Dus heb ik onlangs een poortscan uitgevoerd (alleen TCP) op mijn router / modem thuis (AT & T U-Verse) en vond twee eigenaardige poorten die open zijn. Hier zijn de scanuitvoer / resultaten voor nmap 192.168.1.254 -P0
:
Starting Nmap 6.49BETA4 ( https://nmap.org ) at 2015-10-14 14:30 UTC Stats: 0:00:01 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan SYN Stealth Scan Timing: About 51.50% done; ETC: 14:31 (0:00:42 remaining) Nmap scan report for homeportal (192.168.1.254) Host is up (0.0045s latency). Not shown: 996 closed PORT STATE SERVICE 80/tcp open http 256/tcp filtered fw1-secureremote 443/tcp open https 49152/tcp open unknown
De vreemde poorten zijn 256 (tcp) en 49152 (tcp). Waar ik me het meest zorgen over maak, is poort 256. Bij wat vluchtig onderzoek op Google ontdekte ik dat fw1-secureremote
(draait op poort 256) wordt gebruikt door VPN-clients (SecuRemote). I “Ik heb SecuRemote nog nooit gebruikt, laat staan er ooit van gehoord. Het lijkt er ook op dat poort 256 wordt gebruikt door een trojan (Trojan.SpBot) die het apparaat gebruikt om spam te verzenden. Enig inzicht alstublieft? En hoe kan ik hierover contact opnemen met AT & T?
Opmerkingen
- Probeer opnieuw te knipperen en kijk of de open poorten verdwijnen. Als ze dat doen, had je malware. Anders is het ' waarschijnlijk iets dat AT & T gebruikt om de router te besturen (en / of AT & T-apparaten die erop zijn aangesloten).
- Is extern beheer ingeschakeld? Zo ja, op welke poort?
- Ik zou me aanvankelijk meer zorgen maken over 49152 aangezien de poort zijn " open ". Heb je geprobeerd te identificeren welke service daadwerkelijk op die poort luistert?
- @lepe Ik kon niet identificeren welke service op die poort luistert, het lijkt mij dat geen van mijn apparaten die poort gebruikt. Eventuele tips voor het oplossen van problemen in dat verband?
- @RobertMennell extern beheer staat NIET aan: /.
Answer
Ik heb deze thread gevonden: http://ubuntuforums.org/showthread.php?t=1900623
Samengevat, poort 49152 komt overeen met de nPNP-poort in sommige routers (in die thread is een D-link wbr-1310). Door het uit te schakelen, werd die poort gesloten.
Over poort 256, aangezien het gerelateerd is aan VPN, kijk in de VPN-instellingen in uw router.
Opmerkingen
- Ik kwam die thread ook tegen, helaas draait PNP NIET op de router. Ik heb zojuist ook een UDP-scan op de router gedaan (was gewoon geïnteresseerd) en vond een aantal gefilterde poorten op de router:
- PORT STATE SERVICE 53 / udp open domein 67 / udp open | gefilterde dhcps 776 / udp open | gefilterde wpages 1019 / udp open | gefilterd onbekend 1050 / udp open | gefilterd cma 1993 / udp open | gefilterd snmp-tcp-poort 19039 / udp open | gefilterd onbekend 19075 / udp open | gefilterd onbekend 20411 / udp open | gefilterd onbekend 20540 / udp open | gefilterd onbekend 22914 / udp open | gefilterd onbekend 24606 / udp open | gefilterd onbekend 30544 / udp open | gefilterd onbekend 37212 / udp open | gefilterd onbekend 44160 / udp open | gefilterd onbekend 49155 / udp open | gefilterd onbekend 49210 / udp open gefilterd onbekend
- Het is duidelijk dat sommige legitieme services zijn, maar aan de andere kant niet zo zeker. Het lijkt erop dat ik ' klaar ben voor een leuk weekend. Bedankt iedereen voor de reacties, ik zal updaten of / wanneer ik iets nieuws vind.
Antwoord
Is nutteloos om een portscan uit te voeren tegen uw interne IP-adres. U moet het van buiten uw netwerk uitvoeren tegen uw openbare IP-adres als u kwetsbaarheden wilt ontdekken.