Momento sospechoso de [acceso de LAN desde el control remoto] en el registro del enrutador

2

Leí que [LAN access from remote] a los puertos UPnP puede ser un atacante que busca vulnerabilidades, y generalmente no es nada de qué preocuparse. Sin embargo, me preocupa ver esta actividad en un registro tan cerca del encendido de la máquina de destino, teniendo en cuenta que había otros en la red que no estaban dirigidos.

Esta actividad ocurrió incluso antes de que inicie sesión en la máquina de destino, me hace sospechar que el tráfico entrante se activó de alguna manera al anunciarse al remitente.

[LAN access from remote] from 129.192.165.10:4500 to 192.168.1.4:54071, Monday, October 30,2017 13:25:21
[LAN access from remote] from 129.192.165.10:4500 to 192.168.1.4:54071, Monday, October 30,2017 13:25:16
[LAN access from remote] from 129.192.165.10:4500 to 192.168.1.4:54071, Monday, October 30,2017 13:25:11
[LAN access from remote] from 129.192.165.10:4500 to 192.168.1.4:54071, Monday, October 30,2017 13:25:06
[DHCP IP: (192.168.1.4)] to MAC address [munged], Monday, October 30,2017 13:14:52

Tal vez haya una explicación perfectamente razonable que no implique que la máquina se vea comprometida.

PS: sí, deshabilité UPnP en el enrutador después de ver esto.

    
pregunta PJ7 01.11.2017 - 12:47
fuente

1 respuesta

2

UPnP permite el reenvío a través de un NAT (su enrutador lo hace), de modo que personas ajenas a su NAT puedan conectarse a dispositivos detrás del NAT. Este es el acceso a la LAN desde Internet, pero solo a un puerto específico en un cliente específico.

La cosa es: tal puerto de reenvío solo lo crearía el NAT después de ser configurado por un cliente en la LAN a través de UPnP. Simplemente deshabilitar UPnP en el enrutador podría no hacer el truco aquí, ya que se ha solicitado el reenvío desde esta máquina que, como usted dijo, provino de un arranque en frío.

Entonces, a menos que usted, por ejemplo, comparta archivos o algo similar que necesite reenvíos de puerto UPnP (y sí, los instaladores de juegos a menudo son sistemas para compartir archivos, el instalador de battle.net, por ejemplo, hace una distribución de actualizaciones de igual a igual) para tener malware en su máquina que solicitó que se abriera el puerto en primer lugar.

Lo más probable es que esto sea absolutamente correcto y lo que usted desea (para que funcione el intercambio de archivos, pero los reenvíos de puertos manuales serían mejores que UPnP) o una máquina ya infectada que intenta establecer comunicación con un atacante. La probabilidad de que este sea un atacante en busca de vulnerabilidades es casi cero; sus fuentes parecen mezclar las cosas.

La IP parece pertenecer a Ericsson North America Managed Services, lo que parece ser un ISP inalámbrico de algún tipo. Esto no limita las opciones. Si sería mejor

  1. Asegúrese de que no sea un programa que ejecute voluntariamente, sin que sepa que lo está haciendo,
  2. oler el tráfico y ver qué está pasando
  3. Averigüe qué causa el tráfico y el puerto abierto.
respondido por el Tobi Nary 01.11.2017 - 16:40
fuente

Lea otras preguntas en las etiquetas