Just nu i M3-nätverket
Gå till innehåll

Okända utskrifter, RT-n56U


Monshi

Rekommendera Poster

Undrar om jag ska blir orolig eller om detta är fullt naturligt.

 

Har en skrivare bakom en RT-N56U, ansluten via USB. Routen delar ut skrivaren till datorerna i hemmanätverket.

 

Nu har det uppenbarligen slunkit igenom ett anrop via routern till skrivaren. Skrivaren spottade under natten ur sig:

GET / HTTP/1.1

User-Agent: Mozilla/5.0 (Windows... osv)

Host: ##.###.##.###:9100

Connection: Keep-alive

 

Host alltså IP-numret vi har.

För mig tycks det se ut som ett vanligt HTTP-anrop som av någon anledning dyker upp på skrivaren.

 

Andra gången detta sker. I våras dök det upp ett än mer kryptiskt som jag dock inte sparat.

 

Tittar i loggen i routern, hittar en avvikande notering:

ots[376]: Error Packets: 3 0 0

 

Borde jag bli orolig?

Göra något?

Har även en backupdisk ansluten till routern, bakom lösenord iofs.

 

Länk till kommentar
Dela på andra webbplatser

Nej, inget som stämmer och jag ser ingen vidaredelning av port 9100 i den heller.

 

Det är visserligen en HP-skrivare jag har men det är en gammal och, som sagt, ansluten via USB. Den borde inte vara synlig utåt.

 

testar att slå på brandväggen i routern, har inte gjort det tidigare då jag kan misstänka att en brandvägg där även kan ge problem med annat.

 

Ser att med brandvägg på är det porten stängd, med brandväggen i routern avstängd är den porten öppen, enligt testet på sidan du länkade till. 

 

Min misstanke är sniff efter öppning i system, i någon router. Hoppas bara det inte är min router!

Länk till kommentar
Dela på andra webbplatser

Har senaste, från april.

 

så ja, det är uppdaterad.

 

 

Den fungerar som den ska bortsett från detta. Fast ser att brandväggen, nu när den är påslagen, droppar ganska många paket. Ett ur mängden

Aug 14 16:15:34 kernel: DROP  <4>DROP IN=eth3 OUT= MAC=8c:64:22:a4:ed:c8:00:03:fa:ac:40:89:08:00 <1>SRC=82.214.17.228 DST=82.214.16.xxx <1>LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=57789 DF PROTO=TCP <1>SPT=52140 DPT=10073 SEQ=972843168 ACK=0 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (020405B40402080A2F67AC430000000001030301)

 

censurerar min ip-adress lite. Men intressant att källan tycks vara en närbesläktad  adress till min.

 

eller

Aug 14 16:28:57 kernel: DROP  <4>DROP IN=eth3 OUT= MAC=8c:64:22:a4:ed:c8:00:03:fa:ac:40:89:08:00 <1>SRC=222.84.115.195 DST=82.214.16.xxx <1>LEN=60 TOS=0x00 PREC=0x00 TTL=38 ID=54610 DF PROTO=TCP <1>SPT=57012 DPT=23 SEQ=2645507105 ACK=0 WINDOW=5440 RES=0x00 SYN URGP=0 OPT (020405500402080A00B5ECF50000000001030302)
som definitivt kommer längre ifrån.

Länk till kommentar
Dela på andra webbplatser

Ove Söderlund

Får till typ att ena adressen härrör till en kabeltv-leverantör och den andra adressen hör hemma hos China Telecom Guangxi. Kineser som snokar runt lite?

Länk till kommentar
Dela på andra webbplatser

kabelTV, transit, de jag köper bredbandet av.

 

Andra, inte blekaste.

 

Analyserar lite djupare. På de sju timmar brandväggen varit på, 409 droppade anslutningar/paket. Flest droppade, 90 st, från, 68.67.73.20.. ha, det går till speedguide, nog när jag klickade att de skulle skanna av portarna..

näst vanligast, 41, från

195.54.127.97

Imap.google.com...

 

106 unika adress, hittar några som kommer från Kina, en från USA.

 

Något som sniffar runt.

Inget av detta har kommit förbi routerns NAT tidigare heller tror jag och även om så är datorerna säkrade, hoppas jag.

Länk till kommentar
Dela på andra webbplatser

Portskanningar, letande efter dåligt säkrade FTP-servrar och annat liknande förekommer en hel del på internet.

 

DPT=23

Om det står för Destination Port så är 23 porten för Telnet. Så det kan vara någon som letar efter Telnet-portar som kan utnyttjas.

Länk till kommentar
Dela på andra webbplatser

Ha, ja. Cecilia, så sant.

 

I min teori är då den utskrift som dök upp ett anrop, en scanning, på en viss port i routern. Just denna port är öppen in till skrivaren som då skriver ut exakt vad som skickats.

 

Nu bara hoppas att liknande anrop inte slinker igenom andra portar.

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

×
×
  • Skapa nytt...