TCPポート6666およびポート7777がLTEルーターで開かれているのはなぜですか?
LTE wifiルーター(JioFi 2)があり、ポート6666と7777が開いています。
Nmapスキャン結果、
PORT STATE SERVICE
53/tcp open domain
80/tcp open http
6666/tcp open irc
7777/tcp open cbt
ポート53と80が開いている理由を理解できますが、なぜ6666と7777なのでしょうか。彼らはそこで何をしているのですか?
デバイスはハイアールによって製造されており、マルウェアがプリインストールされた出荷デバイスで何度も非難されています。
だから私の主な質問は、どうすればこの問題をより深く掘り下げることができるのですか?
ほとんどの状況では、システムにリモート接続してみて、それらのポートでリッスンしているプロセスを確認できるかどうかを確認することをお勧めします。これにより、システムで何が行われているのか(つまり、どのプロセスがこれらのポートにバインドされているのか)が最もよくわかります。
これは選択肢のようには見えないので、次の提案は、Wiresharkまたは類似のプロトコルアナライザーを使用して、これらのポートに送信されるすべてのトラフィックを監視することです。それらのポートに送信されるトラフィックに基づいて、これらのポートが何を行っているかを判断できる場合や、ログイン資格情報を取得できる場合もあります。
これがLTEルーターであり、これらのポートでキャプチャを実行できない可能性があるという事実を踏まえると、私の最後の提案は、ルーターのファームウェアのコピーをダウンロードできるかどうかを確認することですインターネットから。次に、ファームウェアを binwalk のようなツールで分析できます。ルーターのファームウェアがダウンロードしたものと一致する保証はないため、これはあまり信頼できる方法ではありませんが、ダウンロードしたイメージでこれらのポートが開いているのを見つけることができません。ルーターで実行しているファームウェアに何か奇妙なことがわかります。
ポート7777/tcpは、iChatサーバーのファイル転送プロキシまたはOracle Cluster File System 2、さらにはゲーム(Ultima Online、Active Worlds)でも使用できます。
6666でも同じ-これはリレーチャットでよく使用されますが、実際には多くのマルウェアでも使用できます。
したがって、問題となっているのはポート自体ではありません(または現在の状態です)。デバイスが通常の機能モードになっているときにそのポートのトラフィックを分析して、そこから送信された何かが悪いかどうかを判断する必要があります。