Perché la porta TCP 6666 e la porta 7777 si aprono in un router LTE?

1

Ho un router wifi LTE (JioFi 2) e le porte 6666 e 7777 sono aperte.

Risultato scansione Nmap,

PORT     STATE SERVICE
53/tcp   open  domain
80/tcp   open  http
6666/tcp open  irc
7777/tcp open  cbt

Riesco a capire perché le porte 53 e 80 sono aperte, ma perché 6666 e 7777? Cosa stanno facendo lì?

Il dispositivo è stato creato da Haier, che viene accusato molte volte di dispositivi di spedizione con malware preinstallato.

Quindi la mia domanda principale è come posso approfondire questo problema?

    
posta Arnab 05.05.2017 - 20:42
fonte

2 risposte

1

Nella maggior parte dei casi, ti consiglio di provare a eseguire il comando remoto nel sistema e vedere se riesci a vedere quali processi sono in ascolto su quelle porte. Questo ti darebbe la migliore idea di cosa sta succedendo nel sistema (cioè quali processi sono legati a quelle porte).

Poiché ciò non sembra essere un'opzione per te, il mio prossimo suggerimento sarebbe quello di monitorare tutto il traffico che sta entrando in quelle porte usando Wireshark o un analizzatore di protocollo simile. Potresti essere in grado di determinare che cosa stanno facendo quelle porte in base al traffico che le sta indirizzando e potrebbe anche essere in grado di acquisire alcune credenziali di accesso.

Dato che si tratta di un router LTE e potresti non essere in grado di eseguire un'acquisizione su tali porte, il mio ultimo suggerimento sarebbe di vedere se è possibile scaricare una copia del firmware del router da Internet. È quindi possibile analizzare il firmware con uno strumento come binwalk . Questo non è un metodo molto affidabile, poiché non vi è alcuna garanzia che il firmware sul router corrisponda a quello scaricato, ma se non è possibile trovare quelle porte aperte sull'immagine scaricata, si sa che è strano il firmware in esecuzione il tuo router.

    
risposta data 08.05.2017 - 17:54
fonte
1

La porta 7777 / tcp può essere utilizzata da: iChat server proxy di trasferimento file o Oracle Cluster File System 2 o anche giochi (Ultima Online, Active Worlds).

Lo stesso per 6666 - questo è spesso usato per la chat relay, ma può essere usato anche da un sacco di malware.

Quindi non è la stessa porta che è il problema (o è lo stato attuale). È necessario analizzare il traffico su quella porta quando il dispositivo si trova in modalità di funzionalità normale per determinare se vi è stato inviato qualcosa di brutto.

    
risposta data 17.05.2017 - 11:35
fonte

Leggi altre domande sui tag