¿Está mi enrutador / módem comprometido?

5

Recientemente, ejecuté un escaneo de puertos (solo TCP) en mi enrutador / módem doméstico (AT & T U-Verse) y encontré dos puertos especiales que están abiertos. Aquí está la salida / resultados del escaneo para nmap 192.168.1.254 -P0 :

Starting Nmap 6.49BETA4 ( https://nmap.org ) at 2015-10-14 14:30 UTC
Stats: 0:00:01 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 51.50% done; ETC: 14:31 (0:00:42 remaining)
Nmap scan report for homeportal (192.168.1.254)
Host is up (0.0045s latency).
Not shown: 996 closed PORT      STATE    SERVICE
80/tcp    open     http
256/tcp   filtered fw1-secureremote
443/tcp   open     https
49152/tcp open     unknown

Los puertos extraños son 256 (tcp) y 49152 (tcp). El que más me preocupa es el puerto 256. Al hacer una investigación superficial en Google, descubrí que los clientes de VPN (SecuRemote) utilizan fw1-secureremote (que se ejecuta en el puerto 256). Nunca he usado SecuRemote, y mucho menos he oído hablar de él. También parece que el puerto 256 es usado por un troyano (Trojan.SpBot) que usa el dispositivo para enviar correo no deseado. ¿Alguna idea por favor? Además, ¿cómo puedo comunicarme con AT & T sobre esto?

    
pregunta vladimir 14.10.2015 - 21:57
fuente

2 respuestas

2

Encontré este hilo: enlace

En resumen, el puerto 49152 corresponde al puerto nPNP en algunos enrutadores (en ese hilo hay un enlace D wbr-1310). Al deshabilitarlo se cerró ese puerto.

Sobre el puerto 256, ya que está relacionado con VPN, consulte la configuración de VPN en su enrutador.

    
respondido por el lepe 16.10.2015 - 03:25
fuente
1

Es inútil ejecutar un escaneo de puertos en tu dirección IP interna. Debe ejecutarlo desde fuera de su red contra su IP pública si desea descubrir vulnerabilidades.

    
respondido por el grather_columbia 09.09.2017 - 01:45
fuente

Lea otras preguntas en las etiquetas