Hallo Martin,

PORT STATE SERVICE

• 22/tcp open ssh
• 80/tcp open http
• 110/tcp open pop3 ## den könnte ich noch schließen...
• 135/tcp filtered msrpc
• 139/tcp filtered netbios-ssn
• 143/tcp open imap
• 443/tcp open https
• 445/tcp filtered microsoft-ds
• 465/tcp open smtps
• 587/tcp open submission
• 993/tcp open imaps
• 995/tcp open pop3s
• 3306/tcp open mysql
• 49152/tcp filtered unknown

mich überraschen hier mehrere Dinge. Zum Beispiel, dass Microsoft-imitierende Dienste (RPC an 135, Samba an 139, Microsoft Directory Services an 445) zumindest auch von draußen ansprechbar sind, auch wenn sie vielleicht nicht antworten. Und auch, dass der SQL-Server von außen erreichbar ist. Ist das Absicht? Und Port 49152 verunsichert mich auch ein bisschen; meine Schnell-Recherche lässt mich vermuten, dass der was mit UPNP zu tun haben könnte.

Das ist auch neu. die "filtered" hatte ich vor ca. 2 Monaten noch nicht in meiner Liste. MySQL ist von außen per SSL erreichbar. Das ist Absicht. Es wird auch ca. 180x pro Woche versucht, darauf unberechtigt (6 Fehlversuche) zuzugreifen.

Die mit (filtered) gekennzeichneten werden von nmap (von außen) angezeigt, weil es da keine Antwort bekommt. Da läuft nix, was dazu passen könnte und was ich sehen könnte, Linux-Viren also ausgenommen.

Doch, da läuft was, "jemand" lauscht da zumindest. Sonst wäre der Port nicht offen, d.h. ansprechbar.

Und welche von den anderen Ports hättest Du in Verdacht für IGMP- und UDP-Traffic an Multicast-Adressen?

Wie gesagt, 49152 stößt mir irgendwie sauer auf, weil ich da keine eindeutige, klare Auskunft finde.

Der stößt mir allerdings auch auf. Das ist normalerweise Windows DCOM. Was das nun auf einem Linux-Host zu suchen hat, ist mir auch noch nicht klar.

Ich habe jetzt mal den Service meines Dienstleisters befragt. Mal schauen, was die antworten.

Da der Host ohnehin in ein paar Tagen auf eine neue Maschine umziehen soll, wäre es sicherlich gut, den Schmuddelkram nicht mitzunehmen. Das muss auf jeden Fall vorher noch geklärt werden.

Grüße
TS