コンソールのmail.logの内容

今までのやり取りは（全部は）読んでませんので、とんちんかんなことを言っているかもしれませんことをお断りしておきます。
> リペア成功と表示される前なのでこれででなくなるのではないかと思っています
ディスクの状態とメールは無関係です。
このメールのログでは、BBB というアカウントに配送が成功してます。そのメールを読んでみたらどうですか？そうすれば、これが何が出しているもので、おかしなものかそうでないかよく分かると思うのですが。
前のやり取りでもそうでしたが、PDJ というアカウントに配送されていました。今回はBBBです。なせこういう、本人にも分かりにくいような（PDJ はあなたも最初は知らない、とおっしゃってましたよね？）アカウントをお作りになるのですか？
あなた自身もよく把握されてないマシンのことをここで相談されても、マシンに触れることも出来ない我々に分かる訳ありません。
多分何かソフトインストールされたときに作られたアカウントではないかと思うのですが、こういう無責任なアカウントの作り方はやめてほしいものです。インストールするときは、きちんと本当の自分のアカウントでインストールしてください。このようなアカウントを無責任に作られているようでは、セキュリティもへったくれもありません。訳の分からないアカウントを作らないことは、コンピュータのセキュリティ対策の基本の基本です。訳の分からないアカウントがあって、それを経由して侵入されても、そのコンピュータの所有車が侵入に気付くのは無理です。

Content not available

> シマンテックのスケジューラーが実行されるとPostfixが稼働する
そうみたいですね。
シマンテックのスケジューラといっても、OSX の Cron を利用してるだけみたいですけど。
> 私は自分で何かするようにしたわけではない
ノートンアンチウィルスをインストールするときに、よく分からずにリターンキーを押し続けてこうなったということではないのですか？どのユーザにアップデートのお知らせが届くようにするか、のときに適当にBBBとした、とか。BBB の uid は 503 になってますので、最初から３番目に作られたアカウント（最初のはOSX　を最初に実行したときに作られたもので、現在普通に利用されているもの、２番目がPDJ、これもノートンアンチウィルス絡み？）ということですよ。

Content not available

安食さんも再びすみません。私のUNIXの勉強が足りず、幼稚な返答になってしまいますが、、（Cronとかまだよくわかっていません）
＞ユーザID 503をご自身で作成していない／されたに関係なく
私は503というユーザ名は作成していません。以前に言ったように最初PDJというユーザ名を一つ作成して使用していたのですがパスワードを設定していないと危険！と皆さんに教えて頂いてその後このPDJから管理者権限を取り、管理者権限を持ったAAAというアカウントを作成、その後管理者権限は普段は使用しない方が良いとお聞きして普通のアカウントBBBを作成しました。そのまま503というアカウント（ユーザ名）は作成していませんがこのPDJ、AAA、BBBがそのまま501、502、503という名前に自動的に変換されるのであれば別におかしくないということになります。
　実は今読んでいるセキュリティの本にも「postmaster宛にエラーメールがたくさん戻ってくると不正侵入その他の可能性がある」とあります。
　もう４回OSインストールしなおしたのですが、どうもシマンテックと思われるフォルダにトロイが入っているような、そういう単語がみえるのですが、、。間違っていたらいけないのでここに書くのを躊躇っていたのですが。今、ふと思ったのですがNAV（その他ウィルス検出ソフト）って自分のフォルダはスキャンしないものなのでしょうか？　灯台下暗し？
　それで、もしこれが本当にトロイだとしたらNetBarrierを通り超えて、macのFWも通り超えて来たってことでしょうか？そんなことできるのでしょうか？

Mac OS X はUNIXやターミナルが分からなくても使用できるようになっていますので、そうゆう知識を必要とする職場や生活環境を目指すのでない限り、あるいはコンピュータ熱中者になりたいのでなければ必要ないです。問題が起きたらApple Discussions （日米サイト）で相談したりKnowledge Baseで調べたりすれば、たいていの問題は解決できます。セキュリティに関しては実態に対して書籍や防御情報が追いついていないこともあります。
＞今、ふと思ったのですがNAV（その他ウィルス検出ソフト）って自分のフォルダはスキャンしないものなのでしょうか？
私は、Mac OS Xではアンチウィルスアプリケーションは必要ないので、購入したことがありません。細かな機能は知りませんが、ウィルスが宿ると思われるディレクトリは、その環境設定によりすべてスキャン対象になるのでしょう。
＞もしこれが本当にトロイだとしたらNetBarrierを通り超えて、macのFWも通り超えて来たってことでしょうか？そんなことできるのでしょうか？
NetBarrierとMacのipfw（IP FireWall）では体験していませんが、特殊なスキャンパケットをハイエンドなルータに実装されたFirewall、Windows 陣営の最も抑止力のある市販Firewall（又はWindows XP Pro実装のFirewall）を通過させて、malwareを埋め込む高度な技術を使うハッカーもいます。複数の技術を６０秒以内に連続的に進行させます。教唆する結果となるので詳細説明はいたしません。尚、このmalwareは標的がキー入力したデータをGPSを経由で攻撃者に送信するという優れものです。私は制圧に２回成功しましたが今後は分かりません。勿論セキュリティソフトなどは対処できません。念を押しますが、Windowsマシンでのことです。
注：小生はハッカー／クラッカー／ブラックハット／ホワイトハットではありません。斯様な行為をしたことはありませんし、攻撃実践技術を持っていません。
前回のスレッドで８桁以上の強固なパスワードを（参考文献をリンク）あなたに推奨したのを覚えていますか？実行されていますか？似たようなパスワードを複数使い分けるようなことはしていませんね。頑強な複数レイヤー設計が基本のMac OS Xでは、あなたを守る最後の生命線は頑強なパスワードですよ。
＞（Cronとかまだよくわかっていません）
元々は、Mac OS X 登場以前に周期的な仕事（スケジュール化）をさせるためにUNIX陣営で開発された実行ファイルです。Mac OS Xではインフラが一般的なUNIXとは異なります。さらに、Mac OS X Tigerでは、cronとそれに関連する重要な実行ファイルが"launchd"という機構に統合されました。セキュリティがさらに強化されたのです。詳細と背景は、http://developer.apple.com/macosx/launchd.html
がっちゃんはWindows 機を持っていますし、リスクコントロール（リスクマネージメント）に関心があるようですので、一つアドバイスいたしましょう。ご不便でもスケジュール化となるプロイグラムは全て無効化（日付／時刻の自動更新も含めて）すればさらにセキュアな環境になります。私は各々のOSのアップデートも自動化していません。従ってMac OS Xでは、マシン起動時の Bootstrap Protocol Client (６８番) ーー＞ Bootstrap Protocol Server (６７番) ポートへのブロードキャスト・パケット、起動後はボンジュール（mDNS）５３５３番ポートの常時リッスン（待受け）状態だけです。
＞どうもシマンテックと思われるフォルダにトロイが入っているような、そういう単語がみえるのですが、、
そうでないことを希望しますが．．．。cronで実行される全てのファイルをチェックしてください。内部プロセスを通じて不正侵入を図ろうとしていたのかどうかを検証することにより安心が得られます。シマンテックの理解ある方に問い合わせましょう。シマンテックでしたら、インストールするときと使用中に生成されるファイル、フォルダのリストをファックスかメールで送ってくれると思います。そうすれば照合しやすいですね。
ところで、NetBarrierはipfwと違って、内部から外部へ行く不正なIPパケットを制御するのではありませんか？登録ユーザ以外の悪意ある者がマルウェアを入れようとすれば、健全なシステムは明示的に反応するはずです。外部からの侵入を許すような脆弱性が内部に存在しない限り、頑強なセキュリティシステムに守られたMac OS Xへの侵入は出来ないでしょう。ご心配でしたら、以下のファイルのタイムスタンプ、サイズ及び外部からの書き込み可能有無を調べれば、不正侵入の痕跡がわかります。ということは、今度システムを入れ替えた直後には、健全なファイル情報をテキストやGrab（Utilitiesフォルダ内）などを利用して画像で保存しておきましょう。万が一、悪い結果がシマンテックからの出たのでしたら、アップル日

万が一、悪い結果がシマンテックからの出たのでしたら、アップル日本へ顛末を報告しましょう。
Goコマンド経由で /etc/ のディレクトリを開けます。
　inetd.conf
　xinetd.conf
　host.equiv
　hosts.lpd
　　この２つはデフォルトがゼロKBです。
　
　passwd
Goコマンド経由で /bin/ のディレクトリを開けます。
　csh
ターミナルを起動して、psをタイプしてreturnキーを押し下げてください。また、 whoも試みてください。何の情報か分かりますね。オプションコマンドなど詳細は http://developer.apple.com/search/ で当該MAN（Manualも意味）ページを検索すると分かります。覚えておくと便利です。また、ls コマンドとそのオプション・パラメータを使って、先頭が”...”あるいは”.. ”ドット２つに半角空白などの怪しいファイルが見つかるかです。lsの複雑なパラメータは小生分かりません。この辺りに造詣の深い方々がいます。
最後に、セキュリティの基本は３つです。自分自身を知ること、コンピュータを正しく使うこと、不要なサービスは稼働させないこと（使用するときにのみ有効に）です。防御が生かされるのはその後です。同じようなことは以前のスレッドでも述べたような気がします

いろいろありがとうございます。まだこれからなのですが、その前に一つ教えて下さい。
セキュリティを施していてもウィルスに感染することはあると思いますが、感染ルートはその感染したウィルスを調べることによってわかるのでしょうか？
不特定多数を対象にしたウィルスでたまたま感染したものであればOSを含めて全てフォーマットすれば一時的にはもとに戻ると思いますが、私を意図的に狙ったものであった場合、根本的な解決にはなりませんから、感染ルートが知りたいのですが（今後の防衛のためにも）それは調べてもらえばわかるものなのでしょうか？

すみません、初歩的なことをお伺いします。
＞Goコマンド経由で /etc/ のディレクトリを開けます。
　inetd.conf
　xinetd.conf

　host.equiv
　hosts.lpd
　　この２つはデフォルトがゼロKBです。
このGoコマンドを実行するところはどこですか？ターミナルですか？

>感染ルートはその感染したウィルスを調べることによってわかるのでしょうか？
Mac 陣営では実害はないと思いますが、Windows 陣営での話ですか？（Apple Discussions USAで感染したという投稿を以前一度見ましたが、記事内容に信憑性がなく無視したことはあります。）Mac では、仮定が前提になるのでしょうけど、セキュリティで仮定のディスカッションはよくないです。
>感染ルートが知りたいのですが（今後の防衛のためにも）それは調べてもらえばわかるものなのでしょうか？
誰に（ISP、警察、小生？？？）要請する前提のご質問ですか？

＞このGoコマンドを実行するところはどこですか？
shift + Command（リンゴマーク）+ G キーを押し下げると入力画面が出ます。日本語環境のMac OS Xでは”移動”メニューです。上記ファイルの移動やオープンは厳禁です。何の目的のファイルなのか、Googleなどで事前に検索してください。
原因について”ボタンの掛け違い”をしているのではないかと思うようになりました。管理者権限を変更されたタイミングやその処理過程において、NAVのプログラムが不正利用をしていると判定したのではないかと。セキュリティの世界では"compromise"といいます。障害や欠陥を生じさせるというような意味です。一口でいいますと自爆であり自縛です。この場合の対策はありますが、障害が解消されるまで時間がかかる場合が稀にあります。

安食さん、回答を頂いていたのに気づくのが遅くなってしまい、すみませんでした。（投稿通知のメールが来ていたのに私が無意識に削除してしまったのかもしれません。いづれにしてもすみませんでした）
ノートン以外のアンチウィルスソフトでスキャンしたところ、以下の３つが検出されました。
/Users/CCC/Library/Caches/Firefox/Profiles/nikv7c5y.default/Cache/1AFB9CCFd01: HTML.Phishing.Gold FOUND
/Library/Application Support/Norton Solutions Support/Norton AntiVirus/Engine20060816/VIRSCAN9.DAT: Trojan.Aavirus FOUND
/Library/Application Support/Norton Solutions Support/Norton AntiVirus/Engine20060927/VIRSCAN9.DAT: Trojan.Aavirus FOUND
下の２つはノートンの文字が見えるのでノートンの関係のフォルダではないかと思うのですが。
また、ちょっと話がそれてしまいますが、integoのアップデートをする時に６６．１１３．２３１．＊＊＊　（法律上問題なければIPアドレスをフルで書き込みます）
のIPアドレスに接続されます。
それで、これは正常な接続かintegoに聞いたところ正常で、接続先はフランスとのことでした。
このIPを調べてみると管理しているのは以下のようなアメリカのシカゴの会社のようでした。
OrgName: Hostway Corporation
OrgID: HSWY
Address: 1 N. State St.
City: Chicago
StateProv: IL
PostalCode: 60602
Country: US
NetRange: 66.113.128.0 - 66.113.255.255
CIDR: 66.113.128.0/17
NetName: HOSTWAY
NetHandle: NET-66-113-128-0-1
Parent: NET-66-0-0-0-0
NetType: Direct Allocation
NameServer: NS.SITEPROTECT.COM
NameServer: NS2.SITEPROTECT.COM
Comment:
RegDate: 2001-04-25
Updated: 2002-02-19
RTechHandle: AN94-ARIN
RTechName: Administrator Network
RTechPhone: +1-312-994-7690
RTechEmail: noc@hostway.com
OrgTechHandle: AN94-ARIN
OrgTechName: Administrator Network
OrgTechPhone: +1-312-994-7690
OrgTechEmail: noc@hostway.com
それでこのIPについてグーグルで検索してみたら２つの書き込みが見つかりそれが以下の通りです。
一つ目は
What we need to do is shut down PrivacyProtect
author: Internet User Think I'm kidding.............NO I'm not. The creeps at 66.113.231.*** are sending out little packets like trojons.
whois
Whois: 66.113.231.***
@whois.
Server Used: [ whois.arin.net ]
66.113.231.*** = [ anneanemon.com ]
以下上記と同じIPの検索結果
（このサイトのアドレスは　http://portland.indymedia.org/en/2005/07/320847.shtml です。）
２つ目は
privacyprotect has to go
Internet User , Jul 05, 2005 @ 22:39 GMT
While doing an update on my system this IP address: 66.1113.231.*** attempted to dump a trojon on my system. Time for PrivacyProtect to be shut down.
whois
Whois: 66.113.231.***
@whois.
Server Used: [ whois.arin.net ]
66.113.231.*** = [ anneanemon.com ]
（このサイトのアドレス:http://indymedia.us/en/2005/07/8729.shtmlはです。）
＊＊＊＊
私のPCで検出されたtrojonがどのように入って来たのかはまだ不明です。
侵入痕跡の探し方が、やっぱり私にはまだ無理みたいでよくわかりません。
それから私は別にテロリストでも、反政府でもないし、クーデターとか企てた事はありませんし、スパイでもなく、他人のPCへ攻撃、侵入したこともなく、今UNIXを一生懸命勉強している普通の一般民です。（念のため）

lsコマンドの件はやり方がわかりましたのでやってみました。
以下の通りです。PDJ（元管理者権限、今は権限なし）はsparseimageなので比較できませんが
BBBにはあって管理者権限AAAにはないものには（！）をつけてみました。
安食さんのおっしゃるドット２つに半角空白の怪しいファイルですが、ドット２つのファイルがあります。
またBBBにあるTrashとTrashes（こちらは管理者権限にはありませんが）の２つがありますが
これは単数か複数かで何か意味が違うのでしょうか。
Welcome to Darwin!
T1G:〜 BBB$ ls -a
. .Trash Library
.. .Trashes (!) Movies
.CFUserTextEncoding .bash_history Music
.DS_Store Desktop Pictures
.Spotlight-V100 (!) Desktop DB (!) Public
.SymAVQSFile (!) Desktop DF (!) Sites
.TemporaryItems (!) Documents
T1G:〜 AAA$ ls -a
. .bash_history Music
.. Desktop Pictures
.CFUserTextEncoding Documents Public
.DS_Store Library Sites
.Trash Movies
T1G:〜 PDJ$ ls -a
. .. PDJ.sparseimage

****************
訂正／前のポストの
/Users/CCC/Library/Caches/Firefox/Profiles/nikv7c5y.default/Cache/1AFB9CCFd01: HTML.Phishing.Gold FOUND
のCCCはBBB（管理者権限なし）の間違いです。

コピー＆ペーストするとひっついてわかりにくくなってしまったのでファイルとファイルの間に／を入れました。
T1G:〜 BBB$ ls -a
. /.Trash /Library
.. /.Trashes (!) /Movies
.CFUserTextEncoding /.bash_history /Music
.DS_Store /Desktop /Pictures
.Spotlight-V100 (!) /Desktop DB (!) /Public
.SymAVQSFile (!) /Desktop DF (!) /Sites
.TemporaryItems (!) /Documents
T1G:〜 AAA$ ls -a
. /.bash_history /Music
.. /Desktop /Pictures
.CFUserTextEncoding /Documents /Public
.DS_Store /Library /Sites
.Trash /Movies
T1G:〜 PDJ$ ls -a
. /.. /PDJ.sparseimage

セキュリティ関連ソフトウェアは「抑止力」のあるものを、セキュリティの基本は「足し算ではなく引き算」等々をアドバイスいたしましたが、理解されていないようですね。
『ノートン以外のアンチウィルスソフトでスキャンしたところ、以下の３つが検出されました。 』これらのファイルは、Clam AntiVirusなるアプリケーションをがっちゃんがインストールした際に放り込まれた疑似Malwareではないのですか？ Clam AntiVirusのReadmeファイルに何かそれを示唆するような情報はないですか？
『６６．１１３．２３１．＊＊＊』先頭の16ビット（66.113）または８ビット（66）だけでも、誰が所有しているネットワークなの調べることは可能です---過日、あなたが新規に加入したISPの一つがso-netであることが分かったように．．．
Integoが接続先はフランスであるとあなたに言われたことが腑に落ちません。Hostwayとはホスティング会社の一つで、所有しているネットワークはこの範囲（66.113.128.0 - 66.113.255.255）だけではないはずです。末尾のアドレスを教えてもらわないと細かな調査が出来ません。
ls コマンドを使用しなくても大丈夫です。それに検索したデイレクトリが間違っています。”SymAVQSFile”これは、名前から判断すると多分NAVが使用するファイルでしょう。ドット２つは別の意味ですが、前述のことが整理できてから改めて説明します。がっちゃんにとって、大切なことはUNIXの勉強よりもご自分のコンピュータのより安全な環境設定を徹底することです。＜---タイミングをみて具体的に明示的に説明します。