Здравейте. Пиша в темата за за начинаещи, защото съпоставяйки се с голямата част от хората тук, съм по-скоро начинаещ, затова и търся малко помощ от вас.
От известно време наблюдавам странна и завишена активност към единия от микротиците ми. Различното тук спрямо обикновеното порт сканиране е, че не се търсят случайни портове, а приоритетно само тези които се виждат на скрийншота. Също така забелязвам, че част от заявките идват с вдигнат флаг URG - спешно. Този микротик е конфигуриран с два доставчика (load balancing/failover) като зад него има съвсем обичайни неща - видео наблюдения, няколко други микротика с вдигнати L2PT/IPsec тунели, Офис централа за IP телефония на А1, два счетоводни линукс сървъра и тн. Наблюденията ми до тук, поне според мен показват че атаката е насочена или към VoIP STUN (Session Traversal Utilities for NAT) port. It operates on port 3478 TCP/UDP, may also use port 19302 UDP. It is usually supported by newer VoIP devices - където заподозрения е централата на А1
Или към едно UniFi AP-LR, което осигурява WIFI в една заседателна зала.
Ubiquiti UniFi Controller uses these ports:
8080 tcp - http port for UAP to inform controller
8443 tcp - https port for controller GUI/API
8880 tcp - http portal redirect port (may also use ports 8881, 8882)
8843 tcp - https portal redirect port
3478 udp - STUN port (should be open at firewall)
Ubiquiti UniFi Cloud Access uses these ports:
443 TCP/UDP - Cloud Access service
3478/UDP - port used for STUN
8883/TCP - Cloud Access service
Тъй като знам че без предлагане няма и търсене, съм почти убеден че има компрометирано устройство или някаква дупка, която съм пропуснал да запуша. Някой имал ли е подобен проблеми накъде според вас е насочена атаката?
На микротика няма вдигнато прокси и порт 8080 е затворен перманентно от години. Благодаря предварително на отзовалите се.
Question
Стоян Иванов
Здравейте. Пиша в темата за за начинаещи, защото съпоставяйки се с голямата част от хората тук, съм по-скоро начинаещ, затова и търся малко помощ от вас.
От известно време наблюдавам странна и завишена активност към единия от микротиците ми. Различното тук спрямо обикновеното порт сканиране е, че не се търсят случайни портове, а приоритетно само тези които се виждат на скрийншота. Също така забелязвам, че част от заявките идват с вдигнат флаг URG - спешно. Този микротик е конфигуриран с два доставчика (load balancing/failover) като зад него има съвсем обичайни неща - видео наблюдения, няколко други микротика с вдигнати L2PT/IPsec тунели, Офис централа за IP телефония на А1, два счетоводни линукс сървъра и тн. Наблюденията ми до тук, поне според мен показват че атаката е насочена или към VoIP STUN (Session Traversal Utilities for NAT) port. It operates on port 3478 TCP/UDP, may also use port 19302 UDP. It is usually supported by newer VoIP devices - където заподозрения е централата на А1
Или към едно UniFi AP-LR, което осигурява WIFI в една заседателна зала.
Тъй като знам че без предлагане няма и търсене, съм почти убеден че има компрометирано устройство или някаква дупка, която съм пропуснал да запуша. Някой имал ли е подобен проблеми накъде според вас е насочена атаката?
На микротика няма вдигнато прокси и порт 8080 е затворен перманентно от години. Благодаря предварително на отзовалите се.
Link to comment
Share on other sites
6 answers to this question
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now