Dispositivos extraños y puertos abiertos en mi red

0

He realizado varias exploraciones de Nmap en mi red para determinar qué dispositivos están conectados y qué puertos están abiertos. Para mi sorpresa, encontré un dispositivo muy extraño conectado (que no sé físicamente dónde está) y algunos dispositivos tienen puertos muy sospechosos abiertos.

A continuación, listaré las exploraciones de los dispositivos sospechosos.

Nmap scan report for 192.168.1.1
PORT     STATE SERVICE       VERSION
23/tcp   open  telnet        Cisco or Actiontec MI424WR router telnetd
80/tcp   open  http
443/tcp  open  ssl/https
992/tcp  open  ssl/telnet    Cisco or Actiontec MI424WR router telnetd
8080/tcp open  http-proxy
8443/tcp open  ssl/https-alt

El resultado anterior es de mi módem, lo extraño de esto es que tiene el puerto 23 y amp; 992 abierto. ¿Cada vez que inicio sesión en mi módem en la interfaz de usuario web, no puedo ver estos puertos abiertos? Tengo la opción de abrir estos puertos, pero no están marcados. Lo que significa que debe estar cerrado. Entonces, ¿cómo puedo cerrar estos puertos?

Nmap scan report for 192.168.1.64 (Cisco Spvtg) Service Info: OS: Linux
PORT      STATE SERVICE     VERSION
22/tcp    open  ssh         Dropbear sshd 0.52 (protocol 2.0)
9001/tcp  open  tor-orport?
49152/tcp open  upnp        Portable SDK for UPnP devices 1.4.6-6 (Linux     2.6.31-3.3-isb6030; DLNADOC 1.50; UPnP 1.0)

¿El escaneo anterior es un dispositivo que no sé dónde está físicamente? ¿También tiene algunos puertos muy sospechosos abiertos? ¿Cómo puedo identificar este dispositivo? ¿Debo intentar sacarlo de mi red?

¿Otra exploración que no puedo publicar actualmente tiene un puerto abierto '12345 Netbus'? ¿Es este algún tipo de malware? El dispositivo es una caja de TV Android. Publicaré el escaneo para este más tarde.

Gracias por ayudar :)

    
pregunta CrypticX 21.04.2017 - 00:22
fuente

1 respuesta

2
  

El resultado anterior es de mi módem, lo extraño de esto es   que tiene puerto 23 y amp; 992 abierto.

Estos son probablemente puertos para administrarlo internamente, vea si puede conectarse a él usando telnet / ssh / putty e inicie sesión con las credenciales que tiene; pero probablemente incorporados en el firmware, y potencialmente con credenciales que son específicas para el fabricante del dispositivo.

La interfaz web en los dispositivos domésticos (que supongo que es), a menudo es para usuarios no expertos que administran el dispositivo sin muchas posibilidades de romperlo. No hay ninguna regla de que cada interfaz tenga que ser manejable a través de la interfaz web. Busque su dispositivo en línea y vea si hay alguna manera de iniciar sesión en él; y configurar estos servicios.

Un google rápido para tu dispositivo:

"El nombre de usuario predeterminado del enrutador Verizon MI424WR es" admin "y la contraseña predeterminada es" password "

  

Tengo la opción de abrir estos puertos, pero están desactivados.   Lo que significa que debe estar cerrado. Entonces, ¿cómo puedo cerrar estos puertos?

Eso es generalmente para permitir el tráfico de ingreso; es decir, donde abre un puerto en su interfaz WAN para reenviarlo a un host interno. Esto le permite ejecutar servicios y hacerlos accesibles en Internet.

  

[..snip ...] El escaneo anterior es un dispositivo que no sé dónde está   ¿físicamente? ¿También tiene algunos puertos muy sospechosos abiertos? Cómo puedo   identificar este dispositivo? ¿Debo intentar sacarlo de mi red?

Si no tiene WIFI, ejecute un ping en esta IP e intente desconectar cada dispositivo de forma secuencial y vea cuándo deja de responder. Mirando el DNS a la inversa (Cisco Spvgt), puede ser una dirección IP adicional que tenga su módem. Tenga en cuenta que las direcciones IP solo se basan en pilas de IP y no en interfaces físicas.

  

Otro análisis que no puedo publicar actualmente tiene un puerto abierto '12345   Netbus '? ¿Es este algún tipo de malware? El dispositivo es un Android TV.   cuadro.

No, es un servicio que se ejecuta en ese puerto. Puede ejecutar cualquier servicio en ese puerto si lo desea. NetBUS solía ser conocido como RAT que usaba ese puerto, y posiblemente el más conocido. Envíenos un telnet, ejecute Amap, o algo así, para ver qué se está ejecutando.

Amap de THC puede ayudarlo a descubrir qué protocolo hay detrás de estos puertos.

    
respondido por el ndrix 21.04.2017 - 01:19
fuente

Lea otras preguntas en las etiquetas