backdoor su router?!?

[ockeghem]

Ciao tutti,
ho un router d-link dsl-g624t (un tempo in comodato d'uso ed ora di mia proprietà) ed una connessione infostrada. Se lancio uno scan del gateway attraverso la mia linux box con nmap risulta aperta una porta, la 8082, con la definizione "blackice-alerts". Non so cosa sia questa roba, ho provato anche a fare ricerche in google, ma francamente non ne sono venuto a capo. Ho anche chiamato l'assistenza tecnica, la quale mi ha dettoche molto probabilmente si tratta di una backdoor (!?!?!), anche perchè il firmaware presente (alla versione più recente ma non da me) non  è quello con cui infostrada forniva il router. Beh in sostanza, il problema è che non riesco a chiudere qiuesta porta dall'interfaccia grafica: l'unica cosa che riesco a fare e collegarmi via ssh al router, che dispone del sw busybox, e modificare iptables eliminando la rule che accettava il traffico tcp sulla porta 8082. Le regole iptables sono pertanto le seguenti:

Chain INPUT (policy ACCEPT)
target    prot opt source              destination       
CFG        tcp  --  192.168.1.100        anywhere          tcp dpt:www Records Packet's Source Interface

ACCEPT    all  --  anywhere            anywhere          state RELATED,ESTABLISHED
ACCEPT    udp  --  anywhere            anywhere          udp dpt:500
DROP      udp  --  anywhere            anywhere          udp dpt:bootps
ACCEPT    igmp --  anywhere            anywhere         
ACCEPT    udp  --  anywhere            anywhere          udp dpt:161
ACCEPT    all  --  anywhere            anywhere         
DROP      all  --  anywhere            anywhere         

Chain FORWARD (policy ACCEPT)
target    prot opt source              destination       
TCPMSS    tcp  --  anywhere            anywhere          tcp flags:SYN,RST/SYN TCPMSS set 1360
ACCEPT    all  --  anywhere            anywhere          state RELATED,ESTABLISHED
DROP      tcp  --  anywhere            anywhere          tcp dpt:telnet
DROP      tcp  --  anywhere            anywhere          tcp dpt:ftp
DROP      tcp  --  anywhere            anywhere          tcp dpt:ftp-data
ACCEPT    udp  --  anywhere            anywhere          udp dpt:500
DROP      tcp  --  anywhere            anywhere          tcp dpt:domain
DROP      udp  --  anywhere            anywhere          udp dpt:domain
DROP      udp  --  anywhere            anywhere          udp dpt:bootps
DROP      udp  --  anywhere            anywhere          udp dpt:route
ACCEPT    igmp --  anywhere            anywhere         
DROP      icmp --  anywhere            anywhere          icmp echo-request state NEW
ACCEPT    udp  --  anywhere            192.168.1.100      udp dpt:50002
ACCEPT    tcp  --  anywhere            192.168.1.100      tcp dpt:50003
DROP      all  --  anywhere            anywhere         

Chain OUTPUT (policy ACCEPT)
target    prot opt source              destination       
DROP      icmp --  anywhere            anywhere          icmp destination-unreachable
DROP      icmp --  anywhere            anywhere          state INVALID


Le mie domande sono:

1) che roba è 'sto blackice-alerts? Forse ha a che fare con il dyndns che avevo un tempo attivato?
2) se faccio un restart del router la porta 8082 si riapre. COme posso salvare definitivamente le modifiche?
3) conviene cancellare la regola (-D) o aggiungere una regola con il DROP sulla porta 8082?

Grazie mille, e mi scuso per la prolissità....spero possiate darmi qualche suggerimento


Ockeghem

[ivnnvi]

se vuoi chiudere questa porta puoi utilizzare
fuser -k /tcp

[ockeghem]

ciao,
purtroppo su busybox ci sono solo alcuni comandi, ad esempio fuser non è disponibile.....