MUCHOS puertos filtrados en mi servidor

Navega tus respuestas
1

Estoy configurando un servidor dedicado (4 días de actividad, aún no en producción). Soy un programador, no soy un administrador de sistemas o un experto en seguridad, así que tengan paciencia conmigo.

Acabo de intentar escanearlo con nmap -p- -T5 -Pn -sV -v para ver cómo se ve desde afuera y este fue el resultado 

PORT      STATE    SERVICE         VERSION
22/tcp    open     ssh             OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)
80/tcp    open     http            Apache httpd 2.4.18 ((Ubuntu))
445/tcp   filtered microsoft-ds
554/tcp   open     tcpwrapped
4223/tcp  filtered unknown
6010/tcp  open     x11?
7070/tcp  open     tcpwrapped
7190/tcp  filtered unknown
8078/tcp  filtered unknown
16946/tcp filtered unknown
17444/tcp filtered unknown
27238/tcp filtered unknown
29292/tcp filtered unknown
29683/tcp filtered unknown
32786/tcp filtered sometimes-rpc25
41551/tcp filtered unknown
43397/tcp filtered unknown
48553/tcp filtered unknown
53487/tcp filtered unknown
54580/tcp filtered unknown
55489/tcp filtered unknown
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

No hace falta decir que esto me asustó un poco, revisé el history de todos los usuarios (root y yo mismo, no hay otros usuarios que inician sesión) y no encontré nada extraño. Tengo fuerzas brutas continuas en ssh pero creo que esto es normal, fail2ban está haciendo su trabajo bien.

Después de un reinicio, deteniendo Apache y probando otro nmap, obtuve esto. 

PORT     STATE SERVICE    VERSION
22/tcp   open  ssh        OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)
554/tcp  open  tcpwrapped
7070/tcp open  tcpwrapped
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

¿Por qué tengo tantos puertos filtrados (y abiertos)?

En este servidor solo instalé la pila LAMP, kvm y snort. Snort no tiene un lector de registro todavía, pero está todo en la base de datos (¿Podría recomendarme uno también? Necesito PHP7)

ACTUALIZACIÓN: El resultado filtrado de los puertos mientras el snort no se está ejecutando , si lo inicio solo se muestran los puertos abiertos. Además, los puertos filtrados cambian cada vez que ejecuto nmap . ¿Por qué el comportamiento es tan inconsistente, podría ser simplemente la pérdida de paquetes en el SYN / ACK? No entiendo este comportamiento y me gustaría.

    
pregunta Andrea Fiocchi 28.12.2017 - 13:08
fuente

0 respuestas

Lea otras preguntas en las etiquetas

Mejores prácticas de identificación de dispositivos móviles Exploración inactiva con una máquina con Windows 10 como Zombie