Pada Mac, bagaimana koneksi (mungkin oleh spyware) dibuat ke alamat internet di luar saat startup awal?

0

Saya mencoba untuk mengamankan Mac setelah mengetahui bahwa tautan jaringan sedang dibuat ke beberapa situs internet yang tidak diinginkan.

Menggunakan 'lsof -i' (daftar buka 'file', internet) Saya telah melihat bahwa launchd, ntpd, firefox, dropbox dan proses lainnya adalah 'MENDENGARKAN' atau memiliki tautan 'ESTABLISHED' ke situs atau situs yang saya duga harus lakukan dengan spyware. Saya telah mencoba menemukan file startup dan daftar preferensi yang memulai tautan ini tetapi tidak dapat menemukannya. Saya dapat dengan mudah menginstal ulang OS dan mengembalikan data dari cadangan tetapi saya lebih suka untuk mengetahui cara memperbaikinya karena saya memiliki enam Mac untuk dijaga.

Terima kasih...

macos networking operating-systems spyware quack quixote
sumber
Ada apa dengan situs-situs ini yang membuat mereka curiga?
Richard Hoskins
Saya meneliti ketiga situs (pada mesin yang berbeda) melalui internet dan menemukan bahwa mereka semua dicurigai - baik adware atau mungkin spyware. Yang ingin saya lakukan adalah menemukan file config dan / atau proses apa di Mac yang memulai tautan ke setiap situs.
Segera setelah saya mendeteksi setiap contoh, saya membuat file host poin ke 127.0.0.1 untuk masing-masing situs dan memblokir mereka pada DNS yang saya gunakan. Sno Leopard's Firewall tampaknya tidak memungkinkan untuk biocking IP - setidaknya saya tidak yakin bagaimana melakukannya. Di sinilah pengetahuan sysadmin unix saya mulai berkurang .... Saya kira sudah seperti ini sejak lama karena saya baru saja berpikir untuk melihat ini baru-baru ini. Salah satu situs, tampaknya, telah ditutup pada November 2008 tetapi salah satu Mac masih 'MENDENGARKAN' untuk itu ...
Ini terdengar membingungkan; MENDENGAR berarti Mac Anda mendengarkan koneksi yang masuk, dan tidak terkait dengan komputer jarak jauh tertentu; sebagai gantinya, lsofakan melaporkan alamat IP komputer Anda yang sedang didengarkan program (atau "*", artinya semua port). Ini bisa sedikit membingungkan, karena lsofmencoba untuk menampilkan nama daripada alamat IP numerik, dan dapat memberikan hasil yang menyesatkan jika (misalnya) Anda memiliki banyak nama yang dipetakan ke 127.0.0.1 di / etc / hosts. Cobalah lsof -i -nuntuk mendapatkan IP mentah sebagai gantinya.
Gordon Davisson
Gordon, terima kasih atas saran Anda untuk menggunakan opsi '-n'. Ini mengkonfirmasi bahwa koneksi 'ESTABLISHED' adalah IP yang dipetakan ulang yang saya masukkan ke file hosts yaitu ke 127.0.0.1. Jadi, setidaknya saya tahu pasti tidak berbicara di luar lagi. Sekarang yang ingin saya lakukan adalah mencari tahu apa file konfigurasi OS unix yang terlibat dalam meluncurkan koneksi yang dicoba ini. Itulah masalah yang saya coba selesaikan.

Jawaban:

1

Jika Anda cukup repot untuk membayar solusi, Anda mungkin menyukai Little Snitch , yang merupakan firewall keluar.

Justin Love
sumber
Terima kasih untuk itu. Sebenarnya apa yang saya coba cari tahu adalah file konfigurasi OS apa yang terlibat dalam meluncurkan koneksi yang dicoba ... Lebih baik untuk menghentikan masalah pada sumbernya, terutama jika sedang diselesaikan oleh proses sistem yang memiliki hak pengguna super ...
0

Meskipun tidak sepele, DTrace dapat digunakan untuk membantu melacak di mana koneksi dibuat jika Anda bersedia untuk menulis skrip D kecil. Cari penelusuran anonim jika Anda perlu melacak saat sistem memulai. Anda dapat meminta panggilan untuk menyambung ke alamat yang dimaksud dan kemudian menangkap jejak tumpukan pengguna, misalnya. (Anda mungkin ingin mengubah alamat menjadi 127.0.0.2 di database host Anda sehingga Anda memiliki alamat unik yang cocok.) Anda juga dapat melacak akses file yang terjadi sebelum itu. Jika terlalu banyak data, penelusuran spekulatif DTrace akan memungkinkan Anda untuk melacak sementara setiap akses file dan melakukan data jejak terbaru setelah koneksi dibuat.

Jika koneksi dibuat oleh spyware, informasi seperti nama host dapat di-hardcode ke dalam program dan tidak ada dalam file preferensi. Mungkin juga akan dikaburkan sedemikian rupa untuk membuatnya sulit dilacak.

mark4o
sumber
0

Itu satu langkah dihapus, tetapi semua proses yang berjalan berjalan secara otomatis pada OS X dijalankan oleh launchd. Anda dapat menggunakan alat baris perintah launchctl daftar tugas yang diketahuinya. Artikel Apple ini di launchd mencantumkan direktori konfigurasinya, tempat tugas ditentukan.

Justin Love
sumber