Mientras exploraba mi propia red, recientemente me encontré con lo que parece ser un dispositivo malicioso. Después de ejecutar un escaneo de nmap, descubrí que tenía cuatro puertos "extraños" abiertos.
- 4096 (servidor HTTP)
- 13000 (Desconocido, no devuelve ningún dato, incluso cuando se confunde)
- 34000 (Desconocido, lo mismo aquí)
- 37858 (servidor HTTP, parece ser la misma instancia de 4096)
Los puertos 4096 y 37858 son servidores HTTP, sin embargo, no exponen ninguna información sobre lo que son y lo que hacen como todas las páginas 'comunes' como /
, /admin
, /home
etc don ' t parece devolver cualquier cosa. Solicitud de curvatura (tanto 37858 como 4096 devuelven exactamente lo mismo):
$ curl -vvv 192.168.2.16:37858/admin
* Trying 192.168.2.16...
* TCP_NODELAY set
* Connected to 192.168.2.16 (192.168.2.16) port 37858 (#0)
> GET /admin HTTP/1.1
> Host: 192.168.2.16:37858
> User-Agent: curl/7.51.0
> Accept: */*
>
< HTTP/1.1 404 Not Found
< Content-Type: text/plain
< Content-Length: 30
< Connection: keep-alive
<
Error 404: Not Found
¿Alguien sabe lo que podría ser este dispositivo? Lo único que he podido encontrar hasta ahora es que el troyano Senna Spy usa el puerto 13000, lo que no inspira confianza.