皆様、はじめまして。自分はネットワークとかに全く疎いもので、
的外れな質問書かもしれませんが、よろしくお願いします。
iMacを購入してsnow leopardを使用しています。
先日スリープ状態から復帰させたところ
ウィルスバリアx6のアラートで
「smbclientが次のポートへ接続しようとしています:139
(ホスト:プライベートアドレス)
と表示されました
なんのアプリアだろ?と思って「smbclient」でHD内を検索してもなにもヒットしません。
他所で質問したところwindowsの共有ファイルに接続しようとしているのでは?とアドバイスを頂いたのですが
宅内でAirMacに無線接続してるはiMacとiBookだけです。
これといった操作&コマンド入力もしてないのに
なぜwindowsネットワークに接続しようとしてるんでしょう?
ウィルス等など考えられますか?
iMac, Mac OS X (10.6.4)
手動でsmbclientを起動した所、ポート139がブロックされました
nmblookup を起動したときはどうですか?
Windows の検出は,最初はnmblookup を動かしてから、smbclient を動かすようです。
私はマルウェアがsmbclientの機能を使って何かしら不正な通信をしようとしたのではと疑って(というか想像して)いたのです。
この思考自体が間違っているのですね(もちろんsmbclient自体に問題があるとは考えていませんでしたが)。
ご返信下さった皆様、お手数をおかけいたしました。ありがとうございました。
はにさん、いろいろ教えて頂きありがとうございます。
確かに nmblookup を手動で起動するとポート137,138などがブロックされました。
暫くログを見ていると、自動的に繰り返し起動されている形跡を見る事が出来ました。
今回の件はMacOS Xが samba パッケージを用いてどのようにWindowsを検出しているか分かって興味深かったです。
残る謎は、VirusBarrier X6の挙動だけですかね?
(ブロックしててもアラートは挙がらないんですよねぇ??? なにか設定を見落としているのかも。)
私はマルウェアがsmbclientの機能を使って何かしら不正な通信をしようとしたのではと疑って(というか想像して)いたのです。
MacOSX は、ターミナルを使えば相当高度なことも自由に出来ます。
もしこのような疑念があるなら,tcpdump を使えば,パケットそのものを直接見ることも可能です。tcpdump は標準で入っています。これで、例えば問題のsmbclientが出すパケットを見てやれば,そのパケットの宛先を調べることが出来ます。宛先が,自分のラン内のブロードキャスト(4つの0-255 までの数字の組で表され,最初の3つの数字は自分のランのアドレスと一致し,最後の数字が255になる)や、もしあるなら、自分のラン内のWindows 機なら,単にLAN内のWindows機を調べるためのものとすぐ分かります。もしそのパケットが,外のどこか特定のアドレス宛なら,非常に問題ということになります。
ウェブサイトには,ユーザ情報を取り出すためにマルウェアまがいのコードが埋められていることもあります。tcpdump を使えば,そういうことも検出可能です。
アイスクリーマ さんによる書き込み:
残る謎は、VirusBarrier X6の挙動だけですかね?
Norton Firewall4.1.0でlogを観察していても、なかなか見つかりませんね。当方のLANでいいますと10.0.1.255:137でSMBを探しにいくのは、Norton Firewall4.1.0は記録しているのかどうか、大量の「許可」logに埋もれて確認できませんでした。smbclientコマンドをターミナルで使った際にもNorton Firewall4.1.0は「Windows ファイル共有」と記録する場合と「smbclient」の名前で記録される場合があり、smbclientの活動はなかなか把握できませんでした。
そこで、ipfwを設定して137から139ポートを監視したら、ようやく見つかりました。10.0.1.255:137で応答があると、smbclientが個別に10.0.1.x:139(xはSMBを実行しているPCのIPアドレス)を行なうようです。smbclientを/usr/binから外すと、個別には発信しなくなります。
smbclientについて
