backdoor su router?!?
Inviato: lunedì 4 ottobre 2010, 13:07
Ciao tutti,
ho un router d-link dsl-g624t (un tempo in comodato d'uso ed ora di mia proprietà) ed una connessione infostrada. Se lancio uno scan del gateway attraverso la mia linux box con nmap risulta aperta una porta, la 8082, con la definizione "blackice-alerts". Non so cosa sia questa roba, ho provato anche a fare ricerche in google, ma francamente non ne sono venuto a capo. Ho anche chiamato l'assistenza tecnica, la quale mi ha dettoche molto probabilmente si tratta di una backdoor (!?!?!), anche perchè il firmaware presente (alla versione più recente ma non da me) non è quello con cui infostrada forniva il router. Beh in sostanza, il problema è che non riesco a chiudere qiuesta porta dall'interfaccia grafica: l'unica cosa che riesco a fare e collegarmi via ssh al router, che dispone del sw busybox, e modificare iptables eliminando la rule che accettava il traffico tcp sulla porta 8082. Le regole iptables sono pertanto le seguenti:
Chain INPUT (policy ACCEPT)
target prot opt source destination
CFG tcp -- 192.168.1.100 anywhere tcp dpt:www Records Packet's Source Interface
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere udp dpt:500
DROP udp -- anywhere anywhere udp dpt:bootps
ACCEPT igmp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp dpt:161
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS set 1360
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP tcp -- anywhere anywhere tcp dpt:telnet
DROP tcp -- anywhere anywhere tcp dpt:ftp
DROP tcp -- anywhere anywhere tcp dpt:ftp-data
ACCEPT udp -- anywhere anywhere udp dpt:500
DROP tcp -- anywhere anywhere tcp dpt:domain
DROP udp -- anywhere anywhere udp dpt:domain
DROP udp -- anywhere anywhere udp dpt:bootps
DROP udp -- anywhere anywhere udp dpt:route
ACCEPT igmp -- anywhere anywhere
DROP icmp -- anywhere anywhere icmp echo-request state NEW
ACCEPT udp -- anywhere 192.168.1.100 udp dpt:50002
ACCEPT tcp -- anywhere 192.168.1.100 tcp dpt:50003
DROP all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP icmp -- anywhere anywhere icmp destination-unreachable
DROP icmp -- anywhere anywhere state INVALID
Le mie domande sono:
1) che roba è 'sto blackice-alerts? Forse ha a che fare con il dyndns che avevo un tempo attivato?
2) se faccio un restart del router la porta 8082 si riapre. COme posso salvare definitivamente le modifiche?
3) conviene cancellare la regola (-D) o aggiungere una regola con il DROP sulla porta 8082?
Grazie mille, e mi scuso per la prolissità....spero possiate darmi qualche suggerimento
Ockeghem
ho un router d-link dsl-g624t (un tempo in comodato d'uso ed ora di mia proprietà) ed una connessione infostrada. Se lancio uno scan del gateway attraverso la mia linux box con nmap risulta aperta una porta, la 8082, con la definizione "blackice-alerts". Non so cosa sia questa roba, ho provato anche a fare ricerche in google, ma francamente non ne sono venuto a capo. Ho anche chiamato l'assistenza tecnica, la quale mi ha dettoche molto probabilmente si tratta di una backdoor (!?!?!), anche perchè il firmaware presente (alla versione più recente ma non da me) non è quello con cui infostrada forniva il router. Beh in sostanza, il problema è che non riesco a chiudere qiuesta porta dall'interfaccia grafica: l'unica cosa che riesco a fare e collegarmi via ssh al router, che dispone del sw busybox, e modificare iptables eliminando la rule che accettava il traffico tcp sulla porta 8082. Le regole iptables sono pertanto le seguenti:
Chain INPUT (policy ACCEPT)
target prot opt source destination
CFG tcp -- 192.168.1.100 anywhere tcp dpt:www Records Packet's Source Interface
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere udp dpt:500
DROP udp -- anywhere anywhere udp dpt:bootps
ACCEPT igmp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp dpt:161
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS set 1360
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP tcp -- anywhere anywhere tcp dpt:telnet
DROP tcp -- anywhere anywhere tcp dpt:ftp
DROP tcp -- anywhere anywhere tcp dpt:ftp-data
ACCEPT udp -- anywhere anywhere udp dpt:500
DROP tcp -- anywhere anywhere tcp dpt:domain
DROP udp -- anywhere anywhere udp dpt:domain
DROP udp -- anywhere anywhere udp dpt:bootps
DROP udp -- anywhere anywhere udp dpt:route
ACCEPT igmp -- anywhere anywhere
DROP icmp -- anywhere anywhere icmp echo-request state NEW
ACCEPT udp -- anywhere 192.168.1.100 udp dpt:50002
ACCEPT tcp -- anywhere 192.168.1.100 tcp dpt:50003
DROP all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP icmp -- anywhere anywhere icmp destination-unreachable
DROP icmp -- anywhere anywhere state INVALID
Le mie domande sono:
1) che roba è 'sto blackice-alerts? Forse ha a che fare con il dyndns che avevo un tempo attivato?
2) se faccio un restart del router la porta 8082 si riapre. COme posso salvare definitivamente le modifiche?
3) conviene cancellare la regola (-D) o aggiungere una regola con il DROP sulla porta 8082?
Grazie mille, e mi scuso per la prolissità....spero possiate darmi qualche suggerimento
Ockeghem