Jobar, pero entiendo que la superficie de exposición de los dispositivos android suele ser mas bien pequeñita. Es decir, no se suelen montar servidores etc... la mayoría de malware entra por culpa del usuario no de los problemas de seguridad inherentes al sistema (Abrir pdf, una web o un video).
De hecho creo que no existen demasiadas botnets dirigidas a exploitear directamente equipos android de forma remota porque normalmente aparte de no tener servidores no suelen tener acceso directo a la red. O vas a través de un NATeo o vas a través de la compañia telefonica que hace muchas veces NATing en grupo de los dispositivos (¿SNAT se llamaba?).
Si bien es cierto que una vez ejecutado un malware por parte del usuario no ayuda que se pueda usar un exploit para elevar a root, entiendo que normalmente es el usuario el que ha decidio instalar la aplicación.
¿Es más o menos así o estoy totalmente equivocado? ¿Que opinais?

Me extraña un poco que lo tengas desactivado, porque tienes ahí el libminiupnpc que es un programa que suele usarse precisamente para abrir puertos mediante upnp. Echale otro vistazo a la configuracion por si acaso. Solo por certificar.

Probáblemente serás tu quien lo abre mediante uPnP. Desactiva en el router el uPnP es un protocolo que permite desde un ordenador de la red local abrir puertos de cara a la red exterior de manera que programas como bittorrent, Call of dutty, etc... que puedan necesitar abrir puertos para que puedas tu hacer de servidor sin tener que ir a la configuración del router. Eso si, a partir de ahora para que cualquier programa de tu red actue como servidor tendras que hacer la redireccion de puertos a mano.

Creo que no le has entendido o no lo he hecho yo. Entiendo que no desea poner el servidor DNS si no dar servicio desde su IP que cambia usando un dominio de otro servidor DNS. Al final requiere que tengas un cliente en el server que hace peticiones a un proveedor de DNS. Y este da la IP del nombre en función de la que recibe de ese cliente. Normalmente se pone un TTL bajo a ese nombre para obligar a los usuarios a recargar con relativa frecuencia por lo que nadie se deja cacheada la IP vieja vinculada al dominio viejo. Hay muchos servicios de ese tipo y algunos gratuitos que permiten eso como el clásico noip o myftp que se pensaron precisamente para casos en los que deseas poner servidores en casa con IP dinámica

Puedes utilizar un proxy y cada 5 minutos lo vas cambiando.

¿¿Has probado hackthebox?? Cuenta gratuita a un laboratorio donde intentar hackear cosas, con foros donde preguntar, etc...

https://www.hackthebox.eu/

PD: Parece que me tienen a sueldo pero no. ^^

Mas que un lenguaje de programación lo que probablemente describa mejor un hacker es el pensamiento lateral o pensar "out of the box".

Puedes no dejar logear multiples cuentas en el mismo momento con la misma IP.

¿Y no puedes incluir un sistema de usuarios con usuario y contraseña?

Con un snifer o mirando los logs de tus posibles servidores podrás ver la direccion IP de los ataques.

Por otro lado, utilizando un firewall podras cortar por ejemplo las direcciones IP o rangos desde los que te intentan atacar.

Tienes programas como suricata que esnifan la red y tienen bases de datos de los ataques para identificarlos. Puedes igual utilizar este programa para identificar quien (direccion IP) y como te está atacando (la definicion del ataque).

¿Por que crees que te están atacando?