dispositivo Rogue encontrado en la red

Question

dispositivo Rogue encontrado en la red

#1 de Nik Roby (3 votos)

2

Mientras exploraba mi propia red, recientemente me encontré con lo que parece ser un dispositivo malicioso. Después de ejecutar un escaneo de nmap, descubrí que tenía cuatro puertos "extraños" abiertos.

4096 (servidor HTTP)
13000 (Desconocido, no devuelve ningún dato, incluso cuando se confunde)
34000 (Desconocido, lo mismo aquí)
37858 (servidor HTTP, parece ser la misma instancia de 4096)

Los puertos 4096 y 37858 son servidores HTTP, sin embargo, no exponen ninguna información sobre lo que son y lo que hacen como todas las páginas 'comunes' como / , /admin , /home etc don ' t parece devolver cualquier cosa. Solicitud de curvatura (tanto 37858 como 4096 devuelven exactamente lo mismo):

$ curl -vvv 192.168.2.16:37858/admin
*   Trying 192.168.2.16...
* TCP_NODELAY set
* Connected to 192.168.2.16 (192.168.2.16) port 37858 (#0)
> GET /admin HTTP/1.1
> Host: 192.168.2.16:37858
> User-Agent: curl/7.51.0
> Accept: */*
> 
< HTTP/1.1 404 Not Found
< Content-Type: text/plain
< Content-Length: 30
< Connection: keep-alive
< 
Error 404: Not Found

¿Alguien sabe lo que podría ser este dispositivo? Lo único que he podido encontrar hasta ahora es que el troyano Senna Spy usa el puerto 13000, lo que no inspira confianza.

malware incident-response ports

pregunta Paradoxis 22.04.2017 - 21:02

fuente

1 respuesta

Lea otras preguntas en las etiquetas malware incident-response ports

Socket cerrado dependiendo de los datos. ¿Estoy frente a un firewall activo? (DPI - Inspección profunda de paquetes) ¿Es posible descifrar 802.11 para la empresa WPA?

score 3 · Answer 1

Para averiguar si el propósito del dispositivo, necesita conocer más información que solo los puertos abiertos.

Obtenga la información de la versión de servicio con nmap
- nmap -sV -p 4096 192.168.2.16
Busque la dirección MAC si está en su red local
- Cada dirección MAC tiene un OUI que le informa al fabricante. Puede ser falsificado, pero no es común. Esto le dirá si es un dispositivo Apple, Cisco u otro. Aquí hay una herramienta OUI para buscar direcciones MAC.
Realizar una exploración del sistema operativo.
- nmap -O 192.168.2.16
- (detección difusa) nmap --osscan-guess; --fuzzy 192.168.2.16
- Esto analiza cómo responde el servidor a una variedad de paquetes TCP y UDP, buscando qué tan diferentes son los TCP / IP las pilas se ocupan de él.

Hablando en términos generales, si hay un servidor que no sabes lo que hay y escuchas en puertos extraños como esos, tienes una buena razón para preocuparte e investigarlo más.