Tempi sospetti di [Accesso LAN dal remoto] nel registro del router

Naviga le tue risposte
2

Ho letto che [LAN access from remote] sulle porte UPnP può essere un attaccante alla ricerca di vulnerabilità e di solito non è nulla di cui preoccuparsi. Tuttavia, sono preoccupato di vedere questa attività in un log così vicino alla macchina target che si sta accendendo, considerando che c'erano altri sulla rete che non erano mirati.

Questa attività si è verificata prima ancora che avessi effettuato l'accesso al computer di destinazione, mi fa sospettare che il traffico in entrata sia stato in qualche modo attivato dall'annunciarsi al mittente. 

[LAN access from remote] from 129.192.165.10:4500 to 192.168.1.4:54071, Monday, October 30,2017 13:25:21
[LAN access from remote] from 129.192.165.10:4500 to 192.168.1.4:54071, Monday, October 30,2017 13:25:16
[LAN access from remote] from 129.192.165.10:4500 to 192.168.1.4:54071, Monday, October 30,2017 13:25:11
[LAN access from remote] from 129.192.165.10:4500 to 192.168.1.4:54071, Monday, October 30,2017 13:25:06
[DHCP IP: (192.168.1.4)] to MAC address [munged], Monday, October 30,2017 13:14:52

Forse c'è una spiegazione perfettamente ragionevole che non implica che la macchina sia compromessa?

PS - Sì, ho disabilitato UPnP sul router dopo aver visto questo.

    
posta PJ7 01.11.2017 - 12:47
fonte

1 risposta

2

UPnP consente i port forward tramite NAT (il router lo fa), in modo che le persone esterne al tuo NAT possano connettersi ai dispositivi dietro il NAT. Questo è l'accesso alla LAN da internet, ma solo a una porta specifica su un client specifico.

Il fatto è che un tale port forwarding sarebbe stato creato dal NAT solo dopo essere stato configurato da un client sulla LAN tramite UPnP. La semplice disabilitazione di UPnP sul router potrebbe non fare il trucco qui, perché l'inoltro è stato richiesto da questa macchina che - come hai detto tu - proveniva da un avvio a freddo.

Quindi, a meno che tu non usi la condivisione di file o qualcosa di simile che richiede la porta UPnP in avanti (e sì, gli installatori di giochi spesso sono sistemi di condivisione file, il programma di installazione di Battle.net ad esempio la distribuzione peer-to-peer di aggiornamenti), sembra per avere malware sul tuo computer che ha richiesto l'apertura della porta in primo luogo.

Probabilmente è assolutamente perfetto e ciò che si desidera (perché la condivisione dei file funzioni, ma i forward di porta manuali sarebbero migliori di UPnP) o una macchina già infetta che tenta di stabilire una comunicazione con un utente malintenzionato. La probabilità che questo sia un attaccante alla ricerca di vulnerabilità è quasi zero; le tue fonti sembrano confondere le cose.

L'IP sembra appartenere ai servizi gestiti Ericsson North America, che sembra essere un ISP wireless di qualche tipo. Questo non limita le opzioni. Se sarebbe meglio per

  1. Assicurati che non sia un programma che esegui volentieri, senza che tu sappia che lo sta facendo,
  2. annusa il traffico e scopri cosa sta succedendo
  3. Scopri quali sono le cause del traffico e della porta aperta.
risposta data 01.11.2017 - 16:40
fonte

Leggi altre domande sui tag

E 'possibile rendere il mio host completamente sicuro dalla macchina virtuale (dove farò l'analisi del malware)? SSL è ancora sicuro se le impostazioni SSL in IIS sono impostate in modo da ignorarle o accettarle solo?