ふとアクティビティモニタに目をやると、自分では起動した覚えのない lsof が root で 95.50 % CPU で走っているのに気づきました。OS が勝手に lsof を起動しているのでしょうか? いったい、何をしているのでしょう? それとも、外部から侵入されている? あるいは、何かインデックスを作成しているとか、ディスクをメンテナンスしているとか? 一応 lsof が何をするコマンドかは理解はしているつもりなのですが...。アクティビティモニタは % CPU で大きい順にソートして表示していたので、これまでは lsof が動いているのには気づきませんでした。
Activity Monitorの右上のpop-up windwoでall processes, hierarchicallyを選択して親玉を見つけて下さい。何がこのcommandを使っているのか?
lsofと何かが衝突しているのか? 書き出したら終了する筈ですが...
# 現在OSが開いているfileのuserを書き出すcommandです。詳細はman lsofで...
こんなコラムを見つけました。削除したファイルをlsofで復元する
lsofを内部で起動するフロントエンドGUIが起動されているものと思います。Widget関連が怪しいかな。lsofは通常ファイルのオープンの他、ネットワークのリスニングポートのチェックにも使われます。
まぁ、親プロセスを特定出来ればすぐわかることですが。
ああ、もう再起動してしまったので、lsof は確認できません...。そうか、「すべてのプロセス(階層表示)」をチェックすれば良かったのですね。
この時は普通のやり方で終了できるアプリケーションは全部終了しても相変わらず動いていたのでした。今度注意してみます。いずれにせよ、ウイルスによって勝手に動かされていたり、外からの侵入で何かをされていたということではありませんよね?
ウィルスはまずないと思うけど、外からの侵入は誰も肯定も否定もできないと思いますよ。これを調べられるのはあなただけですし、、、
トピずれで申し訳ないですが、先日、某有名サイトの IP アドレス(名前解決でわかった)から、ポートスキャンされました。というか、NetBarrier がそう判断して警告されたんですが、ログをだまって見ていると、10 回ほど連続でアクセスしてきてました。本当にそこからのポートスキャンなのか?とも思うのですが、相手が IP アドレスを詐称することってできるんでしょうか。
その前に、そのサイトを見ていて突然カーネルパニックになって再起動してすぐのことでした。
#「できるんでしょうか」って書きましたが、できるんですね。
>相手が IP アドレスを詐称することってできるんでしょうか
ネットワークデバイスと直接I/OすればIPアドレスを詐称することは簡単に出来ますが、それでは応答が詐称先になってしまい、自分のところに返ってこなくなります。DoS攻撃のような一方通行なら意味がありますが、ポートスキャンには無意味です。(LAN内なら話は別ですが。)
実際はポートスキャンではなく、以下のような場合ではないでしょうか?
http://www.akamai.co.jp/jp/html/technology/security/warning.html
NetBarrier もインストールしてありますが、現在は専ら Norton Confidential の方を起動しています。ポートスキャンの警告は面白いほどバンバン出ますよ。恐ろしいくらいです。同じマシンを自宅と職場で使っており、自宅では DHCP サーバを参照していますが、職場では固定 IP アドレスですが、どちらもよく攻撃されています。素人なのでよくわからないのですが、DHCP サーバ経由でもポートスキャンってできてしまうのですかね?
>本当にそこからのポートスキャンなのか?とも思うのですが、相手が IP アドレスを詐称することってできるんでしょうか
ソースIPアドレスのspoofingは簡単に出来ますが、それだけでは応答が自分に返って来なくなります。DoS攻撃ならそれでもいいのですが、ポートスキャンでは意味がありません。source routeオプションを利用して自分に戻す方法はありますけど、今どきのISPのルータはすべてsource route付きパケットはフィルタリングする設定になってるでしょうから、多分違うと思います。
もしかすると、以下のようなケースではないのでしょうか。
http://www.akamai.co.jp/jp/html/technology/security/warning.html
ご返信、ありがとうございます。
しい坊 さん、そんなにバンバンでるのですね。Norton、NetBarrier と使ってきましたが、ポートスキャンの警告は初めてでびびりました。
Y. Kawabe さん、ご紹介いただいたアカマイの記事、僕も調べてたら辿り着きました。ほかでも調べてみると、動画ストリーミングを視聴する際に、ポートスキャンや Dos アタックと警告が出る可能性もあるとのことでした。
警告が出たときはブラウザも立ち上げておらず、動画を見ていたわけでもないのですが、なにか誤認してしまったのかもしれません。
ログを保存するのを忘れて、何度も初期化してしまったので、もう確認するすべがありませんが。。
lsof について調べていたら、不正アクセス対策(入り込まれた時に、情報を記録しておくために lsof を使うとの記事でした)の記事に辿り着き、あせってしまって書きこみましたが、ぜんぜんトピックと関係ないですよね。すみませんでした。
lsof のことではないのですが、アクティビティモニタで % CPU を見ていると、時々(しばしば?)120 % CPU とかになりますよね? 素人考えでは、この数値は理論上最大でも 100 % CPU を越えることはあえりないと思うのですが、これはいったいどう解釈したら良いのでしょう?
> この数値は理論上最大でも 100 % CPU を越えることはあえりないと思うのですが...
CPUx2=200%...とするとあと80%の余裕がある?
# 想像ですのでHelpやGoogleなどで調べてご確認して下さい。
100+20%, 60+60%なのかは気になるけど...
>この数値は理論上最大でも 100 % CPU を越えることはあえりないと思うのですが
>17" MacBook Pro (Intel Core 2 Duo/2.33 GHz)
Core 2 Duo は、一個のCPUに二つのコアがありますから、200%が最大じゃないでしょうか。
lsof が勝手に起動しています
