Здравейте. Пиша в темата за за начинаещи, защото съпоставяйки се с голямата част от хората тук, съм по-скоро начинаещ, затова и търся малко помощ от вас.
От известно време наблюдавам странна и завишена активност към единия от микротиците ми. Различното тук спрямо обикновеното порт сканиране е, че не се търсят случайни портове, а приоритетно само тези които се виждат на скрийншота. Също така забелязвам, че част от заявките идват с вдигнат флаг URG - спешно. Този микротик е конфигуриран с два доставчика (load balancing/failover) като зад него има съвсем обичайни неща - видео наблюдения, няколко други микротика с вдигнати L2PT/IPsec тунели, Офис централа за IP телефония на А1, два счетоводни линукс сървъра и тн. Наблюденията ми до тук, поне според мен показват че атаката е насочена или към VoIP STUN (Session Traversal Utilities for NAT) port. It operates on port 3478 TCP/UDP, may also use port 19302 UDP. It is usually supported by newer VoIP devices - където заподозрения е централата на А1
Или към едно UniFi AP-LR, което осигурява WIFI в една заседателна зала.
Ubiquiti UniFi Controller uses these ports:
8080 tcp - http port for UAP to inform controller
8443 tcp - https port for controller GUI/API
8880 tcp - http portal redirect port (may also use ports 8881, 8882)
8843 tcp - https portal redirect port
3478 udp - STUN port (should be open at firewall)
Ubiquiti UniFi Cloud Access uses these ports:
443 TCP/UDP - Cloud Access service
3478/UDP - port used for STUN
8883/TCP - Cloud Access service
Тъй като знам че без предлагане няма и търсене, съм почти убеден че има компрометирано устройство или някаква дупка, която съм пропуснал да запуша. Някой имал ли е подобен проблеми накъде според вас е насочена атаката?
На микротика няма вдигнато прокси и порт 8080 е затворен перманентно от години. Благодаря предварително на отзовалите се.
Въпрос
Стоян Иванов
Здравейте. Пиша в темата за за начинаещи, защото съпоставяйки се с голямата част от хората тук, съм по-скоро начинаещ, затова и търся малко помощ от вас.
От известно време наблюдавам странна и завишена активност към единия от микротиците ми. Различното тук спрямо обикновеното порт сканиране е, че не се търсят случайни портове, а приоритетно само тези които се виждат на скрийншота. Също така забелязвам, че част от заявките идват с вдигнат флаг URG - спешно. Този микротик е конфигуриран с два доставчика (load balancing/failover) като зад него има съвсем обичайни неща - видео наблюдения, няколко други микротика с вдигнати L2PT/IPsec тунели, Офис централа за IP телефония на А1, два счетоводни линукс сървъра и тн. Наблюденията ми до тук, поне според мен показват че атаката е насочена или към VoIP STUN (Session Traversal Utilities for NAT) port. It operates on port 3478 TCP/UDP, may also use port 19302 UDP. It is usually supported by newer VoIP devices - където заподозрения е централата на А1
Или към едно UniFi AP-LR, което осигурява WIFI в една заседателна зала.
Тъй като знам че без предлагане няма и търсене, съм почти убеден че има компрометирано устройство или някаква дупка, която съм пропуснал да запуша. Някой имал ли е подобен проблеми накъде според вас е насочена атаката?
На микротика няма вдигнато прокси и порт 8080 е затворен перманентно от години. Благодаря предварително на отзовалите се.
Адрес на коментара
Сподели в други сайтове
6 отговори на този въпрос
Recommended Posts
Създайте нов акаунт или се впишете, за да коментирате
За да коментирате, трябва да имате регистрация
Създайте акаунт
Присъединете се към нашата общност. Регистрацията става бързо!
Регистрация на нов акаунтВход
Имате акаунт? Впишете се оттук.
Вписване