Postei isso sobre informação/segurança e alguém disse que seria melhor se eu postasse essa pergunta aqui, então aqui estou.
O servidor está executando a variante Kubuntu Desktop do Ubuntu (eu o transformei em um servidor, tinha coisas configuradas que seriam difíceis de transferir para outra instalação).
Um dia resolvi fazer uma verificação de segurança e verifiquei minhas regras do UFW ( sudo ufw status) e encontrei essas regras que não me lembro de ter adicionado:
49152 ALLOW Anywhere
49152 (v6) ALLOW Anywhere (v6)
Pesquisar "porta 49152" no Google, etc. não traz nenhuma informação útil. Eu sei que é uma porta privada/dinâmica/efêmera, mas não tenho ideia para que a porta foi usada e por que essa regra de firewall estava no meu servidor e, se possível, há algum log que eu possa verificar que me diga qual é o porta foi usada e o que adicionou a regra de firewall?
O processo que estava usando a porta parece ter morrido ao executar os seguintes comandos:
sudo netstat -tupln
sudo netstat -a
sudo lsof -i
não mostram sinais de um processo escutando na porta.
Lista de pacotes instalados:https://paste.ubuntu.com/p/XQRdqC6zXZ/
- Posso verificar o que estava usando a porta anteriormente?
- Isso poderia ser algo perigoso?
- Você tem algo escutando na porta 49152 que você não configurou?
- Como posso descobrir o que adicionou a regra de firewall?
- Que tipos de registros devo procurar e onde eles estariam localizados?
- Eu fui comprometido?