nmap mostra estranhas portas abertas

Navegue suas respostas
1

A execução do nmap no meu host local mostra estranhas portas abertas: 

$ nmap -p- localhost
Starting Nmap 6.47 ( http://nmap.org ) at 2015-12-28 12:14 CET
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00047s latency).
All 65535 scanned ports on localhost (127.0.0.1) are closed

Nmap done: 1 IP address (1 host up) scanned in 2.51 seconds

$ nmap -p- localhost
Starting Nmap 6.47 ( http://nmap.org ) at 2015-12-28 12:14 CET
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00046s latency).
Not shown: 65533 closed ports
PORT      STATE SERVICE
36642/tcp open  unknown
50826/tcp open  unknown

Nmap done: 1 IP address (1 host up) scanned in 2.55 seconds

$ nmap -p- localhost
Starting Nmap 6.47 ( http://nmap.org ) at 2015-12-28 12:14 CET
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00050s latency).
Not shown: 65531 closed ports
PORT      STATE SERVICE
37700/tcp open  unknown
46694/tcp open  unknown
48334/tcp open  unknown
53438/tcp open  unknown

Nmap done: 1 IP address (1 host up) scanned in 2.60 seconds

$ nmap -p- localhost
Starting Nmap 6.47 ( http://nmap.org ) at 2015-12-28 12:14 CET
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00046s latency).
All 65535 scanned ports on localhost (127.0.0.1) are closed

Nmap done: 1 IP address (1 host up) scanned in 2.51 second

Como esta saída mostra, as portas abertas parecem mudar rapidamente e aleatoriamente. Não consigo ver essas portas via netstat se estou interpretando a saída da maneira correta: 

$ sudo netstat -tulpen
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode       PID/Program name
tcp        0      0 127.0.1.1:53            0.0.0.0:*               LISTEN      0          17081       809/dnsmasq     
udp        0      0 0.0.0.0:5449            0.0.0.0:*                           0          30885       2855/dhclient   
udp        0      0 127.0.1.1:53            0.0.0.0:*                           0          17080       809/dnsmasq     
udp        0      0 0.0.0.0:68              0.0.0.0:*                           0          30321       2855/dhclient   
udp        0      0 0.0.0.0:45170           0.0.0.0:*                           107        15289       606/avahi-daemon: r
udp        0      0 0.0.0.0:631             0.0.0.0:*                           0          15931       636/cups-browsed
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           107        15287       606/avahi-daemon: r
udp6       0      0 :::34146                :::*                                107        15290       606/avahi-daemon: r
udp6       0      0 :::55654                :::*                                0          30886       2855/dhclient   
udp6       0      0 :::5353                 :::*                                107        15288       606/avahi-daemon: r

Eu tentei usar lsof para investigar essas portas, mas não há resultado, eu acho que quando o nmap retorna, a porta não está mais aberta: 

lsof -i :'nmap -p- localhost|grep '/tcp'|cut -d'/' -f1|head -n1'

O que posso fazer para investigar mais sobre esse problema? Eu tenho que ficar preocupado? Isso é normal? Devo suspeitar de qualquer processo malicioso em execução?

Observe que este Perguntas e respostas é diferente porque eu sou executando tudo na minha máquina local.

    
por lumbric 28.12.2015 / 12:29

1 resposta

2

Este é um bug no Nmap 6.40 - 6.47 que discuti em detalhes em uma resposta no StackOverflow . Ele foi corrigido desde a série 6.49BETA, portanto, atualizar para o Nmap mais recente (7,01 no momento da redação deste texto) resolverá o problema.

    
por 28.12.2015 / 16:25

Tags

Que tipo de cabos de fuga eu preciso para esta configuração de montagem em rack? [fechadas] Como configurar o hostname no MySQL? (OS X)