Questão Usar o nmap com a opção -sT sempre mostra as portas imap e pop3 como abertas


Eu instalei nmap no OS X usando brew.

Eu comecei a testá-lo e algo estranho está acontecendo. Toda vez que eu uso nmap com a opção -sT, mostra sempre as portas 110, 143, 993 e 995 como abertas. Eu verifiquei meu computador, procurando pelo processo que está escutando essas portas, e não consegui encontrá-las. Eu tentei com outros computadores e servidores diferentes, e ainda está me mostrando que as portas estão abertas.

$ sudo nmap -sT localhost

Starting Nmap 7.12 ( https://nmap.org ) at 2016-07-27 11:24 EDT
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0012s latency).
Other addresses for localhost (not scanned): ::1
Not shown: 499 filtered ports, 495 closed ports
PORT    STATE SERVICE
80/tcp  open  http
110/tcp open  pop3
143/tcp open  imap
443/tcp open  https
993/tcp open  imaps
995/tcp open  pop3s

Nmap done: 1 IP address (1 host up) scanned in 2.93 seconds
$

Isso está correto? Estou fazendo algo errado? Isso é um bug?

EDITAR: Irã sudo netstat -anltv | grep LISTEN e eu não vi um processo escutando em uma dessas portas.

tcp4       0      0  127.0.0.1.17603        *.*                    LISTEN      131072 131072    510      0
tcp4       0      0  127.0.0.1.17600        *.*                    LISTEN      131072 131072    510      0
tcp4       0      0  *.17500                *.*                    LISTEN      131072 131072    510      0
tcp6       0      0  *.17500                                       *.*                                           LISTEN      131072 131072    510      0
tcp4       0      0  127.0.0.1.31743        *.*                    LISTEN      131072 131072    578      0
tcp4       0      0  127.0.0.1.31742        *.*                    LISTEN      131072 131072    578      0
tcp6       0      0  ::1.12993                                     *.*                                           LISTEN      131072 131072    358      0
tcp4       0      0  127.0.0.1.12993        *.*                    LISTEN      131072 131072    358      0
tcp6       0      0  ::1.12995                                     *.*                                           LISTEN      131072 131072    358      0
tcp4       0      0  127.0.0.1.12995        *.*                    LISTEN      131072 131072    358      0
tcp6       0      0  ::1.12143                                     *.*                                           LISTEN      131072 131072    358      0
tcp4       0      0  127.0.0.1.12143        *.*                    LISTEN      131072 131072    358      0
tcp6       0      0  ::1.12110                                     *.*                                           LISTEN      131072 131072    358      0
tcp4       0      0  127.0.0.1.12110        *.*                    LISTEN      131072 131072    358      0
tcp6       0      0  ::1.12443                                     *.*                                           LISTEN      131072 131072    358      0
tcp4       0      0  127.0.0.1.12443        *.*                    LISTEN      131072 131072    358      0
tcp6       0      0  ::1.12080                                     *.*                                           LISTEN      131072 131072    358      0
tcp4       0      0  127.0.0.1.12080        *.*                    LISTEN      131072 131072    358      0
tcp4       0      0  127.0.0.1.6437         *.*                    LISTEN      131072 131072     98      0
tcp4       0      0  127.0.0.1.6436         *.*                    LISTEN      131072 131072     98      0
tcp4       0      0  127.0.0.1.6439         *.*                    LISTEN      131072 131072     98      0
tcp4       0      0  127.0.0.1.6438         *.*                    LISTEN      131072 131072     98      0

2


origem


Eu vejo a mesma coisa, pode ser um bug real - Joshua Grigonis


Respostas:


aparentemente, esse scanner / módulo conecta-se à pilha tcp-ip. Descobri que quando eu faço a varredura de outros sistemas, essas portas também são encontradas em estado aberto - mas eles nãot exist at all at the remote end. apparently ité a maneira como o avast intercepta o tráfego de e-mail para digitalizar ...


1



Interessante. Você quer dizer que um antivírus ou um firewall como o Avast estaria ouvindo nessas portas. Isso está correto? - JonDoe297


Você pode verificar se algo está realmente ouvindo nas portas com

sudo netstat -anltv | grep LISTEN

Se você vir essas portas na lista, haverá realmente algo escutando nelas. E você pode obter o PID do processo.

Por exemplo, tenho a seguinte linha:

tcp4 0 0 127.0.0.1.58558 *.* LISTEN 131072 131072 38143 0

38143 aqui está o PID do processo. Então eu posso descobrir com o que é ps como isso:

ps -p 38143

E olha, isso é meu Battle.net:

PID TTY TIME CMD 38143 ?? 28:50.33 /Applications/Battle.net.app/Contents/Battle.net.7730/Battle.net.app/Contents/MacOS/battle.net --updatepid=38123


0



Eu verifiquei isso, e sim, há processos ouvindo, mas ninguém está ligado às portas 110, 143, 993 e 995. Eu atualizei a questão com os resultados de netstat - JonDoe297
@ JonDoe297 então eu acho que é apenas um bug. Mas você também pode tentar telnet localhost 110, apenas para ter certeza. Se a porta estiver fechada, ela retornará o erro. - Pavel Kazhevets