こんにちは。
ちょっと気になったこと(HDD からアクセス音がしたので、アクティビティモニタで調べたら、find が nobody で動いていた)があったので、コンソールのログを見ていました。
May 24 11:14:49 computername ipfw: Stealth Mode connection attempt to TCP 192.168.0.2:53776 from 17.83.254.38:80
というログが10行くらい続いているのですが、17.83.254.38 からステルスモードで 192.168.0.2 のポート 53776 に接続しようとしているということでしょうか。
これはまずいんでしょうか
[IPv4 whois information for 17.83.254.38 ]
[whois.arin.net]
OrgName: Apple Computer, Inc.
OrgID: APPLEC-3
Address: 20740 Valley Green Drive, MS32E
City: Cupertino
StateProv: CA
PostalCode: 95014
Country: US
NetRange: 17.0.0.0 - 17.255.255.255
CIDR: 17.0.0.0/8
NetName: APPLE-WWNET
NetHandle: NET-17-0-0-0-1
Parent:
NetType: Direct Assignment
NameServer: NSERVER.APPLE.COM
NameServer: NSERVER2.APPLE.COM
NameServer: NSERVER.EURO.APPLE.COM
NameServer: NSERVER.ASIA.APPLE.COM
Comment:
RegDate: 1990-04-16
Updated: 2000-05-23
RTechHandle: ZA42-ARIN
RTechName: Apple Computer, Inc.
RTechPhone: +1-408-974-7777
RTechEmail: Apple-NOC@apple.com
ということなので,Apple のページを見に行った結果残ったログだと思います。
Stealth はこちら側がステルス(?)ということで,向こう側がステルスという訳ではありません。
たまちゃん さん、ありがとうございます。
自動翻訳してみたら「TCPへのこっそりMode接続試み」となったので、侵入されようとしているのかと思いました。
ところで、find は Spotlight 関係なのでしょうか。
調べているうちにプロセスが終わってしまったので、よく覚えていませんが、階層表示だと
sh
sh
find nobody
みたいな感じでしたが
Spotlight で検索をかけたときにでてくればそうかもしれません。あるいは daily などの cron job で動作したのかもしれません。
ちなみに 192.168.0.2:53776 の 53776番ポートはクライアント側の送信元ポート番号(ランダムポート)です。
さきほど http://www.apple.com/jp/ に接続したときに netstat を見ると
tcp4 0 0 192.168.1.2.50093 nwk-www.apple.co.http ESTABLISHED
tcp4 0 0 192.168.1.2.50092 nwk-www.apple.co.http ESTABLISHED
tcp4 0 0 192.168.1.2.50091 nwk-www.apple.co.http ESTABLISHED
tcp4 0 0 192.168.1.2.50090 nwk-www.apple.co.http ESTABLISHED
となりました。
ステルスモードは、こっち側(?)ということと、Apple のログだということ、気にすることはないということはわかりましたが、どうして Apple のログだけ出るのかわかりません。
他のサイトももちろん徘徊してるのですが。。
ログをさかのぼって見ても、他はグーグル(多分)くらいなんだけど。。
>どうして Apple のログだけ出るのかわかりません。
Cookies とかの関係では?
単に閲覧させるだけのサイトなら、Cookiesを要求されることもありません。
はにさん、こんにちは。Cookie は今、ここを含めて3カ所分保存してあり、今日も全部徘徊してるけど、昨日も今日も Apple のステルスモードしかログに出てないです。
他はこんなのばかり
May 31 13:11:28 username ipfw: 35000 Deny UDP 169.254.204.107:138 169.254.255.255:138 in via en0
169.254.204.107
のアドレスは
http://tools.ietf.org/html/rfc3330
をご覧ください。DHCPのアドレスを取得しようと試みて(失敗して)いる場合などにでます。
Apple のみログが取得されているということですが,該当する時間にどういうことをされていたでしょうか。ただ単に Safari で Apple のサイトを見たとか,RSS が更新されているのを定期的にチェックしている時間だとか,とにかくその時間に何を行ったかを(再現性を含めて)観察してみてください。
>該当する時間にどういうことをされていたでしょうか
えーと。。
10時頃 Mac をスリープから起こして。。
ステルスここにもありました
May 31 10:03:41 usename ipfw: Stealth Mode connection attempt to UDP 192.168.0.2:53292 from 192.168.0.1:53
そのあと、すぐにここを見に来て、書き込んでいます
"電源を入れても再起動か終了しか選べない。" #1, 2008/05/31 10:26am
その後、あちこち(他のサイトも)ちょっと徘徊しただけで、変わったことはしてないと思います。
…
May 31 10:47:28 usename ipfw: 35000 Deny UDP 169.254.204.107:138 169.254.255.255:138 in via en0
May 31 10:58:56 usename ipfw: Stealth Mode connection attempt to TCP 192.168.0.2:52687 from 17.83.254.38:80
May 31 10:58:59 usename ipfw: Stealth Mode connection attempt to TCP 192.168.0.2:52687 from 17.83.254.38:80
May 31 10:59:05 usename ipfw: Stealth Mode connection attempt to TCP 192.168.0.2:52687 from 17.83.254.38:80
May 31 10:59:28 usename ipfw: 35000 Deny UDP 192.168.0.19:138 192.168.0.255:138 in via en0
…
Safari の環境設定では RSS の「アップデートの確認」は「しない」にしています。
しばらく観察してみます。
#時間切れで追記です
その後
…
May 31 17:47:31 username ipfw: 35000 Deny UDP 169.254.204.107:138 169.254.255.255:138 in via en0
May 31 17:51:05 username ipfw: Stealth Mode connection attempt to TCP 192.168.0.2:56527 from 17.83.254.38:80
May 31 17:51:08 username ipfw: Stealth Mode connection attempt to TCP 192.168.0.2:56527 from 17.83.254.38:80
May 31 17:51:14 username ipfw: Stealth Mode connection attempt to TCP 192.168.0.2:56527 from 17.83.254.38:80
May 31 17:59:31 username ipfw: 35000 Deny UDP 192.168.0.19:138 192.168.0.255:138 in via en0
…
NetBarrier のログを見ていたら、該当する時間の前後に omuniture.112.2o7.net っていうのがあるけど、もしかしたらトラッキングクッキーというのが関係あるのでしょうか?
http://www.netpub.tsuzuki.yokohama.jp/security/sec-0031.html
以下 NetBarrier のログ
05/31/2008 10:59:01 omniture.112.2o7.net(66.151.152.143) 接続先: TCP HTTP - web service(発信元ポート52693)
05/31/2008 10:59:01 discussions.info.apple.co.jp(17.83.254.38) 接続先: TCP HTTP - web service(発信元ポート52689)
05/31/2008 10:58:56 discussions.info.apple.co.jp(17.83.254.38) 接続先: TCP HTTP - web service(発信元ポート52625)
…
05/31/2008 17:51:05 omniture.112.2o7.net(128.241.21.14) 接続先: TCP HTTP - web service(発信元ポート56525)
05/31/2008 17:51:05 discussions.info.apple.co.jp(17.83.254.38) 接続先: TCP HTTP - web service(発信元ポート56526)
05/31/2008 17:51:15 omniture.112.2o7.net(128.241.21.14) 接続先: TCP HTTP - web service(発信元ポート56529)
ポートが一致してないみたいだけど。。
追試してみようと思いましたが,同じ環境ではないので再現できないかもしれません。NetBarrier を切ってみても同じでしょうか。Mac OS X 純正のファイアウオールの設定を書いていただけるとある程度テストできます。
どういうタイミングでこのログ(Stealth Mode 云々)が出るか分かりませんが,ログに出ているアドレス等を見る限り異常ではありません。
> ポートが一致してないみたいだけど。。
はクライアント側のポートなのでランダムに振られていておかしくありません。
たまちゃんさん、ありがとうございます。たまちゃんさんに問題ないと言われると、とても安心しますが、ここに書き込んだ後、ここの Cookie を削除した状態で徘徊してどうなるか試していました。
そしたら、Apple のはなくなって、以下一行だけになりました
Jun 1 11:08:51 username ipfw: Stealth Mode connection attempt to TCP 192.168.0.2:50255 from 66.151.152.125:80
それで、omniture のアドレス範囲を NetBarrier の停止リストに入れて徘徊してみたらどうなるか見ていました(ここにログインできなくなりました。今使ってる Cookie はバックアップのものです)
そしたら、omniture と Apple のはなくなり、別のところだけがなぜか増えていました
Jun 1 23:15:47 username ipfw: Stealth Mode connection attempt to TCP 192.168.0.2:56519 from 209.85.143.127:80
Jun 1 23:15:47 username ipfw: Stealth Mode connection attempt to TCP 192.168.0.2:56521 from 206.191.161.8:80
こういうのが飛び飛びで10行くらいずつ
OSX のファイアウォールは、すべて「停止」、
「詳細」の方はすべてチェックが入っています。
有線で接続しています。
NetBarrier のログと、ipfw のログは一致しないのですね。
NetBarrier はまだ停止して試していません。
現状報告でした m(_ _)m
ipfw のコンソールのログについて
