Spero che qualcuno possa far luce su questi risultati di scansione nmap

Question

Spero che qualcuno possa far luce su questi risultati di scansione nmap

#1 da (1 voti)

1

Sono preoccupato che un computer degli amici possa essere compromesso. Si lamentavano del fatto che il computer si scaldasse molto, che fosse difficile mantenere una connessione online, trovare e-mail non-spazzatura nel cestino, ecc. Quindi ho appena fatto una scansione nmap di base del loro IP nmap -Pn -A xx.xx.xx.xx . I risultati di questo sono i seguenti:

PORT     STATE    SERVICE       REASON          VERSION
21/tcp   open     tcpwrapped    syn-ack ttl 64
22/tcp   open     ssh           syn-ack ttl 42  OpenSSH 5.5p1 Debian 6+squeeze3 (protocol 2.0)
53/tcp   open     domain        syn-ack ttl 42
80/tcp   open     http          syn-ack ttl 42  Apache httpd 2.2.16 ((Debian))
111/tcp  open     rpcbind       syn-ack ttl 42  2 (RPC #100000)
514/tcp  open     shell?        syn-ack ttl 42
3389/tcp filtered ms-wbt-server no-response
4899/tcp open     radmin        syn-ack ttl 105 Famatech Radmin 3.X (Radmin Authentication)

rpcinfo: 
   program version   port/proto  service
   100000  2            111/tcp  rpcbind
   100000  2            111/udp  rpcbind
   100024  1          38460/udp  status
   100024  1          48666/tcp  status

Elenca anche ssh-hostkey e quindi sotto ci sono gli elenchi di ssh-dss e ssh-rsa. Non so davvero abbastanza per sapere cosa sto guardando ma molte di queste porte aperte mi preoccupano. So che questo non è un sacco di informazioni, ma basato su questa scansione e tenendo presente che questa persona non è molto orientata al computer c'è un motivo di preoccupazione qui?

network nmap

posta user108511 23.04.2016 - 03:12

fonte

1 risposta

Leggi altre domande sui tag network nmap

Domanda riguardante il concatenamento di due VPN È pull intrinsecamente più sicuro di push?

score 1 · Answer 1

La risposta breve è che le porte aperte non devono allarmare NEL CONTESTO GIUSTO. Eseguo regolarmente pentest e molte di queste porte sono aperte a scopi validi. 514 è un po 'più raro, ma non del tutto sconosciuto per alcune applicazioni, come i giochi (se i giochi dei tuoi amici - questo non è stato menzionato in OP) o l'invio di syslogs.

Con ciò detto, il contesto è importante. Avere la porta 80 e 4899 su un desktop, ad esempio, è un po 'fuori contesto - tuttavia, ho eseguito alcune istanze di software e ho usato il localhost: 80 per usare una GUI (inventario nodered, spiceworks, ecc.). Sono d'accordo con il commento precedente che sembra più un router che un laptop. Se l'IP scansionato termina in .1 o .254, è quasi certamente un router.

La questione più importante non è quali porte sono aperte, ma quali servizi e software sono in esecuzione dietro di loro. Port 3389 è per RDP - è un server che ha bisogno di RDP, per esempio? In caso contrario, si desidera disattivare RDP, poiché presenta una superficie di attacco.

Invece di cercare le porte aperte, usa uno scanner AV con definizioni e firme aggiornate. Il problema è che alcuni malware bloccano le installazioni AV, quindi, se si riscontrano problemi nell'installarlo, si potrebbero generare bandiere rosse. Consiglio vivamente malwarebytes come un buon primo passo nella scansione.

Nel frattempo, non sarebbe male disabilitare gli adattatori di rete finché non sarà possibile eseguire una scansione completa dell'intero disco.