Publiqué esto sobre información/seguridad y alguien dijo que podría ser mejor si publicara esta pregunta aquí, así que aquí estoy.
El servidor ejecuta la variante Kubuntu Desktop de Ubuntu (lo transformé en un servidor, tenía cosas configuradas que hubiera sido complicado transferir a otra instalación).
Un día decidí hacer un chequeo de seguridad y revisé mis reglas de UFW ( sudo ufw status) y encontré estas reglas que no recuerdo haber agregado:
49152 ALLOW Anywhere
49152 (v6) ALLOW Anywhere (v6)
Buscar en Google "puerto 49152", etc. no muestra ninguna información útil. Sé que es un puerto privado/dinámico/efímero, pero no tengo idea para qué se usó el puerto y por qué esta regla de firewall estaba en mi servidor y, si es posible, ¿hay algún registro que pueda verificar y que me diga cuál es el puerto? ¿Para qué se utilizó el puerto y qué agregó la regla de firewall?
El proceso que estaba usando el puerto parece haber muerto al ejecutar los siguientes comandos:
sudo netstat -tupln
sudo netstat -a
sudo lsof -i
no muestra signos de un proceso escuchando en el puerto.
Lista de paquetes instalados:https://paste.ubuntu.com/p/XQRdqC6zXZ/
- ¿Puedo comprobar qué estaba usando anteriormente el puerto?
- ¿Podría ser esto algo peligroso?
- ¿Tiene algo escuchando en el puerto 49152 que no configuró?
- ¿Cómo puedo saber qué agregó la regla de firewall?
- ¿Qué tipos de registros debo buscar y dónde se ubicarían?
- ¿He estado comprometido?