ルーター/モデムは危険にさらされていますか?
そのため、最近、ホームルーター/モデム(AT&T U-Verse)でポートスキャン(TCPのみ)を実行し、開いている2つの特異なポートを見つけました。 nmap 192.168.1.254 -P0のスキャン出力/結果は次のとおりです。
Starting Nmap 6.49BETA4 ( https://nmap.org ) at 2015-10-14 14:30 UTC
Stats: 0:00:01 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 51.50% done; ETC: 14:31 (0:00:42 remaining)
Nmap scan report for homeportal (192.168.1.254)
Host is up (0.0045s latency).
Not shown: 996 closed PORT STATE SERVICE
80/tcp open http
256/tcp filtered fw1-secureremote
443/tcp open https
49152/tcp open unknown
奇妙なポートは256(tcp)と49152(tcp)です。私が最も心配しているのは、ポート256です。Googleでざっと調べたところ、fw1-secureremote(ポート256で実行)がVPNクライアント(SecuRemote)で使用されていることがわかりました。私はSecuRemoteを使用したことがなく、聞いたことさえあります。また、ポート256は、デバイスを使用してスパムを送信するトロイの木馬(Trojan.SpBot)によって使用されているようです。何か洞察してください?また、これについてAT&Tに連絡するにはどうすればよいですか?
内部IPアドレスに対してポートスキャンを実行しても無駄です。脆弱性を発見したい場合は、ネットワークの外部からパブリックIPに対して実行する必要があります。
私はこのスレッドを見つけました: http://ubuntuforums.org/showthread.php?t=190062
要約すると、ポート49152は一部のルーターのnPNPポートに対応します(そのスレッドではDリンクwbr-1310です)。無効にすると、そのポートが閉じられました。
ポート256はVPNに関連しているため、ルーターのVPN設定を確認してください。