nmap mac os muchos puertos cuestionables abiertos

1

Recientemente he estado intentando bloquear mi red en casa y sospecho que alguien ha pirateado mi enrutador de Linksys porque el puerto 3128 parece estar abro a través del enrutador y no tengo conocimientos de configuración o de permiso como calamar-http arriba. Intento correr las cosas lo más magras posible para la seguridad. Revisé mi sistema operativo Mac mientras intentaba resolver las cosas y obtuve el siguiendo. Tenga en cuenta que no ejecuto ningún servicio (servidor web, servidor smtp, DNS) o cualquier otro elemento en mi mac que no sea mi trabajo con iOS.

En ese sentido, hice un nmap localhost en mi sistema operativo y obtuve lo siguiente en dos carreras diferentes (minutos separados):

Starting Nmap 6.25 ( http://nmap.org ) at 2014-12-14 20:23 MST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00032s latency).
Not shown: 997 closed ports
PORT     STATE    SERVICE
631/tcp  open     ipp
5859/tcp filtered wherehoo
9009/tcp filtered pichat

Luego, un par de minutos más tarde:

PORT      STATE    SERVICE
7/tcp     filtered echo
25/tcp    open     smtp
340/tcp   filtered unknown
389/tcp   filtered ldap
587/tcp   open     submission
631/tcp   open     ipp
900/tcp   filtered omginitialrefs
1065/tcp  filtered syscomlan
1087/tcp  filtered cplscrambler-in
1096/tcp  filtered cnrprotocol
1185/tcp  filtered catchpole
3128/tcp  filtered squid-http
4000/tcp  filtered remoteanything
5910/tcp  filtered cm
6001/tcp  filtered X11:1
6009/tcp  filtered X11:9
6123/tcp  filtered backup-express
7402/tcp  filtered rtps-dd-mt
8200/tcp  filtered trivnet1
8500/tcp  filtered fmtp
9099/tcp  filtered unknown
9103/tcp  filtered jetdirect
9200/tcp  filtered wap-wsp
32773/tcp filtered sometimes-rpc9
50001/tcp filtered unknown

Una vez más, un minuto después, solo recibí

631/tcp open ipp

Me doy cuenta de que IPP es la impresora, pero no conozco muchas de las otras. ni estoy corriendo por lo que sé.

No soy un experto en seguridad, pero tengo que retirarme y descubrir la seguridad mucho más últimamente porque la piratería se ha vuelto tan sofisticado y fuera de control. Sé algunas cosas pero no suficiente para mantenerse al día con todos los hacks. Esto me parece muy sospechoso a través del tablero.

¿Alguien puede decirme cuáles de estos son legítimos y cuáles no o qué? para sugerir siguiente? Estoy pensando que podría necesitar recargar todo el sistema operativo pero Odiaría tomar los pocos días para hacerlo si no es necesario y podría ser re-hackeado de nuevo.

    
pregunta Tim 15.12.2014 - 04:41
fuente

4 respuestas

2

Si nunca configura squid-http, ejecute el siguiente comando para ver si realmente es el proceso usando el puerto:
ps -auxf | grep squid .

Si squid se está ejecutando, ejecute: killall squid y siga los pasos para eliminarlo de su computadora. De cualquier manera, debe cerrar los puertos abiertos en su enrutador a menos que estén abiertos por una razón.
También bloquear todo el tráfico entrante y saliente en la p38568 en su computadora inmediatamente. Si nada se rompe con normalidad, investigue más y siga monitoreando sus conexiones para ver si aparece un puerto extraño o no.

Podría dar más información con el resultado de: netstat -a | grep 38568

    
respondido por el cremefraiche 15.12.2014 - 09:41
fuente
2

Debería leer lo que significa filtered . Significa que no significa que esos puertos están abiertos, sino que Nmap no recibió una respuesta de ellos. En un escaneo de host local, esto es muy improbable, pero podría suceder si está escaneando "demasiado rápido", supongo.

Para verificar puertos abiertos en su propio sistema, su primera herramienta debe ser netstat . Esto le mostrará (entre otras cosas) todos los puertos de escucha. Por defecto, Nmap solo escanea los 1000 puertos más comunes, por lo que pierde otras 64000 posibilidades. Desafortunadamente, netstat de OS X no muestra el proceso que realmente está escuchando. puede obtener esta información de % Sin embargo, lsof , así que prueba sudo lsof -i | grep LISTEN .

EDITAR: siguiendo los comentarios a continuación, debo señalar que un servicio que está escuchando solo en localhost no representa una amenaza de un atacante externo . Puede determinar esto mirando la salida de netstat -an : si el puerto está listado con un Local Address de *:38568 (o cualquier número de puerto), el servicio aceptará conexiones desde fuera de su propia máquina. Si Local Address es 127.0.0.1:38568 o ::1:38568 , solo se podrá acceder desde el adaptador de bucle invertido (es decir, no desde la red).

    
respondido por el bonsaiviking 15.12.2014 - 05:36
fuente
1

Estoy creando otra respuesta porque la otra es precisa para asegurar conexiones abiertas, pero he descubierto un problema más urgente con tu pregunta.

Estás mezclando dos exploraciones diferentes.

Incluyes el escaneo completo en la primera imagen. Este es el escaneo de su dirección de bucle de retorno (127.0.0.1), que, como comenté anteriormente, no se conecta a otras computadoras, ya que está completamente en su propia interfaz. Se utiliza para que los procesos se comuniquen entre sí internamente.

La segunda exploración, no incluye el comienzo de la exploración. Leyendo la pregunta la primera vez, no entendí esto. Parece que su segundo escaneo fue desde otra computadora o desde su propia computadora con la IP de su red local.

Estos dos escaneados nunca se verán similares.

El tercer escaneo es claramente otra vez su dirección de bucle de retorno, y parece que ha cerrado dos programas desde el último escaneo de host local.

Conclusión : si comparas escaneos desde diferentes interfaces, pasarás un mal momento.

    
respondido por el cremefraiche 15.12.2014 - 14:22
fuente
0

¿Estás escaneando tu caja desde sí? Si es así, no obtendrá una imagen precisa de lo que está abierto a veces, especialmente con Nmap como se mencionó @bonsaiviking. Así que asegúrese de escanear desde otro host en la misma subred.

A continuación se muestra un pequeño servicio TCP que no necesita. Vaya a /etc/inetd.conf y coméntelos. Busca cualquier otro también.

7/tcp filtered echo 

Además, la mayoría de los puertos aquí enumerados no están registrados oficialmente, por lo que el listado es solo lo que nmap cree que "pueden" ser. Busque en / etc / services para encontrar lo que Apple cree que son. Algunos de ellos pueden ser netinfo, etc.

En el puerto 25 Dice que se está ejecutando un servidor de correo smtp. Es inusual en una computadora de escritorio. Pero podría suceder al instalar alguna otra aplicación. Si desea saber qué programa se ejecuta exactamente en un puerto, u puede usar este comando

fuser -v 25/tcp

U puede reemplazar el número de puerto con el puerto requerido que desea escanear. La mayoría de los programas no son realmente requeridos por nosotros. Puedes matarlos o desinstalar el programa correspondiente si quieres. Use esto Enlace para descubrir cómo matar un programa por puerto en mac os. No hay nada de que preocuparse, ya que esto es normal en las máquinas mac os.

    
respondido por el Anandu M Das 15.12.2014 - 11:14
fuente

Lea otras preguntas en las etiquetas