我希望有人能对这些nmap扫描结果有所了解。

Question

我担心朋友的电脑可能会被破坏。他们抱怨电脑变得很热，很难保持在线连接，在垃圾桶里找到未读的非垃圾邮件，等等。所以我刚刚对他们的IP nmap -Pn -A xx.xx.xx.xx做了一个非常基本的nmap扫描。其结果如下：

PORT     STATE    SERVICE       REASON          VERSION
21/tcp   open     tcpwrapped    syn-ack ttl 64
22/tcp   open     ssh           syn-ack ttl 42  OpenSSH 5.5p1 Debian 6+squeeze3 (protocol 2.0)
53/tcp   open     domain        syn-ack ttl 42
80/tcp   open     http          syn-ack ttl 42  Apache httpd 2.2.16 ((Debian))
111/tcp  open     rpcbind       syn-ack ttl 42  2 (RPC #100000)
514/tcp  open     shell?        syn-ack ttl 42
3389/tcp filtered ms-wbt-server no-response
4899/tcp open     radmin        syn-ack ttl 105 Famatech Radmin 3.X (Radmin Authentication)

rpcinfo: 
   program version   port/proto  service
   100000  2            111/tcp  rpcbind
   100000  2            111/udp  rpcbind
   100024  1          38460/udp  status
   100024  1          48666/tcp  status

它还列出了ssh-hostkey，然后下面是ssh-dss和ssh-rsa的列表。我真的不知道我在看什么，但是有几个开放的端口让我很担心。我知道这不是一堆信息，但是基于这个扫描和记住这个人不是很注重计算机，这里有什么值得关注的吗？

Answer 1

简单的回答是，在正确的情况下，开放的端口不应该是令人震惊的。我定期执行五端口操作，其中许多端口是为有效目的而开放的。514有点不常见，但在一些应用程序中并不完全是闻所未闻的，比如游戏(如果你的朋友玩游戏--OP中没有提到这一点)或发送系统日志。

话虽如此，背景是重要的。例如，在桌面上拥有端口80和4899就有点脱离了上下文--但是，我已经运行了一些软件实例并使用了本地主机:80来使用GUI ( used，spiceworks库存等等)。我同意上面的评论，这看起来更像一个路由器，而不是笔记本电脑。如果扫描的IP以.1或.254结尾，几乎肯定是路由器。

更重要的问题不是开放了哪些端口，而是后面运行着哪些服务和软件。端口3389是用于RDP的-例如，这是一个需要RDP的服务器吗？如果不是，您当然希望禁用RDP，因为这会显示一个攻击面。

与其检查打开的端口，不如使用带有最新定义和签名的AV扫描仪。问题是有些恶意软件阻止AV安装，所以如果您在安装它时遇到麻烦，就会发出危险信号。我强烈推荐malwarebytes字节作为扫描的第一步。

同时，在您能够对整个磁盘进行全面扫描之前，禁用您的网络适配器不会有任何损害。