reporte de NESSUS

Todo sobre los distintos SSOO de Windows

Moderador: Moderadores

reporte de NESSUS

Notapor EnCoDer » Lun Jun 11, 2007 12:34 am

Resulta que el otro dia, probando el Tennable Nessus para windows me da por escanear mi equipo desde otro ordenador de la red. No salio nada "fuera de lo comun" pero hubo algo que me llamo la antencion:

Imagen

el puerto 2869 tcp según microsoft:
Servicio de descarga SSDP
Código: Seleccionar todo
El Servicio de descarga SSDP implementa el protocolo Simple Service Discovery Protocol (SSDP) como un servicio de Windows. Servicio de descubrimientos SSDP administra el recibo de los anuncios de presencia de dispositivos, actualiza su caché, y pasa estas notificaciones a los clientes con solicitudes de búsqueda pendientes. Servicio de descubrimientos SSDP también acepta el registro de las devoluciones de llamadas a sucesos de los clientes, convierte éstos en solicitudes de suscripción, y supervisa las notificaciones de sucesos. A continuación, pasa estas solicitudes junto con las devoluciones de llamadas registradas. Este servicio del sistema también proporciona los anuncios periódicos a los dispositivos alojados. Actualmente, el servicio de notificación de sucesos de SSDP utiliza el puerto 5000 de TCP. A partir del próximo Service Pack de Windows XP, utilizará el puerto [b]2869 de TCP.[/b]


y mas abajo dice que pertenece a:
UPNP TCP 2869

no conforme con ello, me da por conectarme mediante telnet a dicho puerto, espero unos segundos y al ver que no pasaba nada doy a: control+c y wooop!, me sale esto:
Imagen
es la típica respuesta de un servidor web o me lo parece ami?....
haber que me decis de este caso que me parece curioso, o a lo mejor es de lo mas normal y me estoy comiendo la cabeza ...

ref: http://support.microsoft.com/kb/832017/es
Un saludo 8)
Avatar de Usuario
EnCoDer
<|:-)
<|:-)
 
Mensajes: 252
Registrado: Mié Ene 11, 2006 10:42 pm
Ubicación: Kernel Inside

Notapor Moleman » Lun Jun 11, 2007 5:20 am

Si tiene la pinta de una respuesta "cutre-html".

La solucion rapida es sencilla. Bloquea ese puerto y ves tanteando luego a ver que es lo que "casca".


A primer tiro de google me sale esto:

Trojan.Proxy.Ranky.EL

Descripción: Trojan.Proxy.Ranky.EL opens ports 1900 and 2869 and attempts to contact a computer with IP address 66.185.126.129. It allows a remote attacker to route HTTP traffic through the infected computer.


Aunque tambien me salen referencias al windows y siempre tienes que tener en cuenta que puede ser un puerto modificado a mano al igual que modificas el puerto estandar del emule para que no cante tanto.



Saludines...
Si quiere un trabajo bien hecho... contrate a un profesional: BOFH
-<|:·þ

Imagen
Avatar de Usuario
Moleman
<|:-)
<|:-)
 
Mensajes: 393
Registrado: Mar Feb 01, 2005 3:12 am
Ubicación: Wadalbertia, 3º Cuadrante de la singularidad Cubo-Fregona-Ascensor


Volver a Windows

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 4 invitados

cron