Spike nella porta TCP 5904 attività - per cosa?

1

C'è un "bollettino meteorologico Internet" sul blog dei blog Traq di Threat da parte dei ricercatori di sicurezza di AT & T. Nella trasmissione del 14 marzo, a circa 31 minuti, menzionano un aumento dell'attività di scansione sulla porta 5904 / TCP. I ricercatori hanno menzionato che non sanno cosa viene scansionato.

Qualcuno sa quale vulnerabilità (o utilizzo) l'utente malintenzionato (o l'utente benigno?) potrebbe cercare?

    
posta Duncan 21.03.2013 - 22:32
fonte

2 risposte

3

Non so quale vulnerabilità potrebbero cercare, ma VNC usa quella porta. link

Forse una delle vulnerabilità elencate qui che si applica ai server VNC. link

    
risposta data 22.03.2013 - 00:03
fonte
1

A volte è utile scansionare una porta chiusa (rilevamento host e fingerprinting).

Supponendo che TCP, VNC possa usarlo, se confronti i grafici DShield per le porte 5900 , 5901 , 5902 , 5903 e 5904 c'è qualche accordo visibile tra 5901, 5902 e 5904 ma in particolare non con 5903. 5900 ha troppi rumori di sottofondo.

Su un sospetto, ho confrontato le permutazioni dei porti e ho trovato 5904 gocce in giro quando 5490 inizia, ma il numero di sistemi di destinazione non è comparabile ( nmap mi dice che la porta 5490 è un HTTP / CONNECT proxy, ma abbastanza poco visto, nell'1% in basso). Tanto per la mia impressione di uno scanner fuori uso.

Posso dirti che ho registrato (solo registri, non acquisizioni di pacchetti o dati honeypot) scansioni recenti con targeting TCP / 5900,5901,5902,5904 ( non 5903). Scontando 5900 (dal momento che è costantemente scansionato) da 25 host unici.

Tutte le sonde 5904 di destinazione sono arrivate (teoricamente) da un singolo IP registrato a una grande rete francese / società di hosting virtuale, l'80% delle sonde di porta totale 590 {1,2,4} in tutto. In un periodo di 60+ ore dal 7 al 7 marzo, ogni sonda ha utilizzato le stesse quattro coppie di porte sorgente / destinazione, con la porta target 5904 pari a circa il 50% del totale. Diverse porte di destinazione sono state preferite in diversi giorni e da diversi host, scansioni avviate il 6 marzo con la porta 5901. Una scansione a bassa velocità, non sequenziale e non uniforme (da 10-30 sonde per host) di un blocco IP era eseguita. Sospetto che sia stato anche il tentativo di mappatura di rete perché un dispositivo upstream (su un diverso blocco IP) ha registrato anche le stesse scansioni (host di origine e porte di destinazione) intercalate con quelle scansioni.

La migliore ipotesi è una scansione parallela distribuita per le porte VNC (con una generosa aggiunta di porte meno utilizzate) tramite host dirottati, e forse hanno avuto fortuna con un sistema ben collegato nell'ISP francese senza nome che ha distorto le statistiche della porta 5904. Non riesco a spiegare l'omissione della porta 5903.

    
risposta data 22.03.2013 - 19:19
fonte

Leggi altre domande sui tag