【Mac】セキュリティスレ Part.10

>>939
レスありがとうございます。
Google関連は入れていないです。
何が原因なんだろう・・・orz

通信量をアプリ別にだしてくれるアプリとかいれて調べてみたらいいんじゃないか

WireSharkでわかるかね

>>943,944
WireSharkですか・・・
あまりその手のアプリは入れたくないんだけどなぁ・・・
入れたら余計に変な状態になるんじゃないかって。
あまり詳しくないですし。

ちょっとググって考えてみます。

Wireshark入れてみました。
キャプチャし始めましたが、ルータのログと違う気がします。ログで見る限りは内から外へ、
という感じだったのに、そのパケットがあまりありません。（ルータでブロックしてるから出ないのかな？）

代わりに何故か無効にしているはずのIPv6のICMPv6がたくさん飛び交っています。
（多分ルータ自体のIPv6は有効）
自分のところのルータはICMPを閉じない代わりに、ICMPの宛先を全く存在しないIPアドレスに飛ばすそうなので、
それが飛び交っているのかも？です。

・・・このアプリを使ってるときでも、Macのファイアウォールは有効ですよね・・・？

俺の Mac 内のusbmuxd ってやつが www.groupon.jp にアクセスしてるんだが何をしてるんだろう
usbmuxd はググると同期するようななにかに影響しているみたいだけど、
俺が使ってるMacは少なくとも今何とも同期してない
AirMac経由でネットしてる以外は何ともつながっていない
ちなみにMBP+SnowLeopardだ

例のパケット来ました。
３カ所のIPアドレスにtcpで中身がhttp?で、後ろのほうのポートから降順に送っている？ようです。

出てきたIPでググってみると、某有名IT情報サイト等がヒットしました。
なんか、踏み台にされてる気がしてきました。こわい。
やっぱリストアしようかなぁ。orz

Wireshark使ってるなら、通信内容見えるべ。httpsとかでなければ。

>>950
すみません、見方がよくわかりませんorz

対象のIPがちょくちょく変わってきました。
その先は一度は自分が行ったことのあるサイトでした。
これぐらいしかわかりません。

>>951
とりあえず follow tcp stream とかやるんだよ。

lsofとかで変なポートで変なプロセスがlistenしてないか確認するのも手ではある。

おはようございます。
>>951
怪しいパケットでやってみましたが、何も出ませんでした。

>>953
とりあえず何もオプションをつけずにターミナルで実行したら、$のままでも実行できてしまいました。
これって大丈夫なんでしょうかorz

そのあと、 -i　オプションを付けて調べたら、あるコマンドが、送信元が自IPで、なんか怪しいポートのあとに矢印があり、
行ったことのないはずないところのアドレスがあり（IPではなく、URLでした）、ESTABLISHED、もしくはCLOSEDになっていました（これかな？）。
辞書を引いたんですけどESTABLISHEDの意味がよく分かりませんでした。
なんかまずいのかな・・・？

>>954
>ESTABLISHEDの意味がよく分かりませんでした。

この点についてだけコメントするけど、見に行くところが違うよ。
「TCP」を調べないと。

ターミナルから　”netstat -a” とかするとよく見かけるキーワードなんだけど。
TCPの接続が確立された状態のこと。
（例えば、http://ja.wikipedia.org/wiki/Transmission_Control_Protocol の状態遷移図のところを参照。）

すみません。
専ブラ設定でURLを透明NGIDにしてるので>>954の次が見れません。
ごめんなさい。

使いこなせないならLittle Snitchとか簡単なアプリで
通信内容見れば

NG外せばいいじゃん
アホなのか

アフォだからこういうやり取りになってるんだろ

>>958,959
そうですよね、すみません。一時的にNG解除しました。

>>957
ありがとうございます。入れてみます。制限があるのがつらいですけど。

LittleSnitchを入れて、しばらく監視してみました。

PubSubAgentがブックマークしたページのRSSを見にいこうとして引っかかるときと、
Safari via WebProcessがSafariでWebを見にいくときに引っかかるときがありました。

RSSは特に設定していないはずなのですが、これって正常なのでしょうか？
ググると、よく暴走する、とはあるのですが。

ああ、ブックマークしたページじゃなくて、何度も訪れたページですね・・・

Little Snitchを入れていろいろ設定して、監視もしたのですが、ログの状況は変わらずでした。
Little Snitchからはその通信が見えませんでした。

疲れた・・・orz

もうネット関係の品物一切合切窓から投げ捨てれば？
そうしたら、幸せになれるよ。

いろいろ設定して
恐らく設定しきれてない

次スレ
http://anago.2ch.net/test/read.cgi/mac/1325485653/

>>966
乙

別に立て直すまでもないと思うけど、テンプレあれでいいの？

>>968
おかしな点は？

>>969
これまでの>>1と全然違うから荒らしが立てたスレかと思った。マジで。

>>970
何それ

試しにSafariの送信ルールを拒否にして、試しにFirefoxを許可にして、
Firefoxのみでブラウジングして、ログを見たら、
送信元ポート固定で送信先がhttpでブロックされていました。

あと、Safariを使ったときに比べて大幅にログの量が減っていました。

なんかルータのフィルタリングのアレルギーのような症状の気がしてきました。

追記ごめんなさい。
中途半端な知識丸出しで申し訳ありませんが、
ブラウジング時の送信元のポートってそんなに頻繁に変わるもんなんですか？

もう諦めろ

もう一切ネット接続すんな。

スレの趣旨にあってるし面白いじゃん
どーせ他に話題ないんだし？いいんじゃね

ネット接続しなくてもウイルスでインフラもやられる時代だ。
あまり過度に気にしてたら電子機器捨てるしかない。

OS9の出番だよ！

つまり、自分の気にし過ぎだったということでしょうか？

自己解決しました
検索条件を推敲（？）してググったら、うちのルータはゴミの検知率が異常に
高いということがわかりました。

ご迷惑をおかけし、申し訳ありませんでした。

何も解決してないな

うむ。してないな。

金が無くなっていて大慌てで調べてみたら金庫の鍵に引っかき傷が見つかりました。
つまり盗まれたという事が判明しました、これで解決です。

こんな感じだけどホントに大丈夫かい？

>>981,982,983
自分の考え過ぎ、ということではなかったのですか？

ルータのログを見ると、送信元ポートがランダムの宛先httpへの送信がたくさんあった。
（ルータがブロック）
↓
Wiresharkでは送ろうとした後の通信がなかった（ルータがブロック？）
↓
通信先のアドレスは殆ど自分が見たことのあるアドレスだった。
↓
Little Snitchを入れると、Safari関係ぐらいしか該当の通信はなかった。
↓
Safariを遮断すると、遮断される。
↓
Firefoxで通信すると、送信元ポートが固定された状態で宛先httpがログに残る。
（ルータがブロック？）
↓
よくよく調べてみると、うちのルータは関係ないものまで遮断することがわかった。
↓
これもあとからわかった（勉強不足）ことだが、
送信元ポートはhttpの場合はランダムということらしい。
↓
つまり考え過ぎ？←今ここ

ということです。
解決してないのでしょうか？

PC窓から投げ捨てて、精神科でお薬貰うとイイな
もしくはX6でも入れてFWはそっち任せにすればいい

もうネットをしなければ(・∀・)ｲｲ!!と思う。

宛先晒してみ？

そんな叩くなよ
俺は興味深く見させてもらってる

ランダムって言ってもチェックが必要&塞いだ方がいい番号はあるぞ

>>985,986
厳しい意見をありがとうございます。
Macをクリーンインスコして、ノートン入れてみようかと思います。
>>987
宛先はちょくちょく変わるので、全てをさらすわけにはいかないですし、
一般のサイトが数多くあったので、そのサイト運営者にも迷惑がかかるかも
しれないのでちょっと・・・すみません。
>>988
ありがとうございます。
>>989
送信元ポートは必ずと言っていいほど５桁です。

少し書きましたが、週末ぐらいにクリーンインスコと、ノートンを入れようと思います。ありがとうございました。

このへんみてみるとか？

***

概要
サーバーのポート番号は基本的に固定である。例えば、Webサーバーであれば概ね80番である。
対して、クライアント側は何番でも構わないため、他のプロセスと重複しないように自由に番号が決められる。この時のポートをエフェメラルポートという。

ttp://www.wdic.org/w/WDIC/エフェメラルポート