Router Question - Port Forwarding Aggiunto automaticamente

2

Ho un router / modem Actiontec V1000H. Recentemente ho avuto problemi di virus, quindi ho eseguito un ripristino di fabbrica su tutti tranne uno dei computer della rete. Sono andato ad aggiungere un'eccezione di Port Forwarding così mio figlio può eseguire un server Minecraft e l'elenco delle regole di port forwarding ha circa 50 voci. So che in passato quando andavo lì, non c'erano regole, ma all'improvviso ce ne sono qualcosa come 50. Così ho fatto un reset di fabbrica sul router. Entro 1 ora, sono già state aggiunte nuove regole e meno di 24 ore dopo ci sono almeno 50 porte aperte (o intervalli di porte). Questo dovrebbe accadere? Sembra che ogni dispositivo sulla rete stia aggiungendo regole all'elenco. È perché il virus che ho avuto proviene ancora da un sistema che non è stato cancellato? È davvero strano perché anche l'IPOD di mio figlio e il mio telefono Android hanno aggiunto porte aperte. Dovrei essere preoccupato? C'è qualcosa che puoi suggerire che possa fermarlo? Si prega di avvisare. Grazie.

    
posta Luke 30.06.2014 - 01:39
fonte

3 risposte

3

Se UPnP (Universal Plug 'n' Play) è abilitato sul router, queste regole di port forwarding potrebbero essere state aggiunte in risposta alle richieste UPnP dai dispositivi. UPnP è progettato per consentire ai dispositivi di effettuare questo tipo di richieste di riconfigurazione dei dispositivi NAT. In particolare i servizi come i videogiochi e le applicazioni di condivisione di file peer-to-peer utilizzano questa tecnologia per consentire connessioni in ingresso da altri utenti.

    
risposta data 30.06.2014 - 06:07
fonte
3

Proprio come suggerito da David, potrebbe essere UPnP. Inserirà automaticamente le regole in modo che i dispositivi di rete possano interagire con altri dispositivi LAN o specifiche destinazioni multicast / unicast, ecc.

Se no, ed è Telus a marchio, quando è stata l'ultima volta che hai aggiornato il tuo firmware? Actiontec aveva una backdoor in esso per username e password hardcoded che consentivano a chiunque avesse accesso alla pagina di login di accedere. Esempio, link

In breve, ci sono credenziali hardcoded che si ripristinano quando si riavvia il dispositivo:

username: root
password: Thr33scr33n!
    
risposta data 30.06.2014 - 07:27
fonte
0

Come suggerito sopra, sembra proprio che sia UPnP.

Se sei parano o credi che questa possa essere una minaccia per la sicurezza, puoi considerare quanto segue: Qualcuno ha i privilegi di amministratore per modificare le impostazioni del router. Exploit-db, security focus e altri siti Web potrebbero rivelare un exploit per questo router. Cerca di non lasciare attivato un protocollo non sicuro se non ne fai uso (telnet / ftp / vecchia versione di ssh).

Ad esempio qualcuno tenta di sfruttare / forza bruta / o il dizionario attacca un accesso telnet al router per ottenere il controllo.

Per risolvere il problema, come suggerito dai post precedenti:

  • Assicurati che il firmware sia aggiornato

  • Disabilita UPnP

  • cambia e scegli una vera password RANDOM e sicura (lunga / digits / superiore, inferiore / SpecChar) per l'amministratore del router

Se noti che il problema persiste ... Prova un altro router (stessa storia, nuovo, aggiornato e sicuro). Monitorare il traffico e osservare i log di rete debug / verbose potrebbe aiutarti a identificare cosa sta succedendo. La creazione di un nid può aiutare anche ma ............... Io cosa questo è solo UPnP, non so perché ho scritto un post così lungo.

    
risposta data 30.06.2014 - 10:03
fonte

Leggi altre domande sui tag