[Megoldva] 2015 Macbook pro-n figyel egy imap service

 ( Honkydoo | 2018. december 11., kedd - 11:23 )

Sziasztok!

Gondoltam egyet és kiadtam a gépemen a nmap parancsot a localhost-ra.

A kimenet a következő:
Host is up (0.00041s latency).
Not shown: 968 closed ports, 28 filtered ports
PORT STATE SERVICE
110/tcp open pop3
143/tcp open imap
993/tcp open imaps
995/tcp open pop3s

Az lsof egyik protra sem talál semmit (példa):
lsof -nP -i:993 | grep LISTEN

A történetet tovább árnyalja, hogy rá tudok telnet-elni:
bash-3.2# telnet 127.0.0.1 993
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
Connection closed by foreign host.

Előfordult olyan is, hogy nem dobott ki egyből, hanem mondjuk a hello parancs beírása után.

Mi lehet ez?

Biztos én nem tudok/értek valamit. Elnézést ha banális a probléma...

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

A 110-es és 143-as portra telnettel csatlakozva mi jelentkezik be?
Az SSL-es portokra így tudsz értelmesen rácsatlakozni:

openssl s_client -connect localhost:993


bash-3.2# openssl s_client -connect localhost:993
CONNECTED(00000005)
140736026698696:error:140780E5:SSL routines:SSL23_READ:ssl handshake failure:/BuildRoot/Library/Caches/com.apple.xbs/Sources/libressl/libressl-22.50.2/libressl/ssl/s23_lib.c:82:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 318 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
---

bash-3.2# telnet 127.0.0.1 110
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
Connection closed by foreign host.

bash-3.2# telnet 127.0.0.1 143
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
Connection closed by foreign host.

Nem az a baj, hogy az lsof-et nem root joggal futtattad, és ezért nem listázza a LISTEN állapotú socketeket?

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Root joggal is próbáltam:
bash-3.2# lsof -nP -i:143 | grep LISTEN

És semmi eredmény.

$ sudo netstat -ltpn4
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:55602 0.0.0.0:* LISTEN 6163/VBoxHeadless
tcp 0 0 127.0.0.1:5940 0.0.0.0:* LISTEN 9686/teamviewerd
tcp 0 0 127.0.1.1:53 0.0.0.0:* LISTEN 2606/dnsmasq
tcp 0 0 0.0.0.0:51061 0.0.0.0:* LISTEN 1881/rpc.mountd
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 1477/dnsmasq
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1753/sshd
tcp 0 0 127.0.0.1:8118 0.0.0.0:* LISTEN 1134/privoxy
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 18355/cupsd
tcp 0 0 127.0.0.1:2200 0.0.0.0:* LISTEN 19409/VBoxHeadless
tcp 0 0 0.0.0.0:15672 0.0.0.0:* LISTEN 2368/beam.smp
tcp 0 0 0.0.0.0:36025 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:52953 0.0.0.0:* LISTEN 1881/rpc.mountd
tcp 0 0 127.0.0.1:9050 0.0.0.0:* LISTEN 11764/tor
tcp 0 0 127.0.0.1:4730 0.0.0.0:* LISTEN 1242/gearmand
tcp 0 0 127.0.0.1:6942 0.0.0.0:* LISTEN 18670/java
tcp 0 0 0.0.0.0:2049 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:25672 0.0.0.0:* LISTEN 2368/beam.smp
tcp 0 0 127.0.0.1:27017 0.0.0.0:* LISTEN 1216/mongod
tcp 0 0 0.0.0.0:51049 0.0.0.0:* LISTEN 1881/rpc.mountd
tcp 0 0 127.0.0.1:6379 0.0.0.0:* LISTEN 5507/redis-server 1
tcp 0 0 127.0.0.1:11211 0.0.0.0:* LISTEN 1561/memcached
tcp 0 0 127.0.0.1:2222 0.0.0.0:* LISTEN 6163/VBoxHeadless
tcp 0 0 127.0.0.1:63342 0.0.0.0:* LISTEN 18670/java
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1663/rpcbind
tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN 19409/VBoxHeadless
tcp 0 0 0.0.0.0:55601 0.0.0.0:* LISTEN 19409/VBoxHeadless
tcp 0 0 0.0.0.0:4369 0.0.0.0:* LISTEN 1941/epmd

Lehet, hogy a kernel irányítja át valamilyen más portra, ezért nem látszik a lsof/netstat-ban?

Nem tudom.
Van esetleg ötleted hol tudnám megnézni?

Google szerint vagy 'ipfw list' vagy 'pfctl -sa'.

Köszi!

Itt nincs nagyon semmi releváns a portokat illetően.

Érdekesség:
Az nmap most már meg sem jeleníti a 110, 143,995 993 portokat, de a beépített "Hálózati segédprogram" még igen.

Tényleg nem tudom mi ez és mit kezdjek vele...

Keresztkérdés:
Másnál aki mac-et használ előjön ugyanez? (High Sierrát használok 10.13.6)

Egy gepen sem tapasztalok hasonlot (2 iMac, 1 MBP). Viszont hasonlo dolgot mar lattam, ott valami viruskereso volt ami igy mukodott, a mail kliens a localhostra kapcsolodott es a localhoston futo szoftver szurte a leveleket es kapcsolodott a tavolba.

---
Apple iMac 27"
áéíóöőúüű

Off: Víruskeresőről szólva, nekem egy Avast egyszer olyan produkált (Windows-on), hogy a mail-szerverre irányuló kimenő (SMTP port 25) forgalmat valahogy eltérítette/magára húzta... de nem konzekvensen, csak kb. az esetek felében...

En sem tapasztaltam ilyet. Viruskergeto, Malwarebytes vagy hasonlo nem jatszik nalad?

Basszus, ez volt a baj! :D
Ugyanis az ESET fel van rakva a Mac-emre. (Tudom Mac-re nem kell vírusölő, de nyertem egy licenszt és úgy gondoltam kihasználom.)

Letiltottam és már nem jelennek meg a listában a portok.
Köszönöm mindenkinek a segítséget!

Azt azért nem nagyon magyarázza meg, hogy az nmap / telnet miért látja, az lsof pedig miért nem.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Ezen én is gondolkodtam.
Lehet én voltam béna és valamit rosszul kérdeztem le.
Vagy az ESET mágia az oka. Lehet a fejlesztők többet tudnak az osx programozásról mint én ennek a rendszernek az üzemeltetéséről.

Igazából mind a két változatra látok esélyt...

OFF (de nem teljesen):

ezekkel a vírusírtókkal vigyázni kell, én úgy jártam a Kaspersky-vel, hogy ha be volt kapcsolva a "web filtering" vagy mi, akkor közbeiktatott vmi saját tanúsítványt, így a külön tanúsítványt igénylő oldalak elérhetetlenné váltak (értesítés, hibaüzenet semmi). kikapcsolva a funkciót helyreállt a rend.

Köszi!

Én ettől szebbet láttam, a vírusírtót nem tudom megmondani milyen volt, viszont a szerveren faszán bebillentett egy session limitet, és a remote kód rendre timeoutra futott db kapcsolatok létrehozásakor. Ha jól emlékszem annyira low level szinten akaszkodott a hálókártyára, hogy még a wiresharkban sem jelentek meg a kiszűrt csomagok.

Nálam is volt a Kaspersky-vel, hogy MITM-et próbált játszani. Persze meg lehet indokolni, de "sima user" nem biztos, hogy utána járt volna, hanem csak le-OKzza.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."