UDP port 10001 wordt gescand

Pagina: 1
Acties:

Vraag


  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 21:31
Mijn vraag
bij toeval keek ik vandaag in mijn OPNsense firewall Live View,
en zag hierin dat "men" poort 10001 aan het scannen is (elke paar seconden)
Ik vraag mij af wat hierachter zit en waarom poort 10001?
Ik heb enkele IP adressen genoteerd, sommige zijn afkomstig van het Caiway netwerk (is ook mijn eigen ISP).
Poort 10001 gebruik ik zelf niet, staat dus dicht.

Relevante software en hardware die ik gebruik
OPNsense 22.7.9

Wat ik al gevonden of geprobeerd heb
Wireshark
virusscanner (niks gevonden)
google

Alle reacties


Acties:
  • +1 Henk 'm!

  • citruspers
  • Registratie: December 2009
  • Laatst online: 17:12
Ziet er uit alsof die poort gebruikt wordt door Ubiquity's discovery protocol.

Vermoedelijk mensen met Ubiquity / Unifi apparatuur met een verkeerde instelling waardoor ze ook vrolijk op de WAN interface proberen te discoveren: https://community.ui.com/...3e-43e1-9c8b-d24e6d905c85

I'm a photographer, not a terrorist


  • Ruben279
  • Registratie: Augustus 2018
  • Laatst online: 19:58
10001 is de discovery poort voor Unifi devices, maar ook voor SCP-config.

Als echt dat bij een Unifi device (zal wel iets van een USG of UDM zijn) weg komt zou je het bij Caiway kunnen melden, aangezien het nogal wat onnodige packets veroorzaakt en het niet wenselijk is dat er steeds wordt 'aangeklopt' bij jouw (maar waarschijnlijk ook de andere klanten) router.

Hier staan nog wat well-known applicaties die 10001 gebruiken, maar technisch gezien kan er elke service aangehangen worden -> https://www.speedguide.net/port.php?port=10001

SCP-config exploit levert wel aardig wat hits op, maar gezien er elke x aantal seconden aangeklopt wordt verwacht ik dat het een lekker ingesteld Unifi device is.

Acties:
  • 0 Henk 'm!

  • lier
  • Registratie: Januari 2004
  • Laatst online: 17:59

lier

MikroTik nerd

Heel herkenbaar en zit zelf op het Delta netwerk.
citruspers schreef op donderdag 22 december 2022 @ 22:34:
Vermoedelijk mensen met Ubiquity / Unifi apparatuur met een verkeerde instelling waardoor ze ook vrolijk op de WAN interface proberen te discoveren: https://community.ui.com/...3e-43e1-9c8b-d24e6d905c85
De instellingsfout zit, naar mijn inschatting, in het glasmodem van Caiway/Delta. @Ruben279 benoemt een goed punt, zal het ook eens opnemen met Delta.

Eerst het probleem, dan de oplossing


Acties:
  • 0 Henk 'm!

  • EverLast2002
  • Registratie: Maart 2013
  • Laatst online: 21:31
Inmiddels is er een nieuwe poortscan bij: 2190 udp
Zou iets van tivoconnect zijn.
Ook afkomstig van Caiway klanten/netwerk.

EDIT:
ik mag geen IP adressen noemen denk ik, maar ik zie in mijn firewall log een aantal
scans vanaf een Caiway IP adres dat vervolgens naar een ander Caiway IP adres scant dat niet mijn eigen publieke IP is....

voorbeeld:
204.xxx.xxx.xxx [xxx-xxx-xxx-204.dynamic.caiway.nl] port 137 udp, destination 204.xxx.xxx.xxx [xxx-xxx-xxx-204.dynamic.caiway.nl]

[ Voor 59% gewijzigd door EverLast2002 op 23-12-2022 17:50 ]