dispositivo Rogue encontrado en la red

2

Mientras exploraba mi propia red, recientemente me encontré con lo que parece ser un dispositivo malicioso. Después de ejecutar un escaneo de nmap, descubrí que tenía cuatro puertos "extraños" abiertos.

  • 4096 (servidor HTTP)
  • 13000 (Desconocido, no devuelve ningún dato, incluso cuando se confunde)
  • 34000 (Desconocido, lo mismo aquí)
  • 37858 (servidor HTTP, parece ser la misma instancia de 4096)

Los puertos 4096 y 37858 son servidores HTTP, sin embargo, no exponen ninguna información sobre lo que son y lo que hacen como todas las páginas 'comunes' como / , /admin , /home etc don ' t parece devolver cualquier cosa. Solicitud de curvatura (tanto 37858 como 4096 devuelven exactamente lo mismo):

$ curl -vvv 192.168.2.16:37858/admin
*   Trying 192.168.2.16...
* TCP_NODELAY set
* Connected to 192.168.2.16 (192.168.2.16) port 37858 (#0)
> GET /admin HTTP/1.1
> Host: 192.168.2.16:37858
> User-Agent: curl/7.51.0
> Accept: */*
> 
< HTTP/1.1 404 Not Found
< Content-Type: text/plain
< Content-Length: 30
< Connection: keep-alive
< 
Error 404: Not Found

¿Alguien sabe lo que podría ser este dispositivo? Lo único que he podido encontrar hasta ahora es que el troyano Senna Spy usa el puerto 13000, lo que no inspira confianza.

    
pregunta Paradoxis 22.04.2017 - 21:02
fuente

1 respuesta

3

Para averiguar si el propósito del dispositivo, necesita conocer más información que solo los puertos abiertos.

  • Obtenga la información de la versión de servicio con nmap

    • nmap -sV -p 4096 192.168.2.16
  • Busque la dirección MAC si está en su red local

    • Cada dirección MAC tiene un OUI que le informa al fabricante. Puede ser falsificado, pero no es común. Esto le dirá si es un dispositivo Apple, Cisco u otro. Aquí hay una herramienta OUI para buscar direcciones MAC.
  • Realizar una exploración del sistema operativo.

Hablando en términos generales, si hay un servidor que no sabes lo que hay y escuchas en puertos extraños como esos, tienes una buena razón para preocuparte e investigarlo más.

    
respondido por el Nik Roby 24.04.2017 - 00:55
fuente

Lea otras preguntas en las etiquetas