Hay un 'Informe meteorológico de Internet' en el video blog de Threat! Traq por investigadores de seguridad de AT&T. En la transmisión del 14 de marzo, alrededor de 31 minutos, mencionan un aumento de la actividad de escaneo en el puerto 5904 / TCP. Los investigadores mencionan que no saben qué se está escaneando.
¿Alguien sabe qué vulnerabilidad (o uso) busca el atacante (o usuario benigno)?
A veces es útil escanear un puerto cerrado (descubrimiento de host y toma de huellas digitales).
Suponiendo que TCP, VNC puede usarlo, si compara los gráficos DShield para los puertos 5900 , 5901 , 5902 , 5903 y 5904 hay algún acuerdo visible entre 5901, 5902 y 5904, pero en particular no con 5903. 5900 tiene demasiado ruido de fondo.
En una corazonada, comparé permutaciones de puertos y encontré 5904 cuando 5490 comienza, pero el número de sistemas de destino no es comparable ( nmap me dice que el puerto 5490 es un HTTP / CONECTAR el proxy, pero apenas visto, en el 1% inferior. Tanto para mi presentimiento de un escáner mal encendido.
Puedo decirle que he registrado (registros solo, no capturas de paquetes o datos de honeypot) exploraciones recientes dirigidas a TCP / 5900,5901,5902,5904 ( no 5903). Descuento de 5900 (ya que se escanea constantemente) de 25 hosts únicos.
Todas las 5904 sondas de destino provinieron (teóricamente) de una única IP registrada a una gran empresa francesa de alojamiento web / virtual, el 80% del total de sondas del puerto 590 {1,2,4} en total. Durante un período de más de 60 horas, del 7 al 11 de marzo, cada sonda utilizó los mismos cuatro pares de puertos de origen / destino, con el puerto de destino 5904 que representa aproximadamente el 50% del total. Diferentes puertos de destino fueron favorecidos en diferentes días y por diferentes hosts, los escaneos posiblemente comenzaron el 6 de marzo con el puerto 5901. Se realizó un escaneo de baja velocidad, no secuencial, no uniforme (de 10 a 30 sondas por host) de un bloque de IP realizado Sospecho que también fue un intento de mapeo de red porque un dispositivo ascendente (en un bloque de IP diferente) también registró los mismos escaneos (host de origen y puerto, puertos de destino) intercalados con esos escaneos.
Lo mejor es una exploración en paralelo distribuida para los puertos VNC (con una adición generosa de puertos menos utilizados) a través de hosts secuestrados, y tal vez tuvieron suerte con un sistema bien conectado en el ISP francés anónimo que distorsionó las estadísticas del puerto 5904. No puedo explicar la omisión del puerto 5903.
Lea otras preguntas en las etiquetas exploit ports network-scanners