いくつかのポートはnmapでオープンされているとリストされていますが、サーバでリッスンするポートはわずかです。

Question

私は、同じLAN内の私のサーバの1つにnmapの持つポートをスキャンしようとしたと私は多くのポートが開かれました：

Host is up (0.058s latency). 
Not shown: 993 closed ports 
PORT STATE SERVICE 
22/tcp open ssh 
80/tcp open http 
110/tcp open pop3 
143/tcp open imap 
993/tcp open imaps 
995/tcp open pop3s 
3306/tcp open mysql 

はそう、私はサービスが聞いているかを確認するためにサーバにログインし、そこにはわずか数です

netstat -plnt 
Active Internet connections (only servers) 
Proto Recv-Q Send-Q Local Address   Foreign Address   State  PID/Program name 
tcp  0  0 0.0.0.0:3306   0.0.0.0:*    LISTEN  1205/mysqld 
tcp  0  0 0.0.0.0:22    0.0.0.0:*    LISTEN  32225/sshd 
tcp6  0  0 :::22     :::*     LISTEN  32225/sshd 
tcp6  0  0 :::4118     :::*     LISTEN  1264/ds_agent 

なぜ、それらのポートがnmapにリストされ、どのように閉じられるのですか？

Answer 1

Nmapスキャンに--reasonオプションを追加すると、各ポートに関する情報が表示されます。これは、応答がターゲットとは異なるソースから来たときを明らかにするのに役立ちます。たとえば、ttlの差に基づいて22/tcp open ssh syn-ack ttl 60が表示され、110/tcp open pop3 syn-ack ttl 63と表示された場合、その応答はさまざまなターゲットからのものと考えられます。あなたはLAN上にいると言いますから、これはあまりありません。

スキャンしたときにポートが開いていた可能性もありますが、確認するためにログインした時点でリッスンしていたプロセスはオフになっていました。同じポートが開いていることを確認できますか？メールサーバーサービスの開始と停止のログを確認できますか？

もう1つの可能性は、ルートキットです。これは、ホスト上の診断ツール（netstatなど）からその動作を慎重に隠すマルウェアです。この可能性は、あなたがリストしたポートに基づいている可能性は低く、代わりにメールサーバと一致しています。マルウェアは多くの一般的に使用されているポートで受信する可能性は低いですが、一般的なケースとして言及する価値があります。