[Megoldva] 2015 Macbook pro-n figyel egy imap service

Fórumok

Sziasztok!

Gondoltam egyet és kiadtam a gépemen a nmap parancsot a localhost-ra.

A kimenet a következő:
Host is up (0.00041s latency).
Not shown: 968 closed ports, 28 filtered ports
PORT STATE SERVICE
110/tcp open pop3
143/tcp open imap
993/tcp open imaps
995/tcp open pop3s

Az lsof egyik protra sem talál semmit (példa):
lsof -nP -i:993 | grep LISTEN

A történetet tovább árnyalja, hogy rá tudok telnet-elni:
bash-3.2# telnet 127.0.0.1 993
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
Connection closed by foreign host.

Előfordult olyan is, hogy nem dobott ki egyből, hanem mondjuk a hello parancs beírása után.

Mi lehet ez?

Biztos én nem tudok/értek valamit. Elnézést ha banális a probléma...

Hozzászólások

A 110-es és 143-as portra telnettel csatlakozva mi jelentkezik be?
Az SSL-es portokra így tudsz értelmesen rácsatlakozni:

openssl s_client -connect localhost:993


bash-3.2# openssl s_client -connect localhost:993
CONNECTED(00000005)
140736026698696:error:140780E5:SSL routines:SSL23_READ:ssl handshake failure:/BuildRoot/Library/Caches/com.apple.xbs/Sources/libressl/libressl-22.50.2/libressl/ssl/s23_lib.c:82:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 318 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
---

bash-3.2# telnet 127.0.0.1 110
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
Connection closed by foreign host.

bash-3.2# telnet 127.0.0.1 143
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
Connection closed by foreign host.

$ sudo netstat -ltpn4
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:55602 0.0.0.0:* LISTEN 6163/VBoxHeadless
tcp 0 0 127.0.0.1:5940 0.0.0.0:* LISTEN 9686/teamviewerd
tcp 0 0 127.0.1.1:53 0.0.0.0:* LISTEN 2606/dnsmasq
tcp 0 0 0.0.0.0:51061 0.0.0.0:* LISTEN 1881/rpc.mountd
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 1477/dnsmasq
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1753/sshd
tcp 0 0 127.0.0.1:8118 0.0.0.0:* LISTEN 1134/privoxy
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 18355/cupsd
tcp 0 0 127.0.0.1:2200 0.0.0.0:* LISTEN 19409/VBoxHeadless
tcp 0 0 0.0.0.0:15672 0.0.0.0:* LISTEN 2368/beam.smp
tcp 0 0 0.0.0.0:36025 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:52953 0.0.0.0:* LISTEN 1881/rpc.mountd
tcp 0 0 127.0.0.1:9050 0.0.0.0:* LISTEN 11764/tor
tcp 0 0 127.0.0.1:4730 0.0.0.0:* LISTEN 1242/gearmand
tcp 0 0 127.0.0.1:6942 0.0.0.0:* LISTEN 18670/java
tcp 0 0 0.0.0.0:2049 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:25672 0.0.0.0:* LISTEN 2368/beam.smp
tcp 0 0 127.0.0.1:27017 0.0.0.0:* LISTEN 1216/mongod
tcp 0 0 0.0.0.0:51049 0.0.0.0:* LISTEN 1881/rpc.mountd
tcp 0 0 127.0.0.1:6379 0.0.0.0:* LISTEN 5507/redis-server 1
tcp 0 0 127.0.0.1:11211 0.0.0.0:* LISTEN 1561/memcached
tcp 0 0 127.0.0.1:2222 0.0.0.0:* LISTEN 6163/VBoxHeadless
tcp 0 0 127.0.0.1:63342 0.0.0.0:* LISTEN 18670/java
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1663/rpcbind
tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN 19409/VBoxHeadless
tcp 0 0 0.0.0.0:55601 0.0.0.0:* LISTEN 19409/VBoxHeadless
tcp 0 0 0.0.0.0:4369 0.0.0.0:* LISTEN 1941/epmd

Lehet, hogy a kernel irányítja át valamilyen más portra, ezért nem látszik a lsof/netstat-ban?

Köszi!

Itt nincs nagyon semmi releváns a portokat illetően.

Érdekesség:
Az nmap most már meg sem jeleníti a 110, 143,995 993 portokat, de a beépített "Hálózati segédprogram" még igen.

Tényleg nem tudom mi ez és mit kezdjek vele...

Keresztkérdés:
Másnál aki mac-et használ előjön ugyanez? (High Sierrát használok 10.13.6)

Egy gepen sem tapasztalok hasonlot (2 iMac, 1 MBP). Viszont hasonlo dolgot mar lattam, ott valami viruskereso volt ami igy mukodott, a mail kliens a localhostra kapcsolodott es a localhoston futo szoftver szurte a leveleket es kapcsolodott a tavolba.

---
Apple iMac 27"
áéíóöőúüű

OFF (de nem teljesen):

ezekkel a vírusírtókkal vigyázni kell, én úgy jártam a Kaspersky-vel, hogy ha be volt kapcsolva a "web filtering" vagy mi, akkor közbeiktatott vmi saját tanúsítványt, így a külön tanúsítványt igénylő oldalak elérhetetlenné váltak (értesítés, hibaüzenet semmi). kikapcsolva a funkciót helyreállt a rend.

Én ettől szebbet láttam, a vírusírtót nem tudom megmondani milyen volt, viszont a szerveren faszán bebillentett egy session limitet, és a remote kód rendre timeoutra futott db kapcsolatok létrehozásakor. Ha jól emlékszem annyira low level szinten akaszkodott a hálókártyára, hogy még a wiresharkban sem jelentek meg a kiszűrt csomagok.

Nálam is volt a Kaspersky-vel, hogy MITM-et próbált játszani. Persze meg lehet indokolni, de "sima user" nem biztos, hogy utána járt volna, hanem csak le-OKzza.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."