DOMANDA strane connessioni da MyCloud WD -> powered by Debian

[Josten]

Salve a tutti, da quando ho acquistato questo piccolo giocattolino, ho notato strane connessioni su windozzz, andando su rete trovo quasi sempre un dispositivo che con la mia rete non ha nulla a che fare, solitamente telefoni smartphone delle più svariate marche. NGB, samsung, ecc.. sono sicuro che siano telefoni perche tramite il macaddress sono riuscito a rintracciarne il produttore, altri invece spuntano proprio con le scritte OEM produttore, nome dispositivo ecc..

allego uno screen...

ho provato a cercare delle porte aperte sul wd tramite ssh ma sono davvero tante e non riesco a capire quali siano quelle che potrebbero fungere da backdoor

idee??

 

[alex87alex]

collegati in ssh al nas e digita con permessi di amministratore:

netstat -tualpn

 

[Josten]

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:42849           0.0.0.0:*               LISTEN      7275/rpc.mountd
tcp        0      0 0.0.0.0:2049            0.0.0.0:*               LISTEN      -
tcp        0      0 0.0.0.0:49153           0.0.0.0:*               LISTEN      5278/upnp_nas_devic
tcp        0      0 0.0.0.0:9091            0.0.0.0:*               LISTEN      9992/transmission-d
tcp        0      0 192.168.1.3:9443        0.0.0.0:*               LISTEN      7911/twonkyserver
tcp        0      0 127.0.0.1:9443          0.0.0.0:*               LISTEN      7911/twonkyserver
tcp        0      0 0.0.0.0:548             0.0.0.0:*               LISTEN      7409/afpd
tcp        0      0 192.168.1.3:9000        0.0.0.0:*               LISTEN      7911/twonkyserver
tcp        0      0 127.0.0.1:9000          0.0.0.0:*               LISTEN      7911/twonkyserver
tcp        0      0 0.0.0.0:3689            0.0.0.0:*               LISTEN      7868/forked-daapd
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      7323/smbd
tcp        0      0 0.0.0.0:52430           0.0.0.0:*               LISTEN      7275/rpc.mountd
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      4085/rpcbind
tcp        0      0 0.0.0.0:42064           0.0.0.0:*               LISTEN      7275/rpc.mountd
tcp        0      0 0.0.0.0:59697           0.0.0.0:*               LISTEN      -
tcp        0      0 0.0.0.0:51413           0.0.0.0:*               LISTEN      9992/transmission-d
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      7010/sshd
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN      7323/smbd
tcp        0    144 192.168.1.3:22          192.168.1.214:57829     ESTABLISHED 13207/0
tcp6       0      0 :::2049                 :::*                    LISTEN      -
tcp6       0      0 :::42243                :::*                    LISTEN      7275/rpc.mountd
tcp6       0      0 :::52711                :::*                    LISTEN      -
tcp6       0      0 :::3689                 :::*                    LISTEN      7868/forked-daapd
tcp6       0      0 :::139                  :::*                    LISTEN      7323/smbd
tcp6       0      0 :::56205                :::*                    LISTEN      7275/rpc.mountd
tcp6       0      0 :::111                  :::*                    LISTEN      4085/rpcbind
tcp6       0      0 :::80                   :::*                    LISTEN      6525/apache2
tcp6       0      0 :::55283                :::*                    LISTEN      7275/rpc.mountd
tcp6       0      0 :::51413                :::*                    LISTEN      9992/transmission-d
tcp6       0      0 :::8181                 :::*                    LISTEN      7296/restsdk-server
tcp6       0      0 :::22                   :::*                    LISTEN      7010/sshd
tcp6       0      0 :::443                  :::*                    LISTEN      6525/apache2
tcp6       0      0 ::1:4700                :::*                    LISTEN      7410/cnid_metad
tcp6       0      0 :::445                  :::*                    LISTEN      7323/smbd
udp        0      0 0.0.0.0:2049            0.0.0.0:*                           -
udp        0      0 0.0.0.0:38966           0.0.0.0:*                           4482/dhclient
udp        0      0 0.0.0.0:68              0.0.0.0:*                           4482/dhclient
udp        0      0 0.0.0.0:111             0.0.0.0:*                           4085/rpcbind
udp        0      0 192.168.1.255:137       0.0.0.0:*                           7319/nmbd
udp        0      0 192.168.1.3:137         0.0.0.0:*                           7319/nmbd
udp        0      0 0.0.0.0:137             0.0.0.0:*                           7319/nmbd
udp        0      0 192.168.1.255:138       0.0.0.0:*                           7319/nmbd
udp        0      0 192.168.1.3:138         0.0.0.0:*                           7319/nmbd
udp        0      0 0.0.0.0:138             0.0.0.0:*                           7319/nmbd
udp        0      0 0.0.0.0:55469           0.0.0.0:*                           7911/twonkyserver
udp        0      0 0.0.0.0:51413           0.0.0.0:*                           9992/transmission-d
udp        0      0 0.0.0.0:53610           0.0.0.0:*                           -
udp        0      0 0.0.0.0:35255           0.0.0.0:*                           7275/rpc.mountd
udp        0      0 0.0.0.0:47634           0.0.0.0:*                           7868/forked-daapd
udp        0      0 239.192.152.143:6771    0.0.0.0:*                           9992/transmission-d
udp        0      0 0.0.0.0:53945           0.0.0.0:*                           9992/transmission-d
udp        0      0 0.0.0.0:37671           0.0.0.0:*                           7275/rpc.mountd
udp        0      0 0.0.0.0:861             0.0.0.0:*                           4085/rpcbind
udp        0      0 127.0.0.1:23457         0.0.0.0:*                           7931/wdmcserver
udp        0      0 192.168.1.3:1030        0.0.0.0:*                           7911/twonkyserver
udp        0      0 0.0.0.0:37940           0.0.0.0:*                           7275/rpc.mountd
udp        0      0 0.0.0.0:48306           0.0.0.0:*                           7486/mDNSResponderP
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           7911/twonkyserver
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           7486/mDNSResponderP
udp        0      0 127.0.0.1:54529         0.0.0.0:*                           5278/upnp_nas_devic
udp        0      0 192.168.1.3:38436       192.168.1.2:5351        ESTABLISHED 9992/transmission-d
udp        0      0 0.0.0.0:46891           0.0.0.0:*                           7868/forked-daapd
udp        0      0 192.168.1.3:1900        0.0.0.0:*                           7911/twonkyserver
udp        0      0 239.255.255.250:1900    0.0.0.0:*                           7911/twonkyserver
udp        0      0 0.0.0.0:1900            0.0.0.0:*                           5278/upnp_nas_devic
udp6       0      0 :::2049                 :::*                                -
udp6       0      0 :::111                  :::*                                4085/rpcbind
udp6       0      0 :::49386                :::*                                7868/forked-daapd
udp6       0      0 :::43559                :::*                                -
udp6       0      0 :::41620                :::*                                4482/dhclient
udp6       0      0 :::60105                :::*                                7868/forked-daapd
udp6       0      0 :::41805                :::*                                7275/rpc.mountd
udp6       0      0 :::861                  :::*                                4085/rpcbind
udp6       0      0 :::33816                :::*                                7275/rpc.mountd
udp6       0      0 :::38798                :::*                                7275/rpc.mountd

nel frattempo su rete c'era questo:


da premettere che transmission era con un solo torrent in pausa (quindi non in seed e non in ricerca tracker)


ps 192.168.1.3 è lo stesso WD il quale a quanto ho capito utilizza twonky come server dlna

 

[alex87alex]

Domande random:
- twonky è accessibile tramite password?
- nei vari log del router hai visto se ci sono ip diversi dal solito?
- hai provato a fare un nmap sul tuo ip pubblico?
- c'è qualche porta volontariamente lasciata aperta sul router?
- hai settato lo scarico automatico dei metadati da internet su twonky per i tuoi files multimediali?

 

[Josten]

1- andando su http://192.168.1.3:9000/ riesco ad accedere alla pagina di twonky.. tuttavia non c'è alcuna password e riesco liberamente ad accedere (da locale)
2- purtroppo ho appena constatato che il log nel mio router (DLINK DIR-868L) era disabilitato di default :S
3- no, ho scaricato zenmap una gui che utilizza nmap su windows e vedo che trova...
4- si l'unica che ho volontariamente aperto è questa per transmission 51413 sia in tcp che udp
5- non che io sappia, tra le varie impostazioni non vedo ricerca dei metadati, difatti per aggiornarli ho sempre dovuto ricorrere a xbmc che lo fa sotto richesta (quando accendo il pc "da salotto" )

 

[alex87alex]

Prova ad usare il filtraggio dei client connessi al router tramite mac address. Se hai il wps attivo, disabilitalo. Nmap puoi anche usarlo online, esempio questo Nmap Online - Highly customizable scanning of network hosts

 

[Ico Bellungi]

Se di quei telefoni viene identificato il MAC address ma non hanno un indirizzo IP significa che non sono collegati alla rete.
Concordo con @alex87alex: nmap sul tuo ip pubblico (non sarebbe male se potessi farlo dall'esterno) e guardi quali porte hai aperte.
Non mi preoccuperei, comunque

 

[Josten]

Starting Nmap 6.47 ( http://nmap.org ) at 2016-02-09 11:16 Coordinated Universal Time
Nmap scan report for host69-109-dynamic.55-79-r.retail.telecomitalia.it (79.xxx.xxx.xxx)
Host is up (0.20s latency).
Not shown: 65534 filtered ports
PORT STATE SERVICE
51413/tcp open unknown
 
Nmap done: 1 IP address (1 host up) scanned in 344.64 seconds

l'unica porta aperta dall'esterno risulta quella di transmission... provo a chiuderla per vedere che succede ma in upnp non riesce mai a scaricare decentemente :grat:

magari conviene cambiarla?

 

[Ico Bellungi]

Re: strane connessioni da MyCloud WD -> powered by Debian

Ma no lasciala pure aperta. Quei telefoni in elenco sono telefoni col wifi attivo che fanno broadcast sulle reti wifi che trovano, o magari gente che ha cliccato per sbaglio sulla tua rete ed ha dato il mac address per "presentarsi" o, al limite, qualcuno che ha provato col telefono a indovinarla.
Abilita il logging del router, e se c'è qualche connessione che puzza inizi ad indagare, altrimenti fregatene

- - - Updated - - -

O roba bluetooth, magari, oppure gente che è o è stata in attesa di una risposta da un WPS... comunque sei in buona compagnia:
networking - Windows 10: Phones appearing in Network - Super User
Unknown phones showing up connected to my network - Internet, Network & Security - Neowin Forums
Why is an unknown cell phone showing up on my network - Forums - CNET
unknown phone appears as a conected devices in my network map. - Microsoft Community

 

[Josten]

Re: strane connessioni da MyCloud WD -> powered by Debian

.. o magari gente che ha cliccato per sbaglio sulla tua rete ed ha dato il mac address per "presentarsi" o, al limite, qualcuno che ha provato col telefono a indovinarla...

If I hide my SSID this issue stops. As soon as my router SSID is visible, phones start appearing again.

stavo pensando a questa soluzione.. ps3 , smart tv e tutti gli altri dispositivi che già conoscono la rete non avranno problemi se la nascondo no?

 

[Ico Bellungi]

Re: strane connessioni da MyCloud WD -> powered by Debian

stavo pensando a questa soluzione.. ps3 , smart tv e tutti gli altri dispositivi che già conoscono la rete non avranno problemi se la nascondo no?

Non lo so, prova, al limite rimetti visibile l'ESSID.
Comunque è il tuo PC a vedere quei MAC address, non il router. Mi sa che è Windows che broadcasta e sniffa pacchetti che volano per aria

 

[cdtux]

Re: strane connessioni da MyCloud WD -> powered by Debian

stavo pensando a questa soluzione.. ps3 , smart tv e tutti gli altri dispositivi che già conoscono la rete non avranno problemi se la nascondo no?

Se negli altri dispositivi i dati della connessione (ESSID, password, ecc..), una volta correttamente impostata, rimangono "salvati" in qualche modo (e da quanto ne so lo fanno tutti i dispositivi, altrimenti dovresti inserire la password ogni volta che provi ad accedere alla rete wifi..), non avrai problemi.

Che windows usi?? il 10??

 

[Josten]

Re: strane connessioni da MyCloud WD -> powered by Debian

Se negli altri dispositivi i dati della connessione (ESSID, password, ecc..), una volta correttamente impostata, rimangono "salvati" in qualche modo (e da quanto ne so lo fanno tutti i dispositivi, altrimenti dovresti inserire la password ogni volta che provi ad accedere alla rete wifi..), non avrai problemi.

Che windows usi?? il 10??

si 10 Pro .. comunque sono indeciso tra nascondere ESSID o disattivare il wps.. a quanto ho capito è proprio perchè le persone provano a connettersi che si vedono queste connessioni... vorrei capire perchè riesco a vedere i telefoni altrui e del mio anche se connesso nella lan tramite wifi manco l'ombra :muro: sto winzozz che sniffa nei posti sbagliati..

 

[alex87alex]

Il wps DEVI spegnerlo, anche il bimbominkkia riesce a bucarlo......

 

[Josten]

Il wps DEVI spegnerlo, anche il bimbominkkia riesce a bucarlo......

credo non si possa disabilitare -_- ... cioè dico manco il pirelli "vela" con firmware beghiero era così limitato ...:muro: