web-dev-qa-db-fra.com

Timing suspect de [accès LAN de télécommande] dans le journal du routeur

Je lis ça [LAN access from remote] Les ports UPnP peuvent être un attaquant à la recherche de vulnérabilités et n'est généralement rien à craindre. Cependant, je suis inquiet de voir cette activité dans un journal si proche de la machine cible mise en place, compte tenu des autres sur le réseau qui n'étaient pas ciblés.

Cette activité s'est produite avant même de me connecter à la machine cible, cela me fait suspecter que le trafic entrant a été déclenché en quelque sorte par elle qui s'annonce à l'expéditeur.

[LAN access from remote] from 129.192.165.10:4500 to 192.168.1.4:54071, Monday, October 30,2017 13:25:21
[LAN access from remote] from 129.192.165.10:4500 to 192.168.1.4:54071, Monday, October 30,2017 13:25:16
[LAN access from remote] from 129.192.165.10:4500 to 192.168.1.4:54071, Monday, October 30,2017 13:25:11
[LAN access from remote] from 129.192.165.10:4500 to 192.168.1.4:54071, Monday, October 30,2017 13:25:06
[DHCP IP: (192.168.1.4)] to MAC address [munged], Monday, October 30,2017 13:14:52

Peut-être qu'il y a une explication parfaitement raisonnable qui n'implique pas la machine compromise?

PS - Oui, j'ai désactivé UPNP sur le routeur après avoir vu ceci.

2
PJ7

UPnP permet à PortForwards via un NAT (votre routeur le fait), de sorte que les personnes de l'extérieur de votre NAT peuvent se connecter aux périphériques derrière le NAT. C'est l'accès au réseau local d'Internet, mais uniquement à un port spécifique sur un client spécifique.

La chose est la suivante: un tel port en avant ne serait créé que par le NAT après avoir été configuré par un client sur le réseau local via UPNP. Il suffit de désactiver UPNP sur le routeur pourraient ne pas faire le tour ici, Parce que l'avant a été demandé à cette machine qui - comme vous l'avez dit - est venu d'une botte à froid.

Donc, à moins que vous n'ayez par exemple partageant de fichiers ou quelque chose de même que vous avez besoin de Port UPNP en avant (et oui, les installateurs de jeu sont souvent des systèmes de partage de fichiers, le programme d'installation de Battle.net, par exemple, fait la distribution des pairs des mises à jour), vous semblez avoir des logiciels malveillants. sur votre machine qui a demandé le port d'être ouvert en premier lieu.

Ceci est probablement absolument parfait et ce que vous voulez (pour le partage de fichiers au travail, mais les avances de port manuels seraient meilleures que UPNP) ou une machine déjà infectée tente d'établir une communication avec un attaquant. La probabilité qu'il s'agisse d'un attaquant recherchant des vulnérabilités est presque nulle; Vos sources semblent mélanger des choses.

L'IP semble appartenir à Ericsson North America Gestiond Services, ce qui semble être un fournisseur de services sans fil de quelque sorte. Cela ne manque pas les options. Si serait préférable de

  1. Assurez-vous que ce n'est pas un programme que vous courez volontiers, sans que vous sachiez que cela fait cela,
  2. renifler le trafic et voyez ce qui se passe
  3. Découvrez ce qui provoque le trafic et le port ouvert.
2
Tobi Nary