¿Por qué el puerto TCP 6666 y el puerto 7777 se abren en un enrutador LTE?

1

Tengo un enrutador wifi LTE (JioFi 2) y los puertos 6666 y 7777 están abiertos.

Resultado del escaneo de Nmap,

PORT     STATE SERVICE
53/tcp   open  domain
80/tcp   open  http
6666/tcp open  irc
7777/tcp open  cbt

Puedo entender por qué los puertos 53 y 80 están abiertos, pero ¿por qué 6666 y 7777? ¿Qué están haciendo allí?

El dispositivo está fabricado por Haier, que es acusado muchas veces de enviar dispositivos con malware preinstalado.

Entonces, mi pregunta principal es ¿cómo puedo profundizar más en este problema?

    
pregunta Arnab 05.05.2017 - 20:42
fuente

2 respuestas

1

En la mayoría de las situaciones, recomendaría intentar el control remoto en el sistema y ver si puede ver qué procesos están escuchando en esos puertos. Eso le daría la mejor idea de lo que está sucediendo en el sistema (es decir, qué procesos están vinculados a esos puertos).

Dado que eso no parece ser una opción para usted, mi siguiente sugerencia sería monitorear todo el tráfico que ingresa a esos puertos utilizando Wireshark o un analizador de protocolo similar. Es posible que pueda determinar qué hacen esos puertos en función del tráfico que se dirige a ellos, e incluso puede capturar algunas credenciales de inicio de sesión.

Dado que se trata de un enrutador LTE y es posible que no pueda realizar una captura en esos puertos, mi última sugerencia sería ver si puede descargar una copia del firmware del enrutador desde Internet. Luego puede analizar el firmware con una herramienta como binwalk . Este no es un método muy confiable, ya que no hay garantía de que el firmware de su enrutador coincida con lo que se descargó, pero si no puede encontrar esos puertos abiertos en la imagen descargada, sabe que hay algo extraño en el funcionamiento del firmware su enrutador

    
respondido por el user52472 08.05.2017 - 17:54
fuente
1

El puerto 7777 / tcp puede ser utilizado por: el proxy de transferencia de archivos del servidor iChat o Oracle Cluster File System 2 o incluso juegos (Ultima Online, Active Worlds).

Lo mismo para 6666: este se usa a menudo para el chat de retransmisión, pero también puede ser usado por una gran cantidad de malware.

Entonces, no es el puerto en sí el problema (o su estado actual). Debe analizar el tráfico en ese puerto cuando el dispositivo está en el modo de funcionalidad normal para determinar si hay algo mal enviado a través de él.

    
respondido por el Overmind 17.05.2017 - 11:35
fuente

Lea otras preguntas en las etiquetas