Recientemente ejecuté un escaneo de puertos (solo TCP) en el enrutador / módem de mi casa (AT & T U-Verse) y encontré dos puertos peculiares que están abiertos. Aquí está la salida / resultados del escaneo para nmap 192.168.1.254 -P0:
Starting Nmap 6.49BETA4 ( https://nmap.org ) at 2015-10-14 14:30 UTC Stats: 0:00:01 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan SYN Stealth Scan Timing: About 51.50% done; ETC: 14:31 (0:00:42 remaining) Nmap scan report for homeportal (192.168.1.254) Host is up (0.0045s latency). Not shown: 996 closed PORT STATE SERVICE 80/tcp open http 256/tcp filtered fw1-secureremote 443/tcp open https 49152/tcp open unknown Los puertos extraños son 256 (tcp) y 49152 (tcp). El que más me preocupa es el puerto 256. Al investigar un poco en Google, descubrí que los clientes VPN (SecuRemote) utilizan fw1-secureremote (que se ejecuta en el puerto 256). «Nunca he usado SecuRemote, y mucho menos he oído hablar de él. También parece que el puerto 256 lo usa un troyano (Trojan.SpBot) que usa el dispositivo para enviar spam. ¿Alguna idea, por favor? Además, ¿cómo puedo comunicarme con AT & T sobre esto?
Comentarios
- Intente volver a flashear y luego vea si los puertos abiertos desaparecen. Si lo hacen, tienes malware. De lo contrario, ' probablemente sea algo que AT & T use para controlar el enrutador (y / o AT & T dispositivos conectados a él).
- ¿Está habilitada la administración remota? Si es así, ¿en qué puerto?
- Inicialmente me preocuparía más el 49152, ya que el puerto informa que está " abierto ". ¿Intentó identificar qué servicio está escuchando realmente en ese puerto?
- @lepe No pude identificar qué servicio está escuchando en ese puerto, me parece que ninguno de mis dispositivos está usando ese puerto. ¿Algún consejo para la resolución de problemas al respecto?
- La administración remota de @RobertMennell NO está activada: /.
Respuesta
Encontré este hilo: http://ubuntuforums.org/showthread.php?t=1900623
En resumen, puerto 49152 corresponde al puerto nPNP en algunos enrutadores (en ese hilo hay un D-link wbr-1310). Al inhabilitarlo, se cerró ese puerto.
Acerca del puerto 256, ya que está relacionado con VPN, consulte la configuración de VPN en su enrutador.
Comentarios
- También encontré ese hilo, desafortunadamente PNP NO se está ejecutando en el enrutador. También hice un escaneo UDP en el enrutador hace un momento (solo estaba interesado) y encontré un montón de puertos filtrados que se ejecutan en el enrutador:
- SERVICIO DE ESTADO PORTUARIO 53 / udp dominio abierto 67 / udp abierto | dhcps filtrado 776 / udp abierto | wpages filtrados 1019 / udp abierto | filtrado desconocido 1050 / udp abierto | filtrado cma 1993 / udp abierto | filtrado snmp-tcp-port 19039 / udp abierto | filtrado desconocido 19075 / udp abierto | filtrado desconocido 20411 / udp abierto | filtrado desconocido 20540 / udp abierto | filtrado desconocido 22914 / udp abierto | filtrado desconocido 24606 / udp abierto | filtrado desconocido 30544 / udp abierto | filtrado desconocido 37212 / udp abierto | filtrado desconocido 44160 / udp abierto | filtrado desconocido 49155 / udp abierto | filtrado desconocido 49210 / udp abierto | filtrado desconocido
- Obviamente, algunos son servicios legítimos, pero no muy seguros en el otro. Parece que ' estoy en un fin de semana divertido. Gracias a todos por las respuestas, actualizaré si / cuando encuentre algo nuevo.
Responder
Es inútil ejecutar un escaneo de puertos contra su dirección IP interna. Tienes que ejecutarlo desde fuera de tu red contra tu IP pública si quieres descubrir vulnerabilidades.