launchdによるポート10011の利用について

ポート10011 を狙っているのは、Windows 系の　トロイの木馬　です。

Backdoor.Fatroj

Backdoor.Fatroj.Cli

もし変更が必要なときはできればノートン上から簡単にわかりやすく設定したいのですが、どうしたらよいのでしょうか？きっと全くとんちんかんな質問だと思うんですが、どなたか優しく教えていただけますでしょうか。

ノートンサポート - お問い合わせ窓口 - 個人/SOHOビジネスのお客様

こちらに問い合わせる方が確実かと思います。

えいずん さんによる書き込み:

なんだか気味が悪くて。

気味悪いですね。心中、お察し申し上げます。

もし変更が必要なときはできればノートン上から簡単にわかりやすく設定したいのですが、どうしたらよいのでしょうか？

これは、私も分からないのです申し訳ないのですが、インターネットに繋ぐさいには、いわゆるブロードバンドルータは設置されてらっしゃいますか。インターネットにMacを直結してらっしゃるので有れば危険です。

私も困っております。　同じ「10011」のTCPで非暗号、暗号双方で「LISTEN」が、ネットに繋いでいなくともなっています。

気付いたのは、先日、セキュリティソフトで今まで安易に許可していた純正ソフトかどうか分からないUNIXプログラム"helpd","Locationd"だったと思いますが、リストから削除して以降、safariの「環境設定」を開くと必ず「Locationd」のプログラムが接続を求め始めだしました。　「環境設定」を開かないと分からないまま普通に閲覧出来てしまいます。

暫定的にその状態での接続を「拒否」にして様子を見るつもりです。

同時期に別のMacBookPro（同じ設定で同じセキュリティソフトを導入済み。）共々、safariの「環境設定」で「詐欺サイト警告」下に「Google Safe ブラウジングサービスが利用出来ません。２日以内にアップデートされていません。」と警告表示が現れ、過去のスレッドに示されてあった方法のホームフォルダの「ライブラリ」「safari」のBookmark以外の全削除やシステムライブラリ、ライブラリも含めた「Cash」の削除も試したりしてみました。

「PRAMクリア」「セーフブート」も試してみました。どれが効果あったのか定かではありませんが、「Google Safe ブラウジングサービスが利用出来ません。〜」だけは解消されましたが、気持ちが落ち着きませんでしたので、どちらもセキュリティソフトでフルスキャンしている所です。

あわせてセキュリティソフト会社にも質問中ですが、MacBookだけはネットに繋がずの状態で外付けのTimeMachine,BackupHDD含め、ウィルスは見つかりませんでした。

それぞれのMacのファイルに、暗号化したスパースバンドルディスクイメージを保存しており、マウントごとにスキャンされますが、今までは異常なくスキャンされて、ウィルスも見つかりませんでした。

普段は「通常アカウント」で自動ログイン、管理者アカウントだけ「ファイルボルト」を掛けてしまい込み、日常に用いていません。

セキュリティソフトの接続確認では、あいかわらず「TCP10011」「TCP631」は「LISTEN」の状態です。　「TCP631」はプリンタ共有らしいですが、当方はどのMacでも一切「共有」は認めていないため、余計に不審な感じがしています。

どちらのMacも最近のディスクユーティリティでのアクセス権の検証、修復ともに異常なしでした。

第三者ソフトは２台ともインターネットセキュリティバリアX6以外、何も入れていません。

MacBookのみiPod複数台,iPhone3Gsと連携させているので、早く不安を払拭させたいです。

しばらくはこのまま様子を見て過ごし、セキュリティソフト会社の方からの指示待ちと言ったところです。

落ち着くまでは大事な情報のあるMacBook,MacBookProは使わずに済ませます。

予備に使えるiMacにはアンチウィルス（カスペルスキー）導入済みで、今までの所ウィルス発見もされず、他のMacのような不具合もなくあるので、当面これでインターネットします。　こちらも共有なし、通常アカウントにペアレンタルコントロール適用の運用です。

私も困っております。　同じ「10011」のTCPで非暗号、暗号双方で「LISTEN」が、ネットに繋いでいなくともなっています

非暗号、暗号，というのはどういうことかよく分かりませんが，locationd は Snow Leopard に含まれる純正のソフトということです。

What is locationd and why is my 3rd party firewall intercepting it in Snow Leopard at intervals?

WiFi から場所を決めるためのもののようです。

locationdってのが出たり消えたり。

のブログに、googlemap で自分の場所が出る，とあります。

これが動くのがいやなら，システム環境設定>セキュリティ の「一般」のところに「位置情報サービスを無効にする」という設定があります。ここにチェックを入れておけばいいのかもしれません。

自分のところでは，「位置情報サービスを無効にする」にチェックは入れてませんが，locationd は動いてませんので分かりません。何かのきっかけで動くのかしらん？

locationd は動いてませんので分かりません。何かのきっかけで動くのかしらん？

グーグルマップの左上に移動用の手の形のアイコンがあります。

その下の丸いアイコンが有ります。

それをクリックすると位置情報を取得しょうと動き出します。

はに さん、ご助言ありがとうございました。　システム環境設定を見直したら、Proだけ「位置情報サービス」が有効な状態（無効にするチェックが入っていなかった）ので、早速設定し直しましたが、不具合に気付いたのは最近で、以前からこの設定でも不自由せずsafariの環境設定は出来て、10.6.4アップデート前後にこのsafariの環境設定の「詐欺サイト警告」の下に「位置情報サービス」の項目が増えたはずですが、この頃からかな？と推測します。

昨日のProでインターネット閲覧したときに初めて「変だな？」とおもったもので。

セキュリティソフト設定見直しで許可リストから削除したとたん、悩まされまして、同様の設定のはずのMacBookとは違う挙動を見せたので、気になり始めた訳です。　でも助言のおかげでシステム環境設定が微妙に違う事に気付けたので良かったです。

先ほどProを立ち上げて動作確認してみました。

閲覧や環境設定画面表示、色々操作してもセキュリティバリアの警告表示は出なくなりました。ひとまず一つは片付いてくれたのでしょうか。

ただ、MacBookと同様にネットワークの状態に「TCP」「10011」「631」「LITSEN」はありますね。

「TCP」の「非暗号」「暗号化」の意味は、それぞれ、「http接続」「https接続」のことを書き間違えたものです。ご指摘感謝します。

OSXのシステム環境設定でいくら無効にしてもだめでしょうかねぇ？

共有はすべて無効で運用とか、管理しやすくトラブル対処に混乱しにくいように第三者ソフトは最低限とか、やっと無線接続で運用するのに不安が消えた所なので、慎重にしていたつもりなんですが、色々漏れる所はあるもんですね。

iMacではネットワークの状態を見るすべが分からないので、また、大事な情報を入れずに贅沢にも閲覧専用みたいな運用をしているために、不具合を意識せずになんとか使えています。　最低限のウィルス対策ソフトを短い間隔でスキャンさせる設定で運用し、TimeMachineで外付けのHDDにバックアップする程度でしのいでいます。

ただ、MacBookと同様にネットワークの状態に「TCP」「10011」「631」「LITSEN」はありますね。

うちのでは、先程も書きましたように，チェックを入れてないにも関わらず，10011は動いてませんので分かりませんが，631の方は，これはOSXのプリント用のデーモン，CUPSのものです。なので、たとえプリンタ共有を使ってなくても，このポートのLISTEN自体をなくすことは出来ません（そんなことしたら，共有プリンターだけでなく，通常の印刷も出来なくなります）。LISTENとあるから心配されてるようですが，LISTENは自分自身からの要求を聞くという意味もあります。なので、LISTENとなっていても，必ずしも外からのパケットに応答するという訳ではありません。ネットワークというのは，unixのシステムでは，もちろん外部のホストと通信するのに必要ですが，自分自身の内部のいろいろなプロセス間の通信にも使われています。

お子様ランチ さん、はに さん、不安解消してくれて、本当に助かります。

プリンタ共有などの仕組み、分かりやすくてイメージしやすくなりました。

マップなど、無線で場所を把握するイメージも、iPhone3Gsで無料ソフトの「駅.Locky」を利用するので、ぼんやりとですが仕組みが分かりました。

ノートのMacは今はまだ自宅で運用するだけだったので、「位置情報サービス」は利用しないつもりだったんですが、Proだけ設定し漏れたのかも知れません。

すべてのMacは「システム環境設定」で「ファイアウォール」を「基本インターネットサービス以外の受信はブロック」に設定してしまっています。

共有がほかのものと出来ない不便さは理解しつつ、今は自信もないのでそうしています。

セキュリティバリアなどセキュリティソフトは相当システムに入り込んでくれて動作している印象があるので、その第三者ソフトに由来する挙動か、システムが元々担っている役割で心配ないのかも知れませんね。　セキュリティソフト導入前に見たりしてれば比較出来て良かったのですが、残念です。

このiMacでも「ユーティリティ」の「ネットワークユーティリティ」にて「Netstat」で「現在の全ソケットの接続状態」を表示させると、他のと同じ、「TCP」のローカルアドレス（ポートかな？）「*10011」がtcp4,tcp6共に「LISTEN」になっているのを確認しました。対になるフォーリンアドレスはありませんでした。

あとはセキュリティソフト会社さんのほうに、確認すべき事のみ残った感じですね。

でも、このまぎらわしい「10011」のTCPって、一体何なんでしょうね？　早く理解したいです。

それをクリックすると位置情報を取得しょうと動き出します。

なるほど。

/System/Library/LaunchDaemon/com.apple.locationd.plist

を見ると，OnDemand true となってます。

このサービス，アップルはCoreLocation と呼んでいるようですが，まだこのサービスを使うアプリが少ないようで、自分の場合は動いてないのかもしれません。

そのうちに、このボードでも動くようにされて，何も入力しなくても，はに from Tokyo とか出たりするようになったりして，，，

でも、プライバシー情報をそんなふうに勝手に使っていいのか，とかいろいろ議論は出るでしょうね。

from Tokyo ぐらいならいいけど、南麻布、、、、とか勝手に出たら嫌だよね。

えいずん さんのように、ルータで設定されたのでしょうが、純正ソフトでも気になるポートが開きっぱなしであるのを塞ぐ方法ってあるんでしょうか？

当方はNTTのCTUにPPPoEを任せ、直下に複数台のAirMacExtreme（二重のNATを無視させて。）、その下に異なるネットワークにして基本一台ずつMacを有線、無線接続させています。

AirMacExtremeには確かその様な遮断させる選択肢がなかったはずで、NTTのCTUにあるんでしょうか？　また設定画面を探ってみます。

遮断出来るとひとまずは安心感が増すんですが、心配しながら使うのも結構疲れますね。

こんなときに限って、純正ソフトのsafariなどのアップデートが出たりしますから、ちょっと困っております。

とりあえず気軽に使えるiMacだけセーフブートで導入しました。　"TCP""http","https"の"10011"は代わり映えしてませんが。

"631"のポートが開いているのはご助言もあるので、気にせぬ事にしました。

セキュリティソフトのフルスキャンですべてのMacが異常なしと言われたので、安心すればいいんでしょうけれど、心配し過ぎでしょうかね？

こんなことも...

Twitterなどに載せた写真のEXIF metadataから住んでいる場所が分かり名前や電話番号などを調べるのは容易だとセキュリティ研究者が発表しました。入会やAppの使用などは情報の利用を結果的にユーザが認めている事に注意。対策はgeotaggingをOFFにする。自宅近くの写真は載せないなど...

ぴっぴ さん、ご助言助かりました。

このボードのプロフィールに車の写真使っていますが、幸い自宅からほど遠いところの写真で一安心です。　でも利用規約の事も含め、気をつけないといけませんね。

"10011" "TCP" "http" "https"が"LISTEN"の件ですが、safariのアップデートを境に閲覧などがおかしくなりだしまして、どうやらシステムの不具合があるように感じた上、TimeMachineを使って起動ディスクから復元しましたが、前回同様大事な"private"フォルダが丸見えで復元されたので、思い切って二台のMacBookを新規インストールしてアップデートする事にしました。

ついでにMacBook,MacBookProの役割を交代させて、外付けHDDにFirewire800が使えるProをメインに使う様にしました。　データのコピーとかにしばらくは時間を取られますが、いいきっかけになります。

"10011" "TCP" "http" "https"の"LISTEN"は、新規インストール直後、ソフトウェアアップデートだけでも「ネットワークユーティリティ」で確認されました。

純正ソフトの正常な動きの様に思われました。　第三者ソフトか、システムの不具合がきっかけでセキュリティソフトに引っかかるような事態になった様に感じました。

新規インストールは何度やっても大変なので、以前にどこかで誰かが助言されていたような、最新のアップデート状態を、外付けHDDにもう一つOSXを最小限でインストールさせて、そのディスクユーティリティで内蔵HDDシステムをイメージに残してみます。

Tabが知らないうちに悪意のSiteに変更される。実証コード公開されてしまったので悪意があればHDDやTime capsuleのFilesystmを一瞬で壊してしまう。前者は修正されてませんし、後者は現状では直しようがありません。

私はTime Machineは使わず、OSXとDataに分けDataをリンクです。Snow Leopardを入れた直後のDMG、これにComboを入れSoftware UpdateしたものにiTunes, iPhoto, iMovieのみを入れ、設定を済ませたDMG、これに3rd Partyを入れて使います。

Backupは各々2つの方法で取り出し、複数のHDDに保存、HDDは常にPower OFFです。