Il mio router / modem è compromesso?

Quindi di recente ho eseguito una scansione delle porte (solo TCP) sul mio router / modem di casa (AT & T U-Verse) e ho trovato due porte peculiari che sono aperte. Ecco loutput / i risultati della scansione per nmap 192.168.1.254 -P0:

Starting Nmap 6.49BETA4 ( https://nmap.org ) at 2015-10-14 14:30 UTC Stats: 0:00:01 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan SYN Stealth Scan Timing: About 51.50% done; ETC: 14:31 (0:00:42 remaining) Nmap scan report for homeportal (192.168.1.254) Host is up (0.0045s latency). Not shown: 996 closed PORT STATE SERVICE 80/tcp open http 256/tcp filtered fw1-secureremote 443/tcp open https 49152/tcp open unknown 

Le strane porte sono 256 (tcp) e 49152 (tcp). Quella che mi preoccupa di più è la porta 256. Facendo qualche ricerca superficiale su Google, ho scoperto che fw1-secureremote (in esecuzione sulla porta 256) è utilizzata dai client VPN (SecuRemote). “Non ho mai usato SecuRemote, tantomeno ne ho mai sentito parlare. Inoltre, sembra che la porta 256 sia utilizzata da un trojan (Trojan.SpBot) che utilizza il dispositivo per inviare spam. Qualche intuizione per favore? Inoltre, come posso contattare AT & T in merito?

Commenti

  • Prova a eseguire nuovamente il flashing e poi controlla se le porte aperte scompaiono. Se lo fanno, hai un malware. Altrimenti, ' è probabilmente qualcosa che AT & T utilizza per controllare il router (e / o AT & T sono collegati ad esso).
  • La gestione remota è abilitata? In tal caso, su quale porta?
  • Inizialmente sarei più preoccupato per 49152 poiché la porta segnala la sua " aperta ". Hai provato a identificare quale servizio è effettivamente in ascolto su quella porta?
  • @lepe Non sono riuscito a identificare quale servizio è in ascolto su quella porta, mi sembra che nessuno dei miei dispositivi utilizzi quella porta. Qualche suggerimento per la risoluzione dei problemi al riguardo?
  • La gestione remota di @RobertMennell NON è attiva: /.

Answer

Ho trovato questo thread: http://ubuntuforums.org/showthread.php?t=1900623

In sintesi, porta 49152 corrisponde alla porta nPNP in alcuni router (in quel thread cè un D-link wbr-1310). La disattivazione ha chiuso la porta.

Riguardo alla porta 256, poiché è correlata alla VPN, controlla le impostazioni della VPN nel tuo router.

Commenti

  • Mi sono imbattuto anche in quel thread, sfortunatamente PNP NON è in esecuzione sul router. Ho anche fatto una scansione UDP sul router proprio ora (ero solo interessato) e ho trovato un gruppo di porte filtrate in esecuzione sul router:
  • PORT STATE SERVICE 53 / udp open domain 67 / udp open | filtered dhcps 776 / udp aperto | filtrato wpages 1019 / udp aperto | filtrato sconosciuto 1050 / udp aperto | filtrato cma 1993 / udp aperto | filtrato snmp-tcp-port 19039 / udp aperto | filtrato sconosciuto 19075 / udp aperto | filtrato sconosciuto 20411 / udp aperto | filtrato sconosciuto 20540 / udp aperto | filtrato sconosciuto 22914 / udp aperto | filtrato sconosciuto 24606 / udp aperto | filtrato sconosciuto 30544 / udp aperto | filtrato sconosciuto 37212 / udp aperto | filtrato sconosciuto 44160 / udp aperto | filtrato sconosciuto 49155 / udp aperto | sconosciuto filtrato 49210 / udp aperto | sconosciuto filtrato
  • Ovviamente, alcuni sono servizi legittimi, ma non troppo sicuri dallaltro. Sembra che ' sia pronto per un fine settimana divertente. Grazie a tutti per le risposte, aggiornerò se / quando troverò qualcosa di nuovo.

Risposta

È inutile eseguire un portscan sul tuo indirizzo IP interno. Devi eseguirlo dallesterno della tua rete contro il tuo IP pubblico se vuoi scoprire le vulnerabilità.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *