Discussion :

[unrealw]

Bonjour,
J'ai pris un petit serveur chez un hébergeur, je n'ai pas fait grand choses dessus à part mettre a jour la distribution et modifier la configuration de ssh, voici tout les ports d'ouvert :

root@server:~# netstat --listen
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 localhost.localdom:smtp *:* LISTEN
tcp 0 0 localhost.localdoma:953 *:* LISTEN
tcp 0 0 *:microsoft-ds *:* LISTEN
tcp 0 0 *:52100 *:* LISTEN
tcp 0 0 localhost.lo:submission *:* LISTEN
tcp 0 0 *:netbios-ssn *:* LISTEN
tcp 0 0 *:sunrpc *:* LISTEN
tcp 0 0 *:http *:* LISTEN
tcp 0 0 server:domain *:* LISTEN
tcp 0 0 127.0.0.2:domain *:* LISTEN
tcp 0 0 localhost.locald:domain *:* LISTEN
tcp6 0 0 localhost:953 [::]:* LISTEN
tcp6 0 0 [::]:microsoft-ds [::]:* LISTEN
tcp6 0 0 [::]:52100 [::]:* LISTEN
tcp6 0 0 [::]:netbios-ssn [::]:* LISTEN
tcp6 0 0 [::]:sunrpc [::]:* LISTEN
tcp6 0 0 [::]:domain [::]:* LISTEN
udp 0 0 *:sunrpc *:*
udp 0 0 127.0.0.2:netbios-ns *:*
udp 0 0 127.0.0.2:netbios-ns *:*
udp 0 0 server:netbios-ns *:*
udp 0 0 server:netbios-ns *:*
udp 0 0 *:netbios-ns *:*
udp 0 0 127.0.0.2:netbios-dgm *:*
udp 0 0 127.0.0.2:netbios-dgm *:*
udp 0 0 server:netbios-dgm *:*
udp 0 0 server:netbios-dgm *:*
udp 0 0 *:netbios-dgm *:*
udp 0 0 server:domain *:*
udp 0 0 127.0.0.2:domain *:*
udp 0 0 localhost.locald:domain *:*
udp 0 0 *:853 *:*
udp6 0 0 [::]:sunrpc [::]:*
udp6 0 0 [::]:domain [::]:*
udp6 0 0 [::]:853 [::]:*

Et voici ce que donne nmap depuis ma machine (pc) :

root@pc:# nmap -sS -Pn xxx.xxx.xxx.xxx

Starting Nmap 7.12 ( https://nmap.org ) at 2016-06-29 01:33 CEST
Nmap scan report for xxx.xxx.xxx.xxx
Host is up (0.090s latency).
Not shown: 993 closed ports
PORT STATE SERVICE
25/tcp filtered smtp
53/tcp open domain
80/tcp open http
111/tcp open rpcbind
139/tcp open netbios-ssn
445/tcp open microsoft-ds
49152/tcp filtered unknown

Nmap done: 1 IP address (1 host up) scanned in 5.10 seconds

J'aimerais seulement fermer tout les ports sauf mon port que j'utilise actuellement pour le ssh (un port aléatoire au dessus de 50000) et bien sur le port 443 et 80, mon serveur est seulement pour un serveur web et donc j'ai vraiment envie qu'il soit le plus sécurisé possible et fermer ces ports inutile : 139,111 etc qui sont de potentiel ouverture pour des vers quand des vulnérabilitées seront découvertes

J'èspère que vous comprendrez ma demande,
merci d'avance pour votre aide.

[unrealw]

J'aimerais bien désinstaller les services mais je ne sais pas vraiment si c'est risqués parce que installée avec débian de base.
Pour l'instant iptables et la meilleurs des options

[N_BaH]

Bonjour,

sur une machine accessible depuis l'extérieur, iptables est indispensable !

ensuite, tu peux configurer le système de démarrage (initsys, systemd...) pour ne pas démarrer les services dont tu n'as pas besoin.
et enfin, si tu ne t'en sers vraiment jamais, tu peux les désinstaller.

il y a plusieurs pages didactiques à propos d'iptables sur DVP; utilise la fonction Rechercher (tout en haut à droite).

[BufferBob]

salut,

perso je te recommanderais plus volontier un netstat -lnpute (en root) pour y voir plus clair, un port ouvert ne veut pas dire qu'un service légitime tourne dessus ni même qu'il s'agit du service attendu

sinon je plussoie la suggestion de N_BaH concernant le firewall à coup d'iptables, mais aussi ip6tables puisque tu as des sockets en ipv6 également

[unrealw]

J'ai enlever du démarrage tous les services inutiles : samba, sunrpc etc...
Maintenant je n'ai plus que deux ports ouvert et visible depuis l'extérieur inutiles dont :

25/tcp filtered smtp : aucune idée de comment l'enlever, même avec iptables avec DROP et REJECT, le port apparaît toujours ouvert depuis l'extérieur, je n'ai aucun intêret a le laisser ouvert et souhaite le fermer absolument si possible sans le désinstaller ou l'enlever du démarrage

ensuite un autre port inconnu : 49152/tcp filtered unknown, que je vois depuis seulement nmap et ne change jamais après reboot, même avec iptables DROP et REJECT, aucun effet, liée a aucun service sur mon serveur, j'ai la conviction que c'est quelque chose entre mon serveur et mon pc qui affiche se port d'ouvert (port d'ouvert sur un serveur intermediaire chez mon hébergeur) mais si quelqu'un a une idée je suis prenneur...

Concernant : netstat -lnpute, tout les ports ouvert sont liée a des services légitimes et j'ai mon serveur depuis seulement quelques jours mais merci quand même.

Merci d'avance.

[BufferBob]

Maintenant je n'ai plus que deux ports ouvert et (...) aucune idée de comment l'enlever, même avec iptables avec DROP et REJECT, le port apparaît toujours ouvert depuis l'extérieur
(...)
Concernant : netstat -lnpute, tout les ports ouvert sont liée a des services légitimes et j'ai mon serveur depuis seulement quelques jours mais merci quand même.

mais de rien. du coup que donne le résultat de la commande netstat -lnpute | grep -E ":25|:49152" (toujours en root)

le port 25 c'est probablement un sendmail classiquement, 49152 en revanche ça n'a rien de standard je me demande bien quel programme squatte le port

quant au firewall, il n'est pas là pour fermer les ports, uniquement pour empêcher les paquets venant de l'extérieur d'atteindre les ports, donc netstat montrera toujours lesdits ports ouverts même avec le firewall activé

[unrealw]

Étonnant parce que il y a quelques jours je voyait bien sendmail squatter le port 25 sur mon serveur mais maintenant plus rien... pourtant je vois toujours ce port sur mon scan nmap ainsi que ce port 49152/tcp

Avec un netstat -atop, j'ai sshd (tournant sur un port supérieur a 50000), apache2, (postgres tournant en local seulement) mais rien d'autres, si je ne trouve rien je pense que je vais contacter mon hebergeur pour voir d'où cela viens

[BufferBob]

Étonnant parce que il y a quelques jours je voyait bien sendmail squatter le port 25

non, tu voyais un port ouvert avec nmap, c'est pas pareil

nmap te dit quels sont les ports ouverts sur une machine distante (il essaye de les trouver fidèlement), et éventuellement tente de déterminer quel service tourne sur ce port
netstat te dit avec exactitude les sockets qui sont en écoute sur la machine locale

relance un scan nmap si tu peux pour vérifier que le port 25 est bien toujours présent, donne nous le résultat, et aussi la ligne d'invocation de nmap tant qu'à faire

si nmap affiche que le port 25 est toujours ouvert sur ta machine alors que netstat dit le contraire, je vois que deux possibilités :

• soit tu scannes sur ton IP publique, avec une route IP qui fait partir tous les paquets sur le routeur de frontière sans distinction, et auquel cas les résultats nmap sont peut-être erronés du fait d'une protection anti-scan de ton hébergeur
• soit ta machine s'est faite rooter jusqu'à la moelle et tu ne peux même plus faire confiance à ton compte root, tu peux tout réinstaller et prier pour que le pirate ou le botnet ne repasse pas par là pour exploiter la même faille

commence déjà par relancer ton scan nmap (tu peux préciser -p22-25 par exemple pour que ça aille vite et avoir 3 ports à priori dans des états différents) et mettre le résultat ici

[supersnail]

non, tu voyais un port ouvert avec nmap, c'est pas pareil
si nmap affiche que le port 25 est toujours ouvert sur ta machine alors que netstat dit le contraire, je vois que deux possibilités :

• soit tu scannes sur ton IP publique, avec une route IP qui fait partir tous les paquets sur le routeur de frontière sans distinction, et auquel cas les résultats nmap sont peut-être erronés du fait d'une protection anti-scan de ton hébergeur
• soit ta machine s'est faite rooter jusqu'à la moelle et tu ne peux même plus faire confiance à ton compte root, tu peux tout réinstaller et prier pour que le pirate ou le botnet ne repasse pas par là pour exploiter la même faille

Bonjour,

Je pense surtout que c'est un filtrage au niveau du FAI (je suppose que le PO a fait un scan nmap depuis sa machine chez lui), vu que certains FAI (Orange, SFR notamment) bloquent par défaut le port SMTP pour officiellement limiter l'envoi de spams via les machines infectées des particuliers.

[unrealw]

Concernant le fait que le serveur soit peut-être rooter, je pense pas car j'ai changer le port ssh et changer la méthode d'authentification avec une clé privée/publique dans les heures qui suivait la prise en main de mon serveur


(Depuis un scan en ligne)


(Depuis chez moi)


(Sur le serveur)

[BufferBob]

en fait supersnail m'a fait justement remarquer que les ports 25 et 49152 sont marqués filtered et non open (ce que confirme ta capture d'écran)
donc effectivement les ports 25 et 49152 sont simplement filtrés (...) pas la peine de chercher un sendmail ou autre

comme indiqué plus haut, il faut que tu configures ton firewall