21 / tcp: en general, no debe tener este puerto abierto. Debe cambiar a un FTP seguro. Si debe mantenerlo abierto, al menos limite el acceso solo a las direcciones IP que actualizan el contenido.

23 / tcp - Telnet ya no debe usarse. Cambia a SSH.

25 / tcp: esto significa que un servicio de correo electrónico podría estar ejecutándose en este servidor. Si no está ejecutando un correo electrónico, este puerto no debería estar abierto.

110 / tcp - Esto es para recibir correo electrónico. Si no hay un servidor de correo electrónico presente, este puerto no debe estar abierto. Por cierto, si está ejecutando un correo electrónico, debería estar en un servidor diferente. Si tiene poco hardware, puede considerar VMware y crear dos máquinas virtuales, una para la web y otra para el correo electrónico. El acceso al correo electrónico debe estar limitado a aquellos que utilizan una VPN con autenticación.

También están abiertos los puertos de la base de datos para MSSql y MySQL, esta es una configuración muy peligrosa. Implica que personas del exterior pueden acceder directamente a las bases de datos. Si hay bases de datos en este servidor, se deben mover a servidores detrás de otro firewall.

No estoy familiarizado con los otros puertos abiertos. Pero, en general, no deben ser accesibles desde Internet, excepto a través de VPN.

Es necesario cerrar los puertos riesgosos o agregar alguna protección de firewall / VPN para al menos minimizar quién puede acceder a esos puertos.

Una breve nota sobre el uso de banners

El primer y más grande obstáculo al que se enfrentan las evaluaciones de vulnerabilidad o las pruebas de penetración es comprender las limitaciones de cualquier mecanismo de detección que esté usando. Como dijo Rory, realmente no dijiste cómo obtuviste la lista de puertos presentada, sin embargo, se parece a un escaneo NMAP que usa el acaparamiento de pancartas. ¡Esto es importante! El acaparamiento de banners funciona al preguntar a cada puerto escaneado,

  

"¡Hola, viejo amigo! ¿Algo con lo que puedas ayudarme?"

Los resultados se basan en que ambos puedan acceder al puerto y que el servicio responda con precisión.

Problemas con el uso de banners

A menudo encontrará que las distribuciones que intentan proporcionar soporte a largo plazo, siendo RedHat el ejemplo clásico, estos banners no son necesariamente útiles. Normalmente, cuando se encuentra un error en una parte del software (y suponiendo que se solucione), se lanzará una nueva versión que soluciona el problema. A menudo, estas distribuciones de soporte a largo plazo no quieren actualizar ciegamente el software. Por lo tanto, para solucionar errores, el proveedor aplicará manualmente el parche a la versión anterior. Esto a menudo se llama "backporting". Como resultado, el parche se aplica, pero el banner aún dice la versión anterior.

Mejores opciones

Si bien un escaneo rápido de nmap con pancartas puede ser útil, es solo un primer paso que puede ser útil en la identificación de fruta de baja pendiente. Para realmente buena información en su sistema, hay algunas otras cosas que puede hacer.

1. Preguntar : la respuesta más fácil aquí es pedirle a tu amigo la información de configuración del sistema. ¿Qué distribución se está ejecutando, qué archivos binarios están escuchando en cada puerto, qué versiones de software están instaladas, cuál es su programa de parches, cuándo fue el último parcheado, etc. Esto está, por supuesto, limitado a lo que realmente le dice, pero mientras sea confiable y competente, se obtendrá una mejor información.
2. Análisis con credenciales : este es mi favorito personal. Los mejores productos de evaluación de vulnerabilidad podrán, con las credenciales adecuadas y una forma de iniciar sesión en el sistema, realizar una lista de las comprobaciones locales. Así es como uno puede pasar por alto el problema corregido de backported discutido anteriormente. Algunos, como Nessus de Tenable , son gratuitos para su uso en ciertas situaciones y son casi tan completos como sus versiones comerciales.
3. Exploit It! : suponiendo que tenga permiso, siempre puede intentar explotar el servicio. Si tienes éxito, entonces sabes hay un problema. Esto también puede darle la oportunidad de comenzar realmente a probar algunas cosas divertidas, como encontrar y usar exploits conocidos, o conocer un marco como Metasploit.

Algunas recomendaciones generales:

No podía decir de la pregunta qué nivel de escaneo estaba usando. Asegúrese de obtener toda la información sobre las versiones de servicio, confirme que sean correctas, encuentre los parches / versiones más recientes del proveedor y actualice.

Además, ¿necesita tráfico de SQL a través de su firewall? Si no, ¡mátalo!

Y uno menor: tienes ftp y sftp en ejecución. Si es posible, solo debe cerrar ftp por completo, ya que es inherentemente inseguro.

el ProFTPD antiguo podría causar problemas (puede ser un vector de ataque), considerando que Debian antiguo -estable (lenny) tiene ProFTPD versión 1.3.1 Yo diría que:

• Está ejecutando una distribución muy antigua , muy probablemente ya no es compatible,
• Es el número de versión de mod_ssl en ProFTPD, no ProFTPD

nmap realiza la detección de versión real cuando se agrega el conmutador -A , no de forma predeterminada

La falta de números de versión para exim , nginx y dovecot sugeriría la segunda posibilidad.

Solo pregúntele qué distribución está usando, cuándo fue la última vez que realizó una actualización.