Niedawno przeprowadziłem skanowanie portów (tylko TCP) na moim domowym routerze / modemie (AT & T U-Verse) i znalazłem dwa osobliwe porty, które są otwarte. Oto dane wyjściowe / wyniki skanowania dla nmap 192.168.1.254 -P0
:
Starting Nmap 6.49BETA4 ( https://nmap.org ) at 2015-10-14 14:30 UTC Stats: 0:00:01 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan SYN Stealth Scan Timing: About 51.50% done; ETC: 14:31 (0:00:42 remaining) Nmap scan report for homeportal (192.168.1.254) Host is up (0.0045s latency). Not shown: 996 closed PORT STATE SERVICE 80/tcp open http 256/tcp filtered fw1-secureremote 443/tcp open https 49152/tcp open unknown
Dziwne porty to 256 (tcp) i 49152 (tcp). Najbardziej niepokoi mnie port 256. Po pobieżnych badaniach w Google odkryłem, że fw1-secureremote
(działający na porcie 256) jest używany przez klientów VPN (SecuRemote). „Nigdy nie korzystałem z SecuRemote, a co dopiero o nim słyszałem. Wydaje się również, że port 256 jest używany przez trojana (Trojan.SpBot), który wykorzystuje urządzenie do wysyłania spamu. Jakieś spostrzeżenia? Ponadto, jak mogę skontaktować się z AT &.
Komentarze
- Spróbuj ponownie flashować, a następnie sprawdź, czy otwarte porty zniknęły. Jeśli tak, masz złośliwe oprogramowanie. W przeciwnym razie ' jest prawdopodobnie czymś, co AT & T używa do sterowania routerem (i / lub AT & T podłączonych do niego urządzeń).
- Czy zdalne zarządzanie jest włączone? Jeśli tak, to na jakim porcie?
- Na początku byłbym bardziej zaniepokojony 49152, ponieważ port zgłasza " otwarte ". Czy próbowałeś zidentyfikować, która usługa faktycznie nasłuchuje na tym porcie?
- @lepe Nie byłem w stanie zidentyfikować, która usługa nasłuchuje na tym porcie, wydaje mi się, że żadne z moich urządzeń nie używa tego portu. Jakieś wskazówki dotyczące rozwiązywania problemów w tym zakresie?
- Zdalne zarządzanie @RobertMennell NIE jest włączone: /.
Odpowiedź
Znalazłem ten wątek: http://ubuntuforums.org/showthread.php?t=1900623
Podsumowując, port 49152 odpowiada portowi nPNP w niektórych routerach (w tym wątku jest D-link wbr-1310). Wyłączenie go zamknęło ten port.
Jeśli chodzi o port 256, ponieważ jest on powiązany z VPN, zajrzyj do ustawień VPN w routerze.
Komentarze
- Trafiłem też na ten wątek, niestety PNP NIE działa na routerze. Wykonałem również skanowanie UDP na routerze właśnie teraz (byłem tylko zainteresowany) i znalazłem kilka filtrowanych portów działających na routerze:
- PORT STATE SERVICE 53 / udp open domain 67 / udp open | filter dhcps 776 / udp otwarte | przefiltrowane wpages 1019 / udp otwarte | przefiltrowane nieznane 1050 / udp otwarte | przefiltrowane cma 1993 / udp otwarte | przefiltrowane snmp-tcp-port 19039 / udp otwarte | przefiltrowane nieznane 19075 / udp otwarte | przefiltrowane nieznane 20411 / udp otwarte | filtrowane nieznane 20540 / udp otwarte | filtrowane nieznane 22914 / udp otwarte | filtrowane nieznane 24606 / udp otwarte | filtrowane nieznane 30544 / udp otwarte | filtrowane nieznane 37212 / udp otwarte | filtrowane nieznane 44160 / udp otwarte | filtrowane nieznane 49155 / udp otwarte | filtrowane nieznane 49210 / udp otwarte | filtrowane nieznane
- Oczywiście niektóre z nich są legalnymi usługami, ale nie są zbyt pewne w przypadku innych. Wygląda na to, że ' mam ochotę na fajny weekend. Dziękuję wszystkim za odpowiedzi, zaktualizuję, jeśli / kiedy znajdę coś nowego.
Odpowiedź
Czy bezużyteczne uruchamianie skanowania portów w odniesieniu do wewnętrznego adresu IP. Jeśli chcesz wykryć luki w zabezpieczeniach, musisz uruchomić go spoza sieci, korzystając z publicznego adresu IP.