Espero que alguien pueda arrojar algo de luz sobre estos resultados de escaneo de nmap

Question

Espero que alguien pueda arrojar algo de luz sobre estos resultados de escaneo de nmap

#1 de SomeGuy (1 votos)

1

Me preocupa que una computadora de amigos pueda estar en peligro. Se estaban quejando de que la computadora estaba realmente caliente, dificultad para mantener una conexión en línea, encontrar correos electrónicos no deseados no leídos en la basura, etc., así que solo hice un escaneo de nmap muy básico de su IP nmap -Pn -A xx.xx.xx.xx . Los resultados de esto son los siguientes:

PORT     STATE    SERVICE       REASON          VERSION
21/tcp   open     tcpwrapped    syn-ack ttl 64
22/tcp   open     ssh           syn-ack ttl 42  OpenSSH 5.5p1 Debian 6+squeeze3 (protocol 2.0)
53/tcp   open     domain        syn-ack ttl 42
80/tcp   open     http          syn-ack ttl 42  Apache httpd 2.2.16 ((Debian))
111/tcp  open     rpcbind       syn-ack ttl 42  2 (RPC #100000)
514/tcp  open     shell?        syn-ack ttl 42
3389/tcp filtered ms-wbt-server no-response
4899/tcp open     radmin        syn-ack ttl 105 Famatech Radmin 3.X (Radmin Authentication)

rpcinfo: 
   program version   port/proto  service
   100000  2            111/tcp  rpcbind
   100000  2            111/udp  rpcbind
   100024  1          38460/udp  status
   100024  1          48666/tcp  status

También enumera la clave ssh-host y, a continuación, debajo se encuentran las listas de ssh-dss y ssh-rsa. Realmente no sé lo suficiente como para saber lo que estoy viendo, pero varios de estos puertos abiertos me preocupan. Sé que esto no es un montón de información, pero en base a este análisis y teniendo en cuenta que esta persona no está muy orientada a las computadoras, ¿hay algún motivo de preocupación aquí?

network nmap

pregunta user108511 23.04.2016 - 03:12

fuente

1 respuesta

Lea otras preguntas en las etiquetas network nmap

¿Es seguro WebRTC para conectar clientes aleatorios entre sí? ¿Es intrínsecamente más seguro que empujar?

score 1 · Answer 1

La respuesta corta es que los puertos abiertos no deben ser alarmantes EN EL CONTEXTO DERECHO. Realizo pentests regularmente y muchos de estos puertos están abiertos con propósitos válidos. 514 es un poco más infrecuente, pero no del todo desconocido para algunas aplicaciones, como los juegos (si es que tu amigo juega, esto no se mencionó en OP) o el envío de syslogs.

Dicho esto, el contexto es importante. Tener los puertos 80 y 4899 en una computadora de escritorio, por ejemplo, está un poco fuera de contexto; sin embargo, he ejecutado algunas instancias de software y he usado el localhost: 80 para usar una GUI (con nodos, inventario de spiceworks, etc.). Estoy de acuerdo con el comentario anterior de que esto se parece más a un enrutador que a una computadora portátil. Si el IP escaneado finaliza en .1 o .254, es casi seguro que es un enrutador.

La pregunta más importante no es qué puertos están abiertos, sino qué servicios y software se están ejecutando detrás de ellos. El puerto 3389 es para RDP. ¿Es este un servidor que necesita RDP, por ejemplo? Si no es así, ciertamente desea deshabilitar el RDP, ya que presenta una superficie de ataque.

En lugar de buscar puertos abiertos, use un escáner AV con definiciones y firmas actualizadas. El problema es que algunos programas maliciosos bloquean las instalaciones de AV, por lo que si tiene problemas para instalarlo, se producirían señales de alerta. Recomiendo encarecidamente malwarebytes como un buen primer paso en el escaneo.

Mientras tanto, no estaría de más deshabilitar sus adaptadores de red hasta que pueda ejecutar un análisis completo de todo su disco.