Meu roteador / modem está comprometido?

Então, recentemente executei uma verificação de porta (apenas TCP) em meu roteador / modem doméstico (AT & T U-Verse) e encontrou duas portas peculiares que estão abertas. Aqui está a saída / resultados da varredura para nmap 192.168.1.254 -P0:

Starting Nmap 6.49BETA4 ( https://nmap.org ) at 2015-10-14 14:30 UTC Stats: 0:00:01 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan SYN Stealth Scan Timing: About 51.50% done; ETC: 14:31 (0:00:42 remaining) Nmap scan report for homeportal (192.168.1.254) Host is up (0.0045s latency). Not shown: 996 closed PORT STATE SERVICE 80/tcp open http 256/tcp filtered fw1-secureremote 443/tcp open https 49152/tcp open unknown 

As portas estranhas são 256 (tcp) e 49152 (tcp). O que mais me preocupa é a porta 256. Fazendo uma pesquisa superficial no Google, descobri que fw1-secureremote (em execução na porta 256) é usado por clientes VPN (SecuRemote). I “Nunca usei o SecuRemote, muito menos já ouvi falar dele. Também parece que a porta 256 é usada por um trojan (Trojan.SpBot) que usa o dispositivo para enviar spam. Alguma ideia, por favor? Além disso, como posso entrar em contato com a AT & T sobre isso?

Comentários

  • Tente atualizar novamente e veja se as portas abertas desaparecem. Se sim, você tinha malware. Caso contrário, ele ' é provavelmente algo que AT & T usa para controlar o roteador (e / ou AT & dispositivos T conectados a ele).
  • O gerenciamento remoto está ativado? Em caso afirmativo, em que porta?
  • Eu ficaria inicialmente mais preocupado com 49152, pois a porta informa que está " aberta ". Você tentou identificar qual serviço está realmente ouvindo naquela porta?
  • @lepe Não consegui identificar qual serviço está ouvindo naquela porta, parece que nenhum dos meus dispositivos está usando essa porta. Alguma dica de solução de problemas a esse respeito?
  • O gerenciamento remoto do @RobertMennell NÃO está ativado: /.

Resposta

Encontrei este tópico: http://ubuntuforums.org/showthread.php?t=1900623

Em resumo, porta 49152 corresponde à porta nPNP em alguns roteadores (nesse segmento é um D-link wbr-1310). Desativá-la fechou essa porta.

Sobre a porta 256, já que está relacionada à VPN, verifique as configurações de VPN em seu roteador.

Comentários

  • Também encontrei esse tópico, infelizmente o PNP NÃO está rodando no roteador. Eu também fiz uma varredura UDP no roteador agora mesmo (estava interessado) e encontrei um monte de portas filtradas em execução no roteador:
  • PORT STATE SERVICE 53 / udp open domain 67 / udp open | dhcps filtrado 776 / udp aberto | wpages filtradas 1019 / udp aberto | filtrado desconhecido 1050 / udp aberto | filtrado cma 1993 / udp aberto | filtrado snmp-tcp-port 19039 / udp aberto | filtrado desconhecido 19075 / udp aberto | filtrado desconhecido 20411 / udp aberto | filtrado desconhecido 20540 / udp aberto | filtrado desconhecido 22914 / udp aberto | filtrado desconhecido 24606 / udp aberto | filtrado desconhecido 30544 / udp aberto | filtrado desconhecido 37212 / udp aberto | filtrado desconhecido 44160 / udp aberto | filtrado desconhecido 49155 / udp aberto | filtrado desconhecido 49210 / udp aberto | filtrado desconhecido
  • Obviamente, alguns são serviços legítimos, mas não tenho certeza do outro. Parece que ' terei um fim de semana divertido. Obrigado a todos pelas respostas, irei atualizar se / quando eu descobrir algo novo.

Resposta

É inútil executar um portscan contra seu endereço IP interno. Você deve executá-lo de fora da sua rede contra o seu IP público se quiser descobrir vulnerabilidades.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *