Dispositivo Rogue trovato in rete

Naviga le tue risposte
2

Durante la scansione della mia rete, recentemente mi sono imbattuto in quello che sembra un dispositivo canaglia. Dopo aver eseguito una scansione nmap su di esso ho scoperto che ha quattro porte "strane" aperte.

  • 4096 (server HTTP)
  • 13000 (Sconosciuto, non restituisce alcun dato, anche quando fuzzing)
  • 34000 (sconosciuto, lo stesso qui)
  • 37858 (server HTTP, sembra essere la stessa istanza di 4096)

Le porte 4096 e 37858 sono server HTTP, tuttavia non espongono alcuna informazione su cosa sono e cosa fanno come tutte le pagine 'comuni' come / , /admin , /home ecc don ' t sembra restituire qualsiasi cosa. Richiesta di ricciolo (sia 37858 che 4096 restituiscono la stessa identica): 

$ curl -vvv 192.168.2.16:37858/admin
*   Trying 192.168.2.16...
* TCP_NODELAY set
* Connected to 192.168.2.16 (192.168.2.16) port 37858 (#0)
> GET /admin HTTP/1.1
> Host: 192.168.2.16:37858
> User-Agent: curl/7.51.0
> Accept: */*
> 
< HTTP/1.1 404 Not Found
< Content-Type: text/plain
< Content-Length: 30
< Connection: keep-alive
< 
Error 404: Not Found

Qualcuno sa che cosa potrebbe essere questo dispositivo? L'unica cosa che sono riuscito a trovare finora è che il trojan Senna Spy utilizza la porta 13000, che non ispira fiducia.

    
posta Paradoxis 22.04.2017 - 21:02
fonte

1 risposta

3

Per scoprire se lo scopo del dispositivo, è necessario conoscere più informazioni rispetto alle sole porte aperte.

  • Ottieni le informazioni sulla versione del servizio con nmap

    • nmap -sV -p 4096 192.168.2.16

  • Cerca l'indirizzo MAC se si trova sulla tua rete locale

    • Ogni indirizzo MAC ha un OUI che indica al produttore. Può essere falso, ma non è comune. Questo ti dirà se si tratta di un dispositivo Apple, Cisco o altro. Ecco uno strumento OUI per cercare gli indirizzi MAC.
  • Esegue una scansione del sistema operativo.
    • nmap -O 192.168.2.16
    • (rilevamento fuzzy) nmap --osscan-guess; --fuzzy 192.168.2.16
    • Ecco come il server risponde a una varietà di pacchetti TCP e UDP, cercando in che modo TCP / IP diverso stack deal con esso.

In senso lato, se c'è un server che non sai cosa c'è e sta ascoltando su porte strane come quella, hai una buona ragione per essere preoccupato e indagare ulteriormente.

    
risposta data 24.04.2017 - 00:55
fonte

Leggi altre domande sui tag

È possibile considerare sicuri gli APK installati da fonti sconosciute senza autorizzazione speciale? Presa chiusa a seconda dei dati. Sono di fronte a un firewall attivo? (DPI - Deep Packet Inspection)