smbclientについて

灰色ネコさん、こんばんは

システム環境設定の共有でファイル共有の設定はどうなってますか？

追記

ちなみにsmbclientというのはターミナルから使用するコマンドで、Windowsのファイル共有（samb等）に接続する為のコマンドです。

このメッセージは次により編集されています: アイスクリーマ

ファイル共有はオフになっています。

discussionにかき込む前に他所でsmbclientが接続コマンドだという事は教えていただいて知っています😊

しかし自分で入力した訳でも無し、なんで？って感じなんです。

自分のネットワーク内にWindows機が繋がっているユーザもたくさんいます。こういうユーザのマックのファインダーには、共有とは無関係にWindows機も表示されます。こういうのはsmbclientがやっていると思います（多分）。別に共有をオンにしてなくても，Mac であろうが Windows であろうが、ゲストの接続は出来ます。こういう諸々の機能にはsmbclientが働いています。こういう機能をいらないと思う人も多いかもしれませんが，便利と思う人もそれ以上に多いです。相手がMacであろうが、Windows であろうが自由にやり取りできます，というのがアップルのセールスポイントの一つですから，この機能なくしたらクレームも出るかもしれません。自分が恩恵を受けるまでその便利さが分からないかもしれませんけど。

というわけで、ユーザの意思とは無関係に smbclientは動いています。

なぜwindowsネットワークに接続しようとしてるんでしょう？

使用されています iMac は、インターネットに直接「接続」をされていないでしょうか。

本来は、インターネットに接続される場合　「ルーター」 が必要です。

使用されていないようでしたら、外部「WAN 側」から丸見えですので

ウィルスバリアx6のアラートで「smbclientが次のポートへ接続しようとしています：139（ホスト：プライベートアドレス）

と表示されました

このようなアラートが出ても不思議ではありません。

ルータの必要性 をよく読んで理解をした上でルーターを導入して下さい。

宅内でAirMacに無線接続してるはiMacとiBookだけです。

ルーターは、使用されているようですね。

追記

smbclient

ウィルスバリア X6 の設定についてお聞きします。

ファイヤーウォール設定　が　「サーバのみ」　になっていないでしょうか。

本来は、「クライアントのみ」もしくは「クライアント、ローカルサーバ」で使用します。

このメッセージは次により編集されています: iMacintoshi

LAN内にSMBで共有を設定したMacやPCをおいて試すのですが、smbclientは起動しませんでした。何か、起動する条件があるはずなのですが。

ちなみに、私のところで一昨日にsmbclintが起動している形跡を見ました。インストールしたてのMacでメールの受信もHPの閲覧も行っていない状態だったので、マルウェアの影響は考えにくいです。

OS X10.6.4(Serverだったかも知れません。)

LAN内にSMBで共有を設定したMacやPCをおいて試すのですが、smbclientは起動しませんでした。何か、起動する条件があるはずなのですが。

smbclient はデーモンじゃないので，常時動くわけではありません。必要なときに短時間（ほとんど一瞬という方が正確？）動くだけと思います。なので、ポート139や445 をブロックしたアンチウィルスソフトでは引っかかるかもしれません（パケットが出れば引っ掛ける）が，プロセスを見ても動いているのが分かるときはほとんどないと思います。

しかし、ni_ki さんのところでは，ファインダーにWindows機は表示されてませんか？表示されているなら，それはsmbclientが働いているからです。うちではWindows との共有は使ってませんけど，ファインダーのサイドバーに同じLAN内のWindows機が表示されています。

はにさん、こんばんは

私のネットワーク環境にはWindows機があり、MacにVirusBarrier X6がインストールされているので灰色ネコさんの状況を再現しようとしたのですが、上手く再現できませんでした。

ファインダーのサイドバーにWindows機が表示されているのでsmbclientが起動したのは間違いないのですがブロックはされなかったようです。

VirusBarrier X6のファイアウォールの設定を変更して、Windows機が表示されない状況も再現してログを確認してみましたが139や445をブロックした形跡はありませんでした。

なぜ再現できないのか不思議です？

灰色ネコ さんによる書き込み:

サポートさんの回答は……不正解なんでしょうか？

サポートさんのいうことが正解のようです。はに さんのご助言をおもとに再度、AirMacを入り/切りして確認したところ、コンマ何秒の単位でsmbclientが起動いたしました。アクティビティモニタのサンプル間隔を最小0.5秒にしても、サンプル出来ないくらい短時間しか起動しないようです。

はに さんによる書き込み:

なので、ポート139や445 をブロックしたアンチウィルスソフトでは引っかかるかもしれません（パケットが出れば引っ掛ける）が，プロセスを見ても動いているのが分かるときはほとんどないと思います。

ipfwで引っ掛けてみようかどうか思案中です。設定すれば、logに残るはずですよね。

ファインダーにWindows機は表示されてませんか？表示されているなら，それはsmbclientが働いているからです。

今回の件とは、別件と思いますが表示されるときと表示されないときがあります。smbclientが必ずしも、SMBを拾ってくれていないようです。

VirusBarrier X6のファイアウォールの設定を変更して、Windows機が表示されない状況も再現してログを確認してみましたが139や445をブロックした形跡はありませんでした。

Windows 共有で使うポートはとてもややこしいので，自分もよく分かりませんが，Windows 共有に関係するポートとしては，135,137,138,139,445 があります。そしてこれらのポートは，UDP/TCP 両方のプロトコルが関係します（全部のポートじゃないかもしれませんけど）。というわけで，これらを全部ブロックしたら，パケットが引っかかりませんでしょうか？ルータなどでWindows 共有をブロックするときは，これら全部のUDP/TCPをブロックすることが多いように思います。Windows 共有はウィルス感染の主な経路の一つなので，これはルータレベルでは大抵ブロックするのが基本です。

とりあえずマルウェアの影響では無さそうで一安心ではあります。

灰色ネコさん，あなたは、知識が確実でないのに，少し神経質すぎると思います。

マルウェアに感染するとどうなるか，実際に感染させる立場で考えたことありますか？感染を防ぐ立場からはそういう視点も必要です。

もしそうした立場で考えれば，OS内部のプロセスが外向きのパケットを発しているだけなら，マルウェアは関係ないとすぐ分かりますが。

感染は外から来ます。外からのパケットが重要です。感染した後は，内側からのパケットも出ますが，それを出すのは，マルウェア本体のはずですから，smbclient のはずがありません。

smbclient は samba パッケージの中のソフトです。samba そのものは、Windows 共有を実現するための opensource でソースも内部の詳しい動きもすべて公開されていますので、心行くまでいくらでも調べることは出来ます。

実験結果を報告します。

VirusBarrier X6のファイアウォールの設定を変更してポート135,137,138,139,445を塞いだ所、自動的にsmbclientが起動した形跡は記録されていませんでした。ただし、手動でsmbclientを起動した所、ポート139がブロックされましたのでタイミングの問題かもしれません。

ただし、不可解なのは是等のファイアウォールの設定はかなり意図的に設定を行って初めて検出された結果ですので、「クライアント、ローカルサーバ」を使用している限りは是等のポートはブロックされないようになっています。なぜ、アラートが上がったのかは開発元にでも聞かないと分からないかもしれません。