最近、ホームルーター/モデム(AT & T)でポートスキャン(TCPのみ)を実行しました。 U-Verse)そして開いている2つの独特のポートを見つけました。 nmap 192.168.1.254 -P0
のスキャン出力/結果は次のとおりです。
Starting Nmap 6.49BETA4 ( https://nmap.org ) at 2015-10-14 14:30 UTC Stats: 0:00:01 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan SYN Stealth Scan Timing: About 51.50% done; ETC: 14:31 (0:00:42 remaining) Nmap scan report for homeportal (192.168.1.254) Host is up (0.0045s latency). Not shown: 996 closed PORT STATE SERVICE 80/tcp open http 256/tcp filtered fw1-secureremote 443/tcp open https 49152/tcp open unknown
奇妙なポートは256(tcp)と49152です。 (tcp)。私が最も懸念しているのはポート256です。Googleで大まかな調査を行ったところ、fw1-secureremote
(ポート256で実行)がVPNクライアント(SecuRemote)によって使用されていることがわかりました。 「SecuRemoteを使用したことはなく、聞いたこともありません。また、ポート256は、デバイスを使用してスパムを送信するトロイの木馬(Trojan.SpBot)によって使用されているようです。何か洞察をお願いしますか?また、これについてAT & Tに連絡するにはどうすればよいですか?
コメント
- 再フラッシュして、開いているポートがなくなるかどうかを確認します。もしそうなら、あなたはマルウェアを持っていました。それ以外の場合は、'おそらくAT & Tがルーター(および/またはAT & Tデバイスが接続されています。
- リモート管理は有効になっていますか?もしそうなら、どのポートで?
- ポートが" open "。そのポートで実際にリッスンしているサービスを特定しようとしましたか?
- @lepeそのポートでリッスンしているサービスを特定できませんでした。どのデバイスも、そのポートを使用していないようです。その点に関するトラブルシューティングのヒントはありますか?
- @RobertMennellリモート管理はオンではありません:/。
回答
このスレッドを見つけました: http://ubuntuforums.org/showthread.php?t=1900623
要約すると、ポート49152一部のルーターのnPNPポートに対応します(そのスレッドはDリンクwbr-1310です)。無効にすると、そのポートが閉じられました。
ポート256については、VPNに関連しているため、ルーターのVPN設定を調べてください。
コメント
- 私もそのスレッドに出くわしましたが、残念ながらPNPはルーターで実行されていません。また、ちょうど今ルーターでUDPスキャンを実行し(興味があった)、ルーターで実行されているフィルター処理されたポートの束を見つけました:
- ポート状態サービス53 / udpオープンドメイン67 / udpオープン|フィルター処理されたdhcps 776 / udp open |フィルターされたwpages1019 / udp open |フィルターされた不明1050 / udp open |フィルターされたcma1993 / udp open |フィルターされたsnmp-tcp-port19039 / udp open |フィルターされたunknown19075 / udp open |フィルターされたunknown20411 / udp open |フィルタリングされた不明20540 / udpオープン|フィルタリングされた不明22914 / udpオープン|フィルタリングされた不明24606 / udpオープン|フィルタリングされた不明30544 / udpオープン|フィルタリングされた不明37212 / udpオープン|フィルタリングされた不明44160 / udpオープン|フィルタリングされた不明49155 / udpオープン|フィルタリングされた不明49210 / udp open |フィルタリングされた不明
- 明らかに、一部は合法的なサービスですが、他のサービスについてはあまり確信がありません。私は'楽しい週末を過ごしているようです。回答ありがとうございます。何か新しいものが見つかった場合は更新します。
回答
内部IPアドレスに対してポートスキャンを実行しても無駄です。脆弱性を発見したい場合は、パブリックIPに対してネットワークの外部から実行する必要があります。