Little Snitch Meldung

ml & k

Stechapfel
Registriert
18.06.05
Beiträge
163
Hallo allerseits

Seit gestern bekomme ich von Little Snitch eine interessante Meldung. Screenshot ist angehängt.
Was meint ihr dazu? So eine private IP ist schon etwas verdächtig...

Grüsse, ml & k

little_snitch.png
 

Julia-DD

Welscher Taubenapfel
Registriert
27.08.06
Beiträge
761
Kann das Samba sein? Versuchst du dich zu einem Server/Computer/Festplatte zu verbinden?
 

ml & k

Stechapfel
Registriert
18.06.05
Beiträge
163
Ich denke auch, dass es sich um samba handelt. Nach einem "sudo find / -name smb" kriege ich folgendes Ergebnis: /usr/libexec/cups/backend/smb

Cups wäre ja ein Drucker über Windows Sharing angesprochen... Aber weshalb dann nach Estland (.ee)? Da möchte ich wirklich nichts ausdrucken ;)
 

space

Neuer Berner Rosenapfel
Registriert
02.12.05
Beiträge
1.949
Gib doch mal dsl.end.estpak.ee bei Google ein …

Gruss
 

ml & k

Stechapfel
Registriert
18.06.05
Beiträge
163
Nur Usage statistiken... Ist einfach ein Provider. Meine Hostname im Netz sieht auch fast gleich aus (XXX-XXX-XXX-XXX.dclient.cablecom.ch oder so ähnlich).

Oder meintest du etwas anderes?
 

Hobbes_

Gast
Also ich würde mir mal überlegen, welche Tools/Helper/coole Programme auf dem Computer allenfalls installiert sind.

Eine solche Kontaktaufnahme könnte sehr nach einem Spyprogramm/Trojaner aussehen.

Ich weiss, dass es das ja bekanntermassen auf dem Mac nicht gibt ;), dennoch könnte es genau so aussehen.
 

m00gy

Gast
Ich würde sagen, da scannt irgendein Scriprkiddie das Netz, auf der Suche nach Windowsrechnern mit offenem Port 445 - um dort eine NetBIOS-Attacke zu starten. Das dürfte Deinem Mac allerdings weitestgehend egal sein:

http://www.petri.co.il/what's_port_445_in_w2k_xp_2003.htm
 

ezi0n

Leipziger Reinette
Registriert
07.07.05
Beiträge
1.786
hm sieht für ich so aus wie ein NetBT probe auf deinen port 445, sprich es versucht jemand auf deine festplatte mit netbios über tcp zu verbinden, das ist standard seit windows xp, du bekommst jedoch nur eine Meldung weil du incoming (sharing) anscheinend aktiviert bzw offen hast. beim versuch sich nun zu verbinden wird der eingehende paket durch deinen paketfilter gelassen, der authentifizierungsprozess sagt nun dem smbd dass er den user authentifizieren soll, es wird ein outgoing packet erzeugt und das zeigt dir little snitch an.

an deiner stelle würd ich mir deine konfiguration im bereich sharing mal genauer ansehen wenn dies phänomen auftritt wenn du direkt mit dem internet verbunden bist. sollte das ganze passieren während du über einen router ins internet gehst dann suche auf deinem system nach prozessen die dort nicht hingehören. ich gehe aber davon aus, du hängst mit dem gerät direkt am internet, liege ich richtig?
 

Hobbes_

Gast
Ich würde sagen, da scannt irgendein Scriprkiddie das Netz, auf der Suche nach Windowsrechnern mit offenem Port 445 - um dort eine NetBIOS-Attacke zu starten. Das dürfte Deinem Mac allerdings weitestgehend egal sein:

http://www.petri.co.il/what's_port_445_in_w2k_xp_2003.htm

Plumpe Frage:
Little Snitch kontrolliert jedoch nicht den eingehenden, sondern den ausgehenden Traffic. Der von Dir beschriebene Scan sollte doch schon durch die normale Max OS X Firewall blockiert werden, oder nicht?
 

m00gy

Gast
*upps* Sorry, da hast Du natürlich Recht. Da hab ich aus unbedarftem Halbwissen heraus Schwachfug geschrieben. Man möge es mir nachsehen... :-[
 

stk

Grünapfel
Registriert
05.01.04
Beiträge
7.141
Moin,

Little Snitch kontrolliert jedoch nicht den eingehenden, sondern den ausgehenden Traffic.

ebend. Es gibt vom lokalen Rechner den Versuch eine SMB-Verbindung zum benannten Server aufzubauen. Der SMB-Prozess kann durch eine andere Applikation getriggert sein.

Dienstprogramme -> Aktivitätsanzeige aufmachen und den SMB-Prozess identifizieren. Unter "Info" gibt's dann u.U. weitergehende Angaben, wer da dahinter steckt.

Gruß Stefan
 

lazertis

Schöner von Nordhausen
Registriert
26.11.06
Beiträge
327
Hier ein paar Angaben zur der genannten IP. Es handelt sich um eine Adresse aus Estland (naja, okay, das sah man bereits... :)). Seltsam, das. Die Erklärung von ezi0n finde ich recht plausibel.

IP address: 213.35.234.188
Reverse DNS: 213-35-234-188-dsl.end.estpak.ee.
ASN Name: ESTPAK (Estonian Telephone Company Ltd.)
Country (per IP registrar): EE [Estonia]
Country IP Range: 213.35.128.0 to 213.35.255.255
Country fraud profile: High
City (per outside source): Tallinn, Harjumaa
Country (per outside source): EE [Estonia]
Link for WHOIS: 213.35.234.188
 

ezi0n

Leipziger Reinette
Registriert
07.07.05
Beiträge
1.786
wenn du es genau wissen willst machste das über netstat .. dann siehste ob ide verbindung von extern oder von intern geöffnet wurde ..
 

Rastafari

deaktivierter Benutzer
Registriert
10.03.05
Beiträge
18.150
Seit gestern erst? Du glücklicher.
Diese Form von "digitalem Swingerclub" gibt es dank MS schon seit... pff. Ewig.

Was meint ihr dazu?
Richte einfach in LS zwei neue Regeln ein. Eine, die dem Programm jeglichen Netzverkehr völlig untersagt, und eine weitere die ihn nur in deinem lokalen Netz freigibt. Dann hast du ewige Ruhe vor dem Sch...
 

ml & k

Stechapfel
Registriert
18.06.05
Beiträge
163
Hallo zusammen,

danke für die vielen Inputs. Leider kommt die Meldung im Moment nicht mehr. Also schwer zu reproduzieren. Das nächste mal werde ich die Verbindung zulassen und mit netstat eine Analyse machen (Danke für den Tip, netstat habe ich ganz vergessen).

@ezi0n: Die Idee ist schonmal nicht schlecht. Wäre einleuchtend, dass ein Response die Meldung auslösen könnte. Bin aber hinter nem Firewall und habe keine fremden Teilnehmer im Netz (Nur eigene Server und die Leute, die bei mir in der Wohnung rumhängen :) ).

@stk: Habe ich gemacht. Konnte aber keinen Prozess finden (habe allerdings auch nicht auf jeden geklickt um näheres rauszufinden).

@rastafari: Wird dann irgendwann mal gemacht. Aber zuerst möchte ich die Ursache rausfinden. Da ist es ganz praktisch wenn LS aufpoppt.

Ich halte euch auf dem Laufenden. Hoffentlich kommt das nochmals.
 

marcozingel

deaktivierter Benutzer
Registriert
07.12.05
Beiträge
9.960
Ein Frage hätte ich noch:

Kann die neue Version parallel zur Vorgängerversion eingesetzt werden ?