Routerul / modemul meu sunt compromise?

Așa că am efectuat recent o scanare a portului (doar TCP) pe routerul / modemul meu de acasă (AT & T U-Verse) și a găsit două porturi deosebite care sunt deschise. Iată rezultatele scanării / rezultatele pentru nmap 192.168.1.254 -P0:

Starting Nmap 6.49BETA4 ( https://nmap.org ) at 2015-10-14 14:30 UTC Stats: 0:00:01 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan SYN Stealth Scan Timing: About 51.50% done; ETC: 14:31 (0:00:42 remaining) Nmap scan report for homeportal (192.168.1.254) Host is up (0.0045s latency). Not shown: 996 closed PORT STATE SERVICE 80/tcp open http 256/tcp filtered fw1-secureremote 443/tcp open https 49152/tcp open unknown 

Porturile ciudate sunt 256 (tcp) și 49152 (tcp). Cel care mă preocupă cel mai mult este portul 256. Făcând câteva cercetări cursive pe Google, am constatat că fw1-secureremote (care rulează pe portul 256) este utilizat de clienții VPN (SecuRemote). I „Nu am folosit niciodată SecuRemote, darămite că am auzit vreodată despre asta. Se pare că portul 256 este folosit de un troian (Trojan.SpBot) care folosește dispozitivul pentru a trimite spam. Aveți vreo idee? De asemenea, cum aș putea contacta AT & T în legătură cu acest lucru?

Comentarii

  • Încercați să clipiți din nou și apoi vedeți dacă porturile deschise dispar. Dacă da, ai avut programe malware. În caz contrar, ' este probabil ceva ce AT & T folosește pentru a controla routerul (și / sau AT & T dispozitive conectate la acesta).
  • Este activată gestionarea la distanță? Dacă da, în ce port?
  • Aș fi inițial mai îngrijorat de 49152, deoarece portul raportează " deschis ". Ați încercat să identificați ce serviciu ascultă de fapt în acel port?
  • @lepe Nu am putut identifica ce serviciu ascultă în acel port, mi se pare că niciunul dintre dispozitivele mele nu folosește acel port. Aveți sfaturi de depanare în acest sens?
  • Gestionarea la distanță @RobertMennell NU este activată: /.

Răspuns

Am găsit acest fir: http://ubuntuforums.org/showthread.php?t=1900623

În rezumat, portul 49152 corespunde portului nPNP în unele routere (în acel thread este un D-link wbr-1310). Dezactivarea acestuia a închis portul respectiv.

Despre portul 256, deoarece este legat de VPN, căutați în setările VPN din router.

Comentarii

  • Am întâlnit și eu acel fir, din păcate PNP NU rulează pe router. De asemenea, am făcut o scanare UDP pe router chiar acum (tocmai m-a interesat) și am găsit o grămadă de porturi filtrate care rulează pe router:
  • PORT STATE SERVICE 53 / udp open domain 67 / udp open | filtered dhcps 776 / udp deschis | filtrat wpages 1019 / udp deschis | filtrat necunoscut 1050 / udp deschis | filtrat cma 1993 / udp deschis | filtrat snmp-tcp-port 19039 / udp deschis | filtrat necunoscut 19075 / udp deschis | filtrat necunoscut 20411 / udp deschis | necunoscut filtrat 20540 / udp deschis | filtrat necunoscut 22914 / udp deschis | filtrat necunoscut 24606 / udp deschis | filtrat necunoscut 30544 / udp deschis | filtrat necunoscut 37212 / udp deschis | filtrat necunoscut 44160 / udp deschis | filtrat necunoscut 49155 / udp deschis | filtrat necunoscut 49210 / udp open | filtrat necunoscut
  • Evident, unele sunt servicii legitime, dar nu prea sigure pe cealaltă. Se pare că am ' m pentru un weekend distractiv. Mulțumesc tuturor pentru răspunsuri, voi actualiza dacă / când voi găsi ceva nou.

Răspuns

Este inutil rularea unei scanări de port pe adresa dvs. IP internă. Dacă doriți să descoperiți vulnerabilități, trebuie să îl rulați din afara rețelei dvs. împotriva IP-ului public.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *