 1993 / udp open | gefilterte snmp-tcp-port 19039 / udp open | gefilterte unbekannte 19075 / udp open | gefilterte unbekannte 20411 / udp open | gefiltert unbekannt 20540 / udp offen | gefiltert unbekannt 22914 / udp offen | gefiltert unbekannt 24606 / udp offen | gefiltert unbekannt 30544 / udp offen | gefiltert unbekannt 37212 / udp offen | gefiltert unbekannt 44160 / udp offen | gefiltert unbekannt 49155 / udp offen | gefiltert unbekannt 49210 / udp open | gefiltert unbekannt
  • Offensichtlich sind einige legitime Dienste, auf der anderen nur nicht sicher. Scheint, als würde ich ' ein lustiges Wochenende verbringen. Vielen Dank an alle für die Antworten. Ich werde sie aktualisieren, wenn ich etwas Neues herausfinde.

Antwort

Is Es ist nutzlos, einen Portscan für Ihre interne IP-Adresse auszuführen. Sie müssen es von außerhalb Ihres Netzwerks gegen Ihre öffentliche IP ausführen, wenn Sie Schwachstellen entdecken möchten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.