[plamo:19133] nmap

[Ti.Shikama]

四竈(しかま)と申します。

少々場違いな質問かとは思いますが、何かご存じの方がおられれば
と思いまして。

最近、管理しているサーバのセキュリティをチェックしようと、
nmapを使ったポートスキャンを試みていたのですが、
あるサーバ、これは単独で動いているものですが、に自宅ルータ
下のLinuxマシンからnmapをオプション無しで実行した際に、

27374/tcp filtered subseven

なる記述が見られました。filteredであってopenではありませんが、
何か気持ちが悪いので、調べてみると、このsubsevenというのは
windows上で動くトロイの木馬でした。

次に、家の外の別の場所にあるLinuxマシンから同じサーバに
nmapを実行してみると、今度はsubsevenが表示されませんでした。
実際にそのサーバ上でプロセスを見ても、それらしきプロセスは
走っていないようでした。

また、同じネットワークアドレス内にある他のサーバ、これも単独
で動いている物ですが、に対して自宅からnmapを実行してみると
subsevenに加えて

12345/tcp filtered NetBus
17300/tcp filtered kuang2

等と他のトロイの木馬らしきものが見えています。
どうも、これらを見る限りでは、サーバ自体のポートを見ている
という訳では無さそうです。

nmapのmanをざっと読んだ限りでして、あまり細かいプログラムの
中身に関しては理解していないのですが、この現象は、どのように
理解すれば良いのでしょうか。

ご存じの方がいらっしゃいましたら、何かアドバイスを頂けると
幸いです。

Taiichi Shikama