Strani dispositivi e porte aperte sulla mia rete

Question

Strani dispositivi e porte aperte sulla mia rete

#1 da (2 voti)

0

Ho eseguito diverse scansioni Nmap sulla mia rete per determinare quali dispositivi sono connessi e quali porte sono aperte. Con mia sorpresa ho trovato un dispositivo molto strano collegato (che non so fisicamente dove sia) e alcuni dispositivi hanno porte molto sospette aperte.

Di seguito elencherò le scansioni dei dispositivi sospetti.

Nmap scan report for 192.168.1.1
PORT     STATE SERVICE       VERSION
23/tcp   open  telnet        Cisco or Actiontec MI424WR router telnetd
80/tcp   open  http
443/tcp  open  ssl/https
992/tcp  open  ssl/telnet    Cisco or Actiontec MI424WR router telnetd
8080/tcp open  http-proxy
8443/tcp open  ssl/https-alt

Il risultato sopra è del mio modem, la cosa strana è che ha la porta 23 & 992 aperto. Ogni volta che accedo al mio modem sull'interfaccia utente web, non riesco a vedere queste porte aperte? Ho la possibilità di aprire queste porte, ma sono deselezionate. Il che significa che dovrebbe essere chiuso. Quindi, come posso chiudere queste porte?

Nmap scan report for 192.168.1.64 (Cisco Spvtg) Service Info: OS: Linux
PORT      STATE SERVICE     VERSION
22/tcp    open  ssh         Dropbear sshd 0.52 (protocol 2.0)
9001/tcp  open  tor-orport?
49152/tcp open  upnp        Portable SDK for UPnP devices 1.4.6-6 (Linux     2.6.31-3.3-isb6030; DLNADOC 1.50; UPnP 1.0)

La scansione sopra è un dispositivo che non so dove sia fisicamente? Ha anche alcune porte molto sospette aperte? Come posso identificare questo dispositivo? Dovrei provare a buttarlo fuori dalla mia rete?

Un'altra scansione che non posso pubblicare attualmente ha una porta aperta '12345 Netbus'? Questo è un tipo di malware? Il dispositivo è un Android TV Box. Pubblicherò la scansione per questo più tardi.

Grazie per l'aiuto:)

network malware ports

posta CrypticX 21.04.2017 - 00:22

fonte

1 risposta

Leggi altre domande sui tag network malware ports

Protezione di un video tramite crittografia È possibile eseguire ancora click-jacking se un sito web ha SSL? [chiuso]

score 2 · Answer 1

The above result is of my modem, the thing that is strange about it is that it has port 23 & 992 open.

Queste sono probabilmente porte per gestirlo internamente, vedi se riesci a connetterti usando telnet / ssh / putty e accedi con le credenziali che hai; ma probabilmente inserito nel firmware e potenzialmente con credenziali specifiche del produttore del dispositivo.

L'interfaccia web sui dispositivi domestici (che presumo sia così), è spesso destinata agli utenti non esperti a gestire il dispositivo senza molte possibilità di romperlo. Non c'è alcuna regola che ogni interfaccia debba essere gestibile tramite l'interfaccia web. Cerca il tuo dispositivo online e verifica se esiste un modo per accedere ad esso; e configura questi servizi.

Un rapido google per il tuo dispositivo:

"Il nome utente predefinito per il router Verizon MI424WR è" admin "e la password predefinita è" password "

I do have the option to open these ports, but they are unchecked. Which means it should be closed. So how can I close these ports?

Di solito è per consentire il traffico di ingresso; Ad esempio, dove si apre una porta sulla propria interfaccia WAN per essere inoltrata a un host interno. Ciò consente di eseguire servizi e renderli accessibili su Internet.

[..snip...] The above scan is a device that I do not know where it is physically? It also has some very suspicious ports open? How can I identify this device? Should I try to kick it off my network?

Se non si dispone di Wi-Fi, eseguire un ping su questo IP e provare a scollegare sequenzialmente ciascun dispositivo e vedere quando si blocca. Osservando il reverse look del DNS (Cisco Spvgt), potrebbe trattarsi di un indirizzo IP aggiuntivo del tuo modem. Nota che gli indirizzi IP sono basati solo su stack IP e non su interfacce fisiche.

Another scan that I cannot post currently, has an open port '12345 Netbus'? Is this some type of malware? The device is an android TV box.

No, è un servizio in esecuzione su quella porta. È possibile eseguire qualsiasi servizio su quella porta, se lo si desidera. NetBUS era noto come RAT che utilizzava quella porta e probabilmente la più conosciuta. Telnet, esegui Amap, o così, per vedere cosa sta funzionando.

L'amap di THC può aiutarti di più a vedere che protocollo c'è dietro queste porte.