1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Little Snitch Meldung

Dieses Thema im Forum "macOS & OS X" wurde erstellt von ml & k, 16.05.07.

  1. ml & k

    ml & k Stechapfel

    Dabei seit:
    18.06.05
    Beiträge:
    163
    Hallo allerseits

    Seit gestern bekomme ich von Little Snitch eine interessante Meldung. Screenshot ist angehängt.
    Was meint ihr dazu? So eine private IP ist schon etwas verdächtig...

    Grüsse, ml & k

    [​IMG]
     
  2. dewey

    dewey Gewürzluiken

    Dabei seit:
    01.05.06
    Beiträge:
    5.732
  3. Julia-DD

    Julia-DD Welscher Taubenapfel

    Dabei seit:
    27.08.06
    Beiträge:
    761
    Kann das Samba sein? Versuchst du dich zu einem Server/Computer/Festplatte zu verbinden?
     
  4. ml & k

    ml & k Stechapfel

    Dabei seit:
    18.06.05
    Beiträge:
    163
    Ich denke auch, dass es sich um samba handelt. Nach einem "sudo find / -name smb" kriege ich folgendes Ergebnis: /usr/libexec/cups/backend/smb

    Cups wäre ja ein Drucker über Windows Sharing angesprochen... Aber weshalb dann nach Estland (.ee)? Da möchte ich wirklich nichts ausdrucken ;)
     
  5. ml & k

    ml & k Stechapfel

    Dabei seit:
    18.06.05
    Beiträge:
    163
    Aha, daher weht der Wind... der Prozess ist aber schon auf meiner Festplatte. Vielleicht ist ja smb ein alter Ego meines PB . :)

    Kennt jemand smb persönlich? So richtig real mit zwei Beinen und ner Nase im Gesicht :p
     
  6. space

    space Neuer Berner Rosenapfel

    Dabei seit:
    02.12.05
    Beiträge:
    1.950
    Gib doch mal dsl.end.estpak.ee bei Google ein …

    Gruss
     
  7. ml & k

    ml & k Stechapfel

    Dabei seit:
    18.06.05
    Beiträge:
    163
    Nur Usage statistiken... Ist einfach ein Provider. Meine Hostname im Netz sieht auch fast gleich aus (XXX-XXX-XXX-XXX.dclient.cablecom.ch oder so ähnlich).

    Oder meintest du etwas anderes?
     
  8. Hobbes_

    Hobbes_ Gast

    Also ich würde mir mal überlegen, welche Tools/Helper/coole Programme auf dem Computer allenfalls installiert sind.

    Eine solche Kontaktaufnahme könnte sehr nach einem Spyprogramm/Trojaner aussehen.

    Ich weiss, dass es das ja bekanntermassen auf dem Mac nicht gibt ;), dennoch könnte es genau so aussehen.
     
  9. m00gy

    m00gy Gast

    Ich würde sagen, da scannt irgendein Scriprkiddie das Netz, auf der Suche nach Windowsrechnern mit offenem Port 445 - um dort eine NetBIOS-Attacke zu starten. Das dürfte Deinem Mac allerdings weitestgehend egal sein:

    http://www.petri.co.il/what's_port_445_in_w2k_xp_2003.htm
     
  10. ezi0n

    ezi0n Leipziger Reinette

    Dabei seit:
    07.07.05
    Beiträge:
    1.786
    hm sieht für ich so aus wie ein NetBT probe auf deinen port 445, sprich es versucht jemand auf deine festplatte mit netbios über tcp zu verbinden, das ist standard seit windows xp, du bekommst jedoch nur eine Meldung weil du incoming (sharing) anscheinend aktiviert bzw offen hast. beim versuch sich nun zu verbinden wird der eingehende paket durch deinen paketfilter gelassen, der authentifizierungsprozess sagt nun dem smbd dass er den user authentifizieren soll, es wird ein outgoing packet erzeugt und das zeigt dir little snitch an.

    an deiner stelle würd ich mir deine konfiguration im bereich sharing mal genauer ansehen wenn dies phänomen auftritt wenn du direkt mit dem internet verbunden bist. sollte das ganze passieren während du über einen router ins internet gehst dann suche auf deinem system nach prozessen die dort nicht hingehören. ich gehe aber davon aus, du hängst mit dem gerät direkt am internet, liege ich richtig?
     
  11. Hobbes_

    Hobbes_ Gast

    Plumpe Frage:
    Little Snitch kontrolliert jedoch nicht den eingehenden, sondern den ausgehenden Traffic. Der von Dir beschriebene Scan sollte doch schon durch die normale Max OS X Firewall blockiert werden, oder nicht?
     
  12. m00gy

    m00gy Gast

    *upps* Sorry, da hast Du natürlich Recht. Da hab ich aus unbedarftem Halbwissen heraus Schwachfug geschrieben. Man möge es mir nachsehen... :-[
     
  13. stk

    stk Grünapfel

    Dabei seit:
    05.01.04
    Beiträge:
    7.141
    Moin,

    ebend. Es gibt vom lokalen Rechner den Versuch eine SMB-Verbindung zum benannten Server aufzubauen. Der SMB-Prozess kann durch eine andere Applikation getriggert sein.

    Dienstprogramme -> Aktivitätsanzeige aufmachen und den SMB-Prozess identifizieren. Unter "Info" gibt's dann u.U. weitergehende Angaben, wer da dahinter steckt.

    Gruß Stefan
     
  14. lazertis

    lazertis Schöner von Nordhausen

    Dabei seit:
    26.11.06
    Beiträge:
    327
    Hier ein paar Angaben zur der genannten IP. Es handelt sich um eine Adresse aus Estland (naja, okay, das sah man bereits... :)). Seltsam, das. Die Erklärung von ezi0n finde ich recht plausibel.

    IP address: 213.35.234.188
    Reverse DNS: 213-35-234-188-dsl.end.estpak.ee.
    ASN Name: ESTPAK (Estonian Telephone Company Ltd.)
    Country (per IP registrar): EE [Estonia]
    Country IP Range: 213.35.128.0 to 213.35.255.255
    Country fraud profile: High
    City (per outside source): Tallinn, Harjumaa
    Country (per outside source): EE [Estonia]
    Link for WHOIS: 213.35.234.188
     
  15. ezi0n

    ezi0n Leipziger Reinette

    Dabei seit:
    07.07.05
    Beiträge:
    1.786
    wenn du es genau wissen willst machste das über netstat .. dann siehste ob ide verbindung von extern oder von intern geöffnet wurde ..
     
  16. Rastafari

    Rastafari Golden Noble

    Dabei seit:
    10.03.05
    Beiträge:
    17.907
    Seit gestern erst? Du glücklicher.
    Diese Form von "digitalem Swingerclub" gibt es dank MS schon seit... pff. Ewig.

    Richte einfach in LS zwei neue Regeln ein. Eine, die dem Programm jeglichen Netzverkehr völlig untersagt, und eine weitere die ihn nur in deinem lokalen Netz freigibt. Dann hast du ewige Ruhe vor dem Sch...
     
  17. ml & k

    ml & k Stechapfel

    Dabei seit:
    18.06.05
    Beiträge:
    163
    Hallo zusammen,

    danke für die vielen Inputs. Leider kommt die Meldung im Moment nicht mehr. Also schwer zu reproduzieren. Das nächste mal werde ich die Verbindung zulassen und mit netstat eine Analyse machen (Danke für den Tip, netstat habe ich ganz vergessen).

    @ezi0n: Die Idee ist schonmal nicht schlecht. Wäre einleuchtend, dass ein Response die Meldung auslösen könnte. Bin aber hinter nem Firewall und habe keine fremden Teilnehmer im Netz (Nur eigene Server und die Leute, die bei mir in der Wohnung rumhängen :) ).

    @stk: Habe ich gemacht. Konnte aber keinen Prozess finden (habe allerdings auch nicht auf jeden geklickt um näheres rauszufinden).

    @rastafari: Wird dann irgendwann mal gemacht. Aber zuerst möchte ich die Ursache rausfinden. Da ist es ganz praktisch wenn LS aufpoppt.

    Ich halte euch auf dem Laufenden. Hoffentlich kommt das nochmals.
     
  18. marcozingel

    marcozingel Brettacher

    Dabei seit:
    07.12.05
    Beiträge:
    7.482
  19. marcozingel

    marcozingel Brettacher

    Dabei seit:
    07.12.05
    Beiträge:
    7.482
  20. marcozingel

    marcozingel Brettacher

    Dabei seit:
    07.12.05
    Beiträge:
    7.482
    Ein Frage hätte ich noch:

    Kann die neue Version parallel zur Vorgängerversion eingesetzt werden ?
     

Diese Seite empfehlen