(Linksys) на роутере открыты лишние порты, видные только снаружи. / Unix-системы

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / (Linksys) на роутере открыты лишние порты, видные только снаружи.

13 сообщений из 13, страница 1 из 1

(Linksys) на роутере открыты лишние порты, видные только снаружи.

#39313394

Sarin

Участник

Откуда: Земля, Солнечная система.

Сообщения: 14 565

Рейтинг: 0 / 0

Здравствуйте!

Имеется домашний роутер Linksys (модель не помню), года три-четыре ему. всё это время стоит подключённым к одной и той же сети. Ввиду необходимости подключиться к домашней машине снаружи начал предпринимать всякие действия по проверке своей секьрити и работоспособности сетевой настройки. вчера произвёл сканирование портов своего домашнего IP снаружи. Проброс портов на тот момент ещё не был выполнен, поэтому наличие открытых портов на роутере удивило уже само по себе. вот отчёт (с купюрами):

Код: sql

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.

nmap -p 1-65535 -T4 -A -v XX.XX.XXX.XX

Starting Nmap 7.12 ( https://nmap.org ) at 2016-09-21 15:51 Russia TZ 2 Standard Time
...
Scanning XX.XX.XXX.XX [4 ports]
Completed Ping Scan at 15:51, 0.06s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 15:51
Completed Parallel DNS resolution of 1 host. at 15:51, 5.50s elapsed
Initiating SYN Stealth Scan at 15:51
Scanning broadband-XX-XX-XXX-XX.nationalcablenetworks.ru (XX.XX.XXX.XX) [65535 ports]
Discovered open port 8080/tcp on XX.XX.XXX.XX
Discovered open port 1720/tcp on XX.XX.XXX.XX
Discovered open port 443/tcp on XX.XX.XXX.XX
...
Nmap scan report for broadband-XX-XX-XXX-XX.nationalcablenetworks.ru (XX.XX.XXX.XX)
Host is up (0.0027s latency).
Not shown: 65467 filtered ports, 65 closed ports
PORT     STATE SERVICE     VERSION
443/tcp  open  ssl/https?
1720/tcp open  h323q931?
8080/tcp open  http-proxy?
|_http-open-proxy: Proxy might be redirecting requests

Device type: general purpose|VoIP phone
Running (JUST GUESSING): OpenBSD 4.X|5.X (92%), Cisco embedded (90%), FreeBSD 9.X (87%), Apple Mac OS X 10.5.X|10.6.X (85%), Microsoft Windows XP (85%)
OS CPE: cpe:/o:openbsd:openbsd:4.0 cpe:/o:openbsd:openbsd:5.3 cpe:/h:cisco:spa303_3-line_ip_phone_with_2-port_switch
 cpe:/o:freebsd:freebsd:9.0 cpe:/o:apple:mac_os_x:10.5 cpe:/o:apple:mac_os_x:10.6 cpe:/o:microsoft:windows_xp::sp3
Aggressive OS guesses: OpenBSD 4.0 (92%), OpenBSD 5.3 (90%), Cisco SPA 303 VoIP phone (90%), OpenBSD 5.0 - 5.4 (90%), FreeBSD 9.0-RELEASE (87%), OpenBSD 4.3 (86%)
, Apple Mac OS X 10.5.5 (Leopard) - 10.6.6 (Snow Leopard) (Darwin 9.5.0 - 10.6.0) (85%), Microsoft Windows XP SP3 (85%)
No exact OS matches for host (test conditions non-ideal).
Uptime guess: 0.001 days (since Wed Sep 21 15:58:40 2016)
Network Distance: 2 hops
TCP Sequence Prediction: Difficulty=265 (Good luck!)
IP ID Sequence Generation: Randomized

сканировал несколько раз и обычно в портах ещё и bgp фигурировал.
Пробросил сегодня 22 порт (только 22 порт!) и повторил. 22 порт виден, но появилось ещё несколько 600*

Код: sql

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.

Host is up (0.0027s latency).
Not shown: 984 filtered ports
PORT     STATE  SERVICE     VERSION
22/tcp   open   tcpwrapped
179/tcp  closed bgp
443/tcp  open   ssl/https?
1720/tcp open   h323q931?
6000/tcp closed X11
6001/tcp closed X11:1
6002/tcp closed X11:2
6003/tcp closed X11:3
6004/tcp closed X11:4
6005/tcp closed X11:5
6006/tcp closed X11:6
6007/tcp closed X11:7
6009/tcp closed X11:9
6025/tcp closed x11
6059/tcp closed X11:59
8080/tcp open   http-proxy?
| http-open-proxy: Potentially OPEN proxy.
|_Methods supported:CONNECTION
Aggressive OS guesses: OpenBSD 4.0 (92%), OpenBSD 5.3 (90%), OpenBSD 5.0 - 5.4 (90%), FreeBSD 7.0-RELEASE-p5 (87%), FreeBSD 9.0-RELEASE (87%), 
FreeBSD 6.3-RELEASE (86%), FreeBSD 8.2-RELEASE (86%), OpenBSD 4.3 (86%), Apple Mac OS X 10.5.5 (Leopard) - 10.6.6 (Snow Leopard) (Darwin 9.5.0 - 10.6.0) (85%), Microsoft Windows XP SP3 (85%)

No exact OS matches for host (test conditions non-ideal).

прокси на 8080 исправно работает. к нему можно подключиться и бродить по вэбу.

если сканировать роутер из внутренней сети, то на нём открыт только порт 80, а операционная система определяется как DD-WRT. Правда версия nmap (zenmap) используется существенно более старая. Понимаю, что вопрос не совсем про UNIX, но с UNIX это всё несколько связано. собственно хотел бы узнать ответы, на следующие вопросы:

могут ли эти порты обслуживаться не моим роутером, а оборудованием провайдера, а для меня это выглядит как будто сервисы на моём IP? если да, то как это можно проверить?

Откуда на домашнем роутере берётся HTTP-прокси, BGP и другие непонятные сервисы, которые я не поднимал? почему эти сервисы видны только снаружи? есть ли поводы для беспокойства? может ли это быть признаком того, что в роутер забрался какой-то хакер и использует его? как можно проверить и прогнать хакера?

Каков вообще алгоритм аудита домашней сетки на инфобезопасность?

Большое спасибо!

...

Рейтинг:

0 / 0

22.09.2016, 13:42

| Ответить | Цитировать | Написать

(Linksys) на роутере открыты лишние порты, видные только снаружи.

#39313831

MasterZiv

Участник

Откуда: Питер

Сообщения: 32 427

Рейтинг: 0 / 0

могут ли эти порты обслуживаться не моим роутером, а оборудованием провайдера, а для меня это выглядит как будто сервисы на моём IP?

нет. ты же определенный интерфейс сканировал
он принадлежит твоему девайсу только...

...

как можно проверить и прогнать хакера

это только битой бейсбольной ....

...

Рейтинг:

0 / 0

23.09.2016, 06:17

| Ответить | Цитировать | Написать

(Linksys) на роутере открыты лишние порты, видные только снаружи.

#39314225

Sarin

Участник

Откуда: Земля, Солнечная система.

Сообщения: 14 565

Рейтинг: 0 / 0

MasterZivэто только битой бейсбольной ....
да уж подумал сегодня перепрошить роутер, но хочется попробовать всё-таки разобраться сначала. сомневаюсь, на самом деле, что кто-то туда влез. впихнуть вот так свой сервис на чужой роутер дело не одного часа. кому охота этим заниматься? да и сделать такое снаружи почти наверняка невозможно, значит ещё и физически надо было оказаться где-то недалеко. ну пароль от вайфая моего подобрать не сложно...

но с другой стороны, зачем роутеру самому открывать порты?

многие продвинутые пользователи никсов организуют доступ к домашнему компу подобным образом, с помощью OpenSSH и портфорвардинга. Может кто-то тоже сталкивался, что бытовые роутеры так себя ведут?

...

Рейтинг:

0 / 0

23.09.2016, 13:19

| Ответить | Цитировать | Написать

(Linksys) на роутере открыты лишние порты, видные только снаружи.

#39314227

Sarin

Участник

Откуда: Земля, Солнечная система.

Сообщения: 14 565

Рейтинг: 0 / 0

Linksys E1200

...

Рейтинг:

0 / 0

23.09.2016, 13:20

| Ответить | Цитировать | Написать

(Linksys) на роутере открыты лишние порты, видные только снаружи.

#39314354

Sergey Orlov

Участник

Откуда: СПб

Сообщения: 4 520

Рейтинг: 0 / 0

SarinLinksys E1200
А что внутри прошито?

...

Рейтинг:

0 / 0

23.09.2016, 14:48

| Ответить | Цитировать | Написать

(Linksys) на роутере открыты лишние порты, видные только снаружи.

#39314399

Мутаген

Гость

Sarinмогут ли эти порты обслуживаться не моим роутером, а оборудованием провайдера, а для меня это выглядит как будто сервисы на моём IP? если да, то как это можно проверить?

Могут. Если наружний порт у роутера Ethernet, то просто подключить его к своему компьютеру куском провода и просканировать так.

Но это может и быть последствия TheMoon и аналогов

...

Рейтинг:

0 / 0

23.09.2016, 15:15

| Ответить | Цитировать | Написать

(Linksys) на роутере открыты лишние порты, видные только снаружи.

#39314495

Sarin

Участник

Откуда: Земля, Солнечная система.

Сообщения: 14 565

Рейтинг: 0 / 0

Sergey OrlovSarinLinksys E1200
А что внутри прошито?

должна быть родная, я не перепрошивал с момента приобретения.

МутагенМогут. Если наружний порт у роутера Ethernet, то просто подключить его к своему компьютеру куском провода и просканировать так.

Но это может и быть последствия TheMoon и аналогов
какая классная идея! обязательно посканирую так.

Про Moon особенно интересно. и симптомы похожи (443 и 8080). правда рецепт проверки из статьи однозначных результатов не дал.

...

Рейтинг:

0 / 0

23.09.2016, 16:26

| Ответить | Цитировать | Написать

(Linksys) на роутере открыты лишние порты, видные только снаружи.

#39314496

Dimitry Sibiryakov

Участник

Сообщения: 54 521

Рейтинг: 0 / 0

SarinПро Moon особенно интересно. и симптомы похожи (443 и 8080).

Вот только у него-то на порту 8080 штатная админка, а у тебя, если не врёшь - прокси.
Posted via ActualForum NNTP Server 1.5

...

Рейтинг:

0 / 0

23.09.2016, 16:30

| Ответить | Цитировать | Написать

(Linksys) на роутере открыты лишние порты, видные только снаружи.

#39314499

Sarin

Участник

Откуда: Земля, Солнечная система.

Сообщения: 14 565

Рейтинг: 0 / 0

Код: html

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.

ubuntu@ubuntu-VirtualBox:~$ telnet XX.XX.XXX.XX 8080
Trying XX.XX.XXX.XX...
Connected to XX.XX.XXX.XX.
Escape character is '^]'.
GET /HNAP1/ HTTP/1.1
Host: test





HTTP/1.0 504 Gateway Timeout
Pragma: no-cache
Cache-Control: no-store
Connection: keep-alive
Proxy-Connection: keep-alive
Content-Type: text/html
Content-Length: 199

<!DOCTYPE html>
<html><head>
<title>504 Gateway Timeout</title>
</head><body style='font-family:Verdana'>
<h2><b>Gateway Timeout</b></h2>
<p>The requested URL couldn't be resolved</p>
</body></html>

...

Рейтинг:

0 / 0

23.09.2016, 16:32

| Ответить | Цитировать | Написать

(Linksys) на роутере открыты лишние порты, видные только снаружи.

#39314535

Sarin

Участник

Откуда: Земля, Солнечная система.

Сообщения: 14 565

Рейтинг: 0 / 0

Dimitry SibiryakovSarinПро Moon особенно интересно. и симптомы похожи (443 и 8080).

Вот только у него-то на порту 8080 штатная админка, а у тебя, если не врёшь - прокси.

с прокси вообще непонятно. странный какой-то прокси. с одной стороны, он умеет какие-то запросы обрабатывать сам, как сервер. с другой, когда работает как прокси он что-то очень странное делает с IP. если проверять свой адрес в интернете, то при использовании прокси и при неиспользовании адрес одинаковый. но разница всё-таки проскакивает. если смотреть ваершарком, то запросы исправно ходят через этот самый прокси на 8080.

На картинке все три замазанных айпишника одинаковые и соответствуют рабочей машине с которой я подключаюсь к прокси. внешний адрес моего домашнего роутера другой.

вот думаю действительно червяк, наверное

...

Рейтинг:

0 / 0

23.09.2016, 17:20

| Ответить | Цитировать | Написать

(Linksys) на роутере открыты лишние порты, видные только снаружи.

#39314545

Sarin

Участник

Откуда: Земля, Солнечная система.

Сообщения: 14 565

Рейтинг: 0 / 0

Да, ещё вот интересная деталь: я никогда не выставлял админский интерфейс на роутере наружу.

...

Рейтинг:

0 / 0

23.09.2016, 17:31

| Ответить | Цитировать | Написать

(Linksys) на роутере открыты лишние порты, видные только снаружи.

#39314771

Barlone

Участник

Сообщения: 1 506

Рейтинг: 0 / 0

Sarinвпихнуть вот так свой сервис на чужой роутер дело не одного часа. кому охота этим заниматься?
Создателям ботнетов. Поковыряться надо один раз, а роутеров тысячи...
Sarinда и сделать такое снаружи почти наверняка невозможноНаверняка нашли дыру в прошивке, и дальше просто сканируют всех подряд в поисках дырявых роутеров.

...

Рейтинг:

0 / 0

24.09.2016, 07:22

| Ответить | Цитировать | Написать

(Linksys) на роутере открыты лишние порты, видные только снаружи.

#39314795

Вячеслав Любомудров

Участник

Откуда: Владивосток

Сообщения: 18 655

Рейтинг: 0 / 0

SarinДа, ещё вот интересная деталь: я никогда не выставлял админский интерфейс на роутере наружу.Самое смешное, что это выставляется по умолчанию на многих домашних раутерах.
Поэтому первое, что меняется еще до выставления в интернет -- это админский пароль (а если есть возможность, то и юзер), а затем -- ограничение сервисов (админка по HTTP, HTTPS, своему порту, SSH, FTP, иногда TELNET разрешен) только на внутренний интерфейс.

Я как-то забыл это сделать на новом MicroTik-е, и запустил просмотр журнала -- я охренел, сколько сразу было попыток на него забраться, по все открытым портам (попытки на закрытые, естественно, он даже не журналирует). Уверен, что за полчаса, максимум день, его бы вскрыли.

...

Рейтинг:

0 / 0

24.09.2016, 09:15

| Ответить | Цитировать | Написать

13 сообщений из 13, страница 1 из 1

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=25&msg=39314499&tid=1481664]:	0ms
get settings:	11ms
get forum list:	13ms
check forum access:	3ms
check topic access:	3ms
track hit:	30ms
get topic data:	11ms
get forum data:	3ms
get page messages:	56ms
get tp. blocked users:	1ms
others:	290ms

total:	421ms