Resultados de varredura da porta estranha usando o nmap

Navegue suas respostas
2

Eu estava digitalizando um dos meus servidores amigos usando o nmap e obtive esses detalhes da porta. 

PORT      STATE    SERVICE
22/tcp    open     ssh
42/tcp    filtered nameserver
80/tcp    open     http
111/tcp   open     rpcbind
135/tcp   filtered msrpc
139/tcp   filtered netbios-ssn
161/tcp   filtered snmp
179/tcp   filtered bgp
443/tcp   open     https
1028/tcp  filtered unknown
1080/tcp  filtered socks 
3128/tcp  filtered squid-http
6666/tcp  filtered irc
6667/tcp  filtered irc
6668/tcp  filtered irc
7402/tcp  open     unknown
10082/tcp open     amandaidx

E quando eu entrei na máquina usando o SSh e fiz a varredura novamente usando o nmap, obtive o seguinte resultado 

PORT      STATE SERVICE
22/tcp    open  ssh
25/tcp    open  smtp
80/tcp    open  http
111/tcp   open  rpcbind
443/tcp   open  https
631/tcp   open  ipp
7402/tcp  open  rtps-dd-mt
10082/tcp open  amandaidx

Por que a pergunta é por que está mostrando as portas do IRC e as Portas do Squid na primeira varredura? Nós não temos nada instalado nele. É uma caixa dedicada e não roda na VM. Existe alguma possibilidade de que possa ter sido comprometida? Ele não tem nenhum IPtables também.

    
por user994535 14.09.2012 / 20:00

2 respostas

4

As diferenças se devem à interface na qual cada serviço está escutando e à filtragem feita pelo seu provedor de serviços de Internet (ISP). Quando não há firewall entre o host de varredura e o destino, as portas TCP fechadas respondem com um pacote RST e podem ser razoavelmente assumidas como realmente fechadas. Um firewall que tenha sido configurado para bloquear uma porta silenciosamente descartará todos os pacotes para essa porta, para que o host de varredura não veja resposta. O Nmap indica esse status como filtered , pois não há como saber se a porta está realmente aberta ou fechada.

Os dois serviços que não aparecem na primeira varredura (25 / tcp e 631 / tcp) provavelmente estarão ouvindo apenas na interface de loopback. Você pode verificar isso executando netstat -tln e olhando a coluna "Endereço local". Se o Endereço Local for 0.0.0.0:631 , ele estará escutando em todas as interfaces disponíveis. Se for 127.0.0.1:631 , ele estará escutando apenas na interface de loopback e não estará aberto à rede.

    
por 14.09.2012 / 20:11
2

Essas portas provavelmente estão sendo filtradas pelo provedor de serviços de Internet do seu amigo.

    
por 14.09.2012 / 20:03

Tags

Como eu redireciono a saída para uma única linha no Bash? Mover a instalação do servidor SQL para a nova máquina?