MOLTE LOTTE di porte filtrate sul mio server

1

Sto configurando un server dedicato (4 giorni di operatività, non ancora in produzione). Sono un programmatore, non un amministratore di sistema o un esperto di sicurezza, quindi abbi pazienza con me.

Ho appena provato a portscan con nmap -p- -T5 -Pn -sV -v per vedere come appare dall'esterno e questo è stato il risultato

PORT      STATE    SERVICE         VERSION
22/tcp    open     ssh             OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)
80/tcp    open     http            Apache httpd 2.4.18 ((Ubuntu))
445/tcp   filtered microsoft-ds
554/tcp   open     tcpwrapped
4223/tcp  filtered unknown
6010/tcp  open     x11?
7070/tcp  open     tcpwrapped
7190/tcp  filtered unknown
8078/tcp  filtered unknown
16946/tcp filtered unknown
17444/tcp filtered unknown
27238/tcp filtered unknown
29292/tcp filtered unknown
29683/tcp filtered unknown
32786/tcp filtered sometimes-rpc25
41551/tcp filtered unknown
43397/tcp filtered unknown
48553/tcp filtered unknown
53487/tcp filtered unknown
54580/tcp filtered unknown
55489/tcp filtered unknown
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Inutile dire che questo mi ha spaventato un po ', ho controllato il history di tutti gli utenti (root e io, non ci sono altri utenti di login) e non ho trovato nulla di strano. Ho bruteforces continuo su ssh ma credo che sia normale, fail2ban sta facendo bene il suo lavoro.

Dopo un riavvio, l'arresto di apache e il tentativo di un'altra nmap ho ottenuto questo.

PORT     STATE SERVICE    VERSION
22/tcp   open  ssh        OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)
554/tcp  open  tcpwrapped
7070/tcp open  tcpwrapped
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Perché ho così tante porte filtrate (e aperte)?

Su questo server ho installato solo lo stack LAMP, kvm e snort. Snort non ha ancora un log reader ma è tutto nel DB (potresti raccomandarne uno anche io? Richiedo PHP7)

UPDATE: Le porte risultano filtrate mentre snort è non in esecuzione , se lo avvio, vengono visualizzate solo le porte aperte. Inoltre, le porte filtrate cambiano ogni volta che eseguo nmap . Perché il comportamento è così incoerente, potrebbe essere semplicemente la perdita di pacchetti su SYN / ACK? Non capisco questo comportamento e mi piacerebbe.

    
posta Andrea Fiocchi 28.12.2017 - 13:08
fonte

0 risposte

Leggi altre domande sui tag