Har min router / modem äventyrats?

Så jag körde nyligen en portsökning (bara TCP) på min hemrouter / modem (AT & T U-Verse) och hittade två märkliga portar som är öppna. Här är skanningsutgången / resultaten för nmap 192.168.1.254 -P0:

Starting Nmap 6.49BETA4 ( https://nmap.org ) at 2015-10-14 14:30 UTC Stats: 0:00:01 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan SYN Stealth Scan Timing: About 51.50% done; ETC: 14:31 (0:00:42 remaining) Nmap scan report for homeportal (192.168.1.254) Host is up (0.0045s latency). Not shown: 996 closed PORT STATE SERVICE 80/tcp open http 256/tcp filtered fw1-secureremote 443/tcp open https 49152/tcp open unknown 

De konstiga portarna är 256 (tcp) och 49152 (tcp). Den jag är mest bekymrad över är port 256. Jag undersökte kort på Google och fann att fw1-secureremote (körs på port 256) används av VPN-klienter (SecuRemote). ”har aldrig använt SecuRemote, än mindre någonsin hört talas om det. Det verkar också som att port 256 används av en trojan (Trojan.SpBot) som använder enheten för att skicka skräppost. Någon insikt tack? Hur kan jag också kontakta AT & T om detta?

Kommentarer

  • Försök att blinka igen och se om de öppna portarna försvinner. Om de gör det hade du skadlig kod. Annars är det ' förmodligen något AT & T använder för att styra routern (och / eller AT & T-enheter anslutna till den.
  • Är fjärrhantering aktiverad? Om så är fallet i vilken port?
  • Jag skulle till en början vara mer bekymrad över 49152 eftersom porten rapporterar sin " öppen ". Försökte du identifiera vilken tjänst som egentligen lyssnar på den porten?
  • @lepe Jag kunde inte identifiera vilken tjänst som lyssnar på den porten, verkar för mig att ingen av mina enheter använder den porten. Har du några felsökningstips i detta avseende?
  • @RobertMennell fjärrhantering är INTE på: /.

Svar

Jag hittade den här tråden: http://ubuntuforums.org/showthread.php?t=1900623

Sammanfattningsvis, port 49152 motsvarar nPNP-porten i vissa routrar (i den tråden finns en D-länk wbr-1310). Om du inaktiverar den stängde den porten.

Om port 256, eftersom den är relaterad till VPN, titta på VPN-inställningarna i din router.

Kommentarer

  • Jag stötte också på den tråden, tyvärr körs PNP INTE på routern. Jag gjorde också en UDP-skanning på routern just nu (var bara intresserad) och hittade en massa filtrerade portar som körs på routern:
  • PORT STATE SERVICE 53 / udp open domain 67 / udp open | filtered dhcps 776 / udp öppen | filtrerad wpages 1019 / udp öppen | filtrerad okänd 1050 / udp öppen | filtrerad cma 1993 / udp öppen | filtrerad snmp-tcp-port 19039 / udp öppen | filtrerad okänd 19075 / udp öppen | filtrerad okänd 20411 / udp öppen | filtrerad okänd 20540 / udp öppen | filtrerad okänd 22914 / udp öppen | filtrerad okänd 24606 / udp öppen | filtrerad okänd 30544 / udp öppen | filtrerad okänd 37212 / udp öppen | filtrerad okänd 44160 / udp öppen | filtrerad okänd 49155 / udp öppen | filtrerad okänd 49210 / udp öppen | filtrerad okänd
  • Naturligtvis är vissa legitima tjänster, bara inte så säkra på den andra. Verkar som att jag ' är på en rolig helg. Tack alla för svaren, jag kommer att uppdatera om / när jag hittar något nytt.

Svar

Är meningslöst att köra en portscan mot din interna IP-adress. Du måste köra den utanför ditt nätverk mot din offentliga IP om du vill upptäcka sårbarheter.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *