Estranhos acessos na porta 2703

4

Estou recebendo essas mensagens de console periódicas no meu Mac:

7/22/11 8:01:03.925 AM Firewall: Stealth Mode connection attempt to UDP 10.0.0.1:2703 from 91.143.232.133:15881
7/22/11 8:01:05.885 AM Firewall: Stealth Mode connection attempt to UDP 10.0.0.1:2703 from 91.143.232.133:15881
7/22/11 8:01:09.926 AM Firewall: Stealth Mode connection attempt to UDP 10.0.0.1:2703 from 91.143.232.133:15881

Executou whois 91.143.232.133 e obteve:

inetnum:        91.143.232.128 - 91.143.232.143
netname:        CVIDIA
descr:          CVIDIA  ltd
country:        il
admin-c:        OH341-RIPE
tech-c:         OH341-RIPE
status:         ASSIGNED PA
mnt-by:         QOS-ISP-MNT
source:         RIPE # Filtered

Selecionado para onde o IP leva, ele leva até aqui: link

Eu li que a porta 2703 é usada para bate-papo por SMS, mas também pode ser usada por um trojan.

Eu deveria estar preocupado?

    
por Konzepz 22.07.2011 / 07:38

2 respostas

3

Resposta curta:

É muito improvável que isso represente uma ameaça à sua máquina.

Resposta longa:

A menos que você tenha um programa em execução na sua máquina que esteja recebendo os pacotes [normalmente chamado de daemon ], o sistema não será afetado. Pode ser uma boa idéia fazer uma varredura da porta UDP com um programa como Nmap para descobrir se essa porta está aberta.

Como este é o UDP [conhecido coloquialmente como o "Unimportant Data Protocol"], que requer que o programa no fim de recepção inicie uma conexão de saída para que o remetente tenha QUALQUER idéia se estiver passando, isso provavelmente não é t uma tentativa de sonda. A maioria dos scanners de rede usa pacotes TCP SYN para verificar se uma porta está aberta ou não. As chances são de que isso é apenas uma questão de 91.143.232.133 apenas enviando seus pacotes para o host errado. Talvez o host remoto esteja apenas enviando pacotes UDP para a porta 2703 de todos os hosts da Internet.

Se você estiver realmente preocupado, pode configurar seu firewall para bloquear todos os pacotes desse host ou fechar a porta completamente se não estiver usando-a.

Eu costumava ficar realmente preocupado quando recebia mensagens de log dizendo que pacotes não solicitados estavam chegando em portas fechadas, mas isso nunca equivalia a nada. Agora nem olho para as mensagens.

    
por 22.07.2011 / 07:58
3

Seu software de firewall está assustando você desnecessariamente. Primeiro: "modo stealth" não é furtivo a todos. Significa apenas que sua máquina não enviou uma resposta de "porta inacessível" do ICMP / IP para os datagramas recebidos. Segundo: O UDP / IP é sem conexão, diferente do TCP / IP, então não houve nenhuma "tentativa de conexão".

A porta UDP / IP 2703 é usado pelo Microsoft System Management Server para seu "bate-papo remoto" função . Alguém nesse endereço IP está usando o SMS para tentar realizar um bate-papo remoto com você ou com quem usou seu endereço IP antes de você. Isso pode ser benigno, alguém que não sabe que quem quer que tenha o seu endereço IP antes não está mais usando esse endereço, ou pode ser malicioso, alguém procurando ver se você tem o SMS Client instalado de forma insegura para que possa tentar usar suas funções de controle remoto para controlar sua máquina.

Mas como o seu firewall está simplesmente soltando o tráfego UDP / IP de entrada, sem mesmo enviar uma resposta ICMP / IP, em qualquer um dos casos não há motivo para ação de sua parte.

    
por 22.07.2011 / 11:18