Então, recentemente executei uma verificação de porta (apenas TCP) em meu roteador / modem doméstico (AT & T U-Verse) e encontrou duas portas peculiares que estão abertas. Aqui está a saída / resultados da varredura para nmap 192.168.1.254 -P0
:
Starting Nmap 6.49BETA4 ( https://nmap.org ) at 2015-10-14 14:30 UTC Stats: 0:00:01 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan SYN Stealth Scan Timing: About 51.50% done; ETC: 14:31 (0:00:42 remaining) Nmap scan report for homeportal (192.168.1.254) Host is up (0.0045s latency). Not shown: 996 closed PORT STATE SERVICE 80/tcp open http 256/tcp filtered fw1-secureremote 443/tcp open https 49152/tcp open unknown
As portas estranhas são 256 (tcp) e 49152 (tcp). O que mais me preocupa é a porta 256. Fazendo uma pesquisa superficial no Google, descobri que fw1-secureremote
(em execução na porta 256) é usado por clientes VPN (SecuRemote). I “Nunca usei o SecuRemote, muito menos já ouvi falar dele. Também parece que a porta 256 é usada por um trojan (Trojan.SpBot) que usa o dispositivo para enviar spam. Alguma ideia, por favor? Além disso, como posso entrar em contato com a AT & T sobre isso?
Comentários
- Tente atualizar novamente e veja se as portas abertas desaparecem. Se sim, você tinha malware. Caso contrário, ele ' é provavelmente algo que AT & T usa para controlar o roteador (e / ou AT & dispositivos T conectados a ele).
- O gerenciamento remoto está ativado? Em caso afirmativo, em que porta?
- Eu ficaria inicialmente mais preocupado com 49152, pois a porta informa que está " aberta ". Você tentou identificar qual serviço está realmente ouvindo naquela porta?
- @lepe Não consegui identificar qual serviço está ouvindo naquela porta, parece que nenhum dos meus dispositivos está usando essa porta. Alguma dica de solução de problemas a esse respeito?
- O gerenciamento remoto do @RobertMennell NÃO está ativado: /.
Resposta
Encontrei este tópico: http://ubuntuforums.org/showthread.php?t=1900623
Em resumo, porta 49152 corresponde à porta nPNP em alguns roteadores (nesse segmento é um D-link wbr-1310). Desativá-la fechou essa porta.
Sobre a porta 256, já que está relacionada à VPN, verifique as configurações de VPN em seu roteador.
Comentários
- Também encontrei esse tópico, infelizmente o PNP NÃO está rodando no roteador. Eu também fiz uma varredura UDP no roteador agora mesmo (estava interessado) e encontrei um monte de portas filtradas em execução no roteador:
- PORT STATE SERVICE 53 / udp open domain 67 / udp open | dhcps filtrado 776 / udp aberto | wpages filtradas 1019 / udp aberto | filtrado desconhecido 1050 / udp aberto | filtrado cma 1993 / udp aberto | filtrado snmp-tcp-port 19039 / udp aberto | filtrado desconhecido 19075 / udp aberto | filtrado desconhecido 20411 / udp aberto | filtrado desconhecido 20540 / udp aberto | filtrado desconhecido 22914 / udp aberto | filtrado desconhecido 24606 / udp aberto | filtrado desconhecido 30544 / udp aberto | filtrado desconhecido 37212 / udp aberto | filtrado desconhecido 44160 / udp aberto | filtrado desconhecido 49155 / udp aberto | filtrado desconhecido 49210 / udp aberto | filtrado desconhecido
- Obviamente, alguns são serviços legítimos, mas não tenho certeza do outro. Parece que ' terei um fim de semana divertido. Obrigado a todos pelas respostas, irei atualizar se / quando eu descobrir algo novo.
Resposta
É inútil executar um portscan contra seu endereço IP interno. Você deve executá-lo de fora da sua rede contra o seu IP público se quiser descobrir vulnerabilidades.