Konsole: massiver Anstieg der Meldungen

R

Roy Batty

Neues Mitglied
Thread Starter
Dabei seit
02.07.2013
Beiträge
6
Reaktionspunkte
0
Liebe Leute,

ich bin mit 10.6.8 auf Core 2 Duo unterwegs. Letzte Woche hatte mir LittleSnitch während eines Updates über die SW-Aktualisierung neben den Apple-Servern auch eine Verbindung zu 'logitech.com' angezeigt, die ich ziemlich sicher nicht selbst initiiert hatte, und die auch nicht auf eine Auto-Update-Funktion zurückzuführen war. Meine Rechner laufen seitdem normal wie sonst auch, ich war aber irritiert, und habe gestern 'auf Verdacht' auch mal die Konsole (Datenbanksuchen/Alle Meldungen) geöffnet.

Ich kann die Einträge dort nicht interpretieren, aber folgendes Phänomen ist für mich äußerst auffällig: bis zum 25.06.23 stehen dort etwa 5 bis 8 Einträge pro Tag. Ab dem 26.06. explodiert die Anzahl der Meldungen auf z.T mehrere Einträge pro Sekunde. Typische Einträge sind:

...
26.06.13 00:56:48 Firewall[64] Stealth Mode connection attempt to TCP 192.168.178.26:49152 from 92.122.102.224:80
26.06.13 00:57:02 Firewall[64] Stealth Mode connection attempt to TCP 192.168.178.26:14013 from 192.168.178.1:3864
...

Diese Meldung wird dann zig-fach wiederholt, wobei die IPs und Ports variiert werden. Eine andere häufige Meldung ist

26.06.13 00:51:25 com.apple.launchd[1] (com.apple.SystemStarter) Failed to count the number of files in "/System/Library/StartupItems": No such file or directory

Außerdem gibt es zu jedem Programm, das ich geöffnet hatte, ab diesem Datum plötzlich mehrere Meldungen. Und wie gesagt: bis vor einer Woche war in diesen Protokollen fast völlige Ruhe. Kann mir jemand dazu eine Erklärung geben? Wenn jemand mehr Infos möchte, kann ich auch eine Text-Datei mit ganzen Sequenzen mailen.

Sorry an die Admins für evtl. Anfängerfehler beim Posten, und danke an alle!

Roy
 
Das wird die NSA sein.
 
Als erstes stellt sich die frage, was du verändert hast oder neu installiert hast oder ob du noch weitere vermeintliche sicherheitstools nutzt, neben der Petze Little Snitch und ob du aufgeräumt hast, auf deinem Rechner.
Zu den Meldungen, die erste ist eine Kommunikation deines Rechners mit akamai, einen unternehmen, das für viele andere unternehmen Aufgaben übernimmt, auch für Apple, die andere Meldung ist eine Kommunikation deines Rechners mit deinem Router.
 
Guten Morgen,

die angebene IP gehört scheinbar zu Akamai (http://de.wikipedia.org/wiki/Akamai). Hast du vielleicht NetSessions oder dergleichen von der Firma (http://www.akamai.de/html/solutions/client_faq.html) ?


Wenn der Software- oder Medienherausgeber diese Funktion verwendet und Sie die Funktion aktivieren, kann NetSession auch einen kleinen Teil Ihrer Upload-Bandbreite nutzen, um andere Benutzer von NetSession Interface in die Lage zu versetzen, Teile der Inhalte des Herausgebers von Ihrem Computer herunterzuladen.
Zum Vergrößern anklicken....


Gruß Dennis
 
warum hast du eigentlich den tarn modus der firewall an, wenn du eh hinter einem router bist?
und wieso hast du /System/Library/StartupItems gelöscht?
 
Danke Euch!


Mein Punkt ist, daß die Konsole seit der letzten Woche etwa genauso viele Meldungen protokolliert hat wie in den 1,5 Jahren zuvor.

@bernie313: neben LS nutze ich gelegentlich TinkerToolSystems. Ich habe gerade ausprobiert, ob die dortige Funktion 'Protokollarchive bereinigen' ältere Meldungen in der Konsole entfernt; dem scheint aber nicht so zu sein. Trotzdem wäre das eine mögliche Erklärung.

@Denyseus: nein, von Akamai habe ich nichts installiert

@oneOeight: /System/Library/StartupItems habe ich nicht gelöscht

Um den Zeitpunkt des Anstiegs der Meldungen hatte ich über die SW-Aktualisierung auf Java 1.6.0_51 aktualisiert (dabei hatte LS übrigens auch diese ungewöhnliche Verbindung zu logitech.com gezeigt). Das Java-Update war erfolgreich, Java ist derzeit systemweit deaktiviert. Ob es da einen Zusammenhang gibt, weiß ich nicht.

Hier der Übergang vom 25. auf den 26.06.; danach geht es meist im Sekundentakt weiter bis heute, mit häufigen Meldungen der Firewall (Verbindungsversuche zum Router oder zu Servern, s. o.). Vor dem 26.06. gibt es nur wenige Einträge pro Tag:


23.06.13 12:08:27 loginwindow[31] USER_PROCESS: 31 console
23.06.13 18:49:22 loginwindow[31] DEAD_PROCESS: 31 console
23.06.13 18:49:30 shutdown[488] SHUTDOWN_TIME: 1372006170 850286
24.06.13 00:26:05 bootlog[42] BOOT_TIME: 1372026355 0
24.06.13 00:26:25 loginwindow[31] USER_PROCESS: 31 console
24.06.13 01:41:56 loginwindow[31] DEAD_PROCESS: 31 console
24.06.13 01:42:04 shutdown[345] SHUTDOWN_TIME: 1372030924 828519
24.06.13 11:20:55 bootlog[42] BOOT_TIME: 1372065643 0
24.06.13 11:21:18 loginwindow[31] USER_PROCESS: 31 console
25.06.13 02:28:19 loginwindow[31] DEAD_PROCESS: 31 console
25.06.13 02:28:29 shutdown[523] SHUTDOWN_TIME: 1372120109 123419
25.06.13 11:02:14 bootlog[42] BOOT_TIME: 1372150921 0
25.06.13 11:03:01 loginwindow[31] USER_PROCESS: 31 console
25.06.13 11:07:56 loginwindow[31] DEAD_PROCESS: 31 console
25.06.13 11:08:03 shutdown[178] SHUTDOWN_TIME: 1372151283 577253
26.06.13 00:51:08 com.apple.launchd[1] *** launchd[1] has started up. ***
26.06.13 00:51:18 com.apple.launchd[1] (com.apple.SystemStarter) Failed to count the number of files in "/System/Library/StartupItems": No such file or directory
26.06.13 00:51:18 com.apple.launchd[1] (com.apple.SystemStarter) Failed to count the number of files in "/System/Library/StartupItems": No such file or directory
26.06.13 00:51:19 bootlog[42] BOOT_TIME: 1372200668 0
26.06.13 00:51:22 blued[17] Apple Bluetooth daemon started
26.06.13 00:51:23 mDNSResponder[30] mDNSResponder mDNSResponder-258.21 (May 26 2011 14:40:13) starting
26.06.13 00:51:24 com.apple.usbmuxd[23] usbmuxd-196 built for iTunesNineTwo on May 17 2010 at 13:53:51, running 32 bit
26.06.13 00:51:24 com.apple.launchd[1] (com.apple.SystemStarter) Failed to count the number of files in "/System/Library/StartupItems": No such file or directory
26.06.13 00:51:24 com.apple.launchd[1] (com.apple.SystemStarter) Failed to count the number of files in "/System/Library/StartupItems": No such file or directory
26.06.13 00:51:24 com.apple.launchd[1] (com.apple.SystemStarter) Failed to count the number of files in "/System/Library/StartupItems": No such file or directory
26.06.13 00:51:24 com.apple.launchd[1] (com.apple.SystemStarter) Failed to count the number of files in "/System/Library/StartupItems": No such file or directory
26.06.13 00:51:24 com.apple.launchd[1] (com.apple.SystemStarter) Failed to count the number of files in "/System/Library/StartupItems": No such file or directory
26.06.13 00:51:24 com.apple.launchd[1] (com.apple.SystemStarter) Failed to count the number of files in "/System/Library/StartupItems": No such file or directory
26.06.13 00:51:24 com.apple.launchd[1] (com.apple.SystemStarter) Failed to count the number of files in "/System/Library/StartupItems": No such file or directory
26.06.13 00:51:24 com.apple.launchd[1] (com.apple.SystemStarter) Failed to count the number of files in "/System/Library/StartupItems": No such file or directory
26.06.13 00:51:24 /System/Library/CoreServices/loginwindow.app/Contents/MacOS/loginwindow[31] Login Window Application Started
26.06.13 00:51:25 com.apple.launchd[1] (com.apple.SystemStarter) Failed to count the number of files in "/System/Library/StartupItems": No such file or directory
26.06.13 00:51:25 com.apple.launchd[1] (com.apple.SystemStarter) Failed to count the number of files in "/System/Library/StartupItems": No such file or directory

Grüße
Roy

Edit: ich bin 'interessierter Laie'; d.h. ich habe bisher keine Vorstellung, wie es in der Konsole 'normalerweise' aussehen sollte.
 
leg den ordner StartupItems halt wieder an.
entweder im finder oder im terminal mit
sudo mkdir /System/Library/StartupItems
 
hab' heute mal in die Konsole eines fremden Rechners geschaut: es scheint ja völlig normal zu sein, daß dort alle Sekunde eine Meldung aufschlägt!?
Dadurch lautet die Frage für mich: warum war das bis vor einer Woche (auf meinen 3 Macs gleichzeitig) völlig anders (5-8 Meldungen pro Tag)? Ich hatte zu diesem Zeitpunkt jedenfalls keine Protokolldateien gelöscht oder sonstwie aufgeräumt.

Ich kann damit aber besser leben als mit der Vorstellung, daß die plötzliche Vielzahl der Meldungen auf ein Problem hindeuten könnten. Ich habe nicht die Kompetenz, einzelne Meldungen zu interpretieren, und solange die Kisten rund laufen, verlasse ich mein GUI besser nicht. Ich hatte zunächst aber die Befürchtung, daß sich im System dramatisch etwas verändert hätte.

Grüße
Roy
 
Der Vollständigkeit halber (auch wenn das Thema durch ist):
ich habe mir inzwischen mehrere Rechner unter 10.6.8 angeschaut: offenbar werden die Konsoleeinträge nach etwa einer Woche rückwirkend ausgedünnt, so daß ich überall darauf gestoßen bin, daß in den jeweils zurückliegenden 5-6 Tagen viele Meldungen pro Tag auftauchen, und davor dann nur noch wenige Einträge stehen bleiben.
Grüße
Roy
 
Zur Info: akamai wird auch für viele Dienste von Apple genutzt. Somit ist es i.d.R. normal, daß Dein Mac Verbindung dorthin aufbauen will.
 
Danke Dir. Mein primäres Anliegen war allerdings weniger, eine Erklärung für einzelne Konsolemeldungen zu bekommen. Mir war einfach nur aufgefallen, daß an Tagen, die länger als eine Woche zurückliegen, deutlich weniger Einträge in der Konsole vorhanden sind als in den unmittelbar zurückliegenden Tagen. Zunächst dachte ich, mein Rechner hat ein Problem, weil es so aussah, als ob die Anzahl der Einträge unvermittelt massiv zugenommen hätte. Inzwischen habe ich mir weitere 10.6.8 -Systeme angeschaut und gemerkt, daß das überall so ist. Für mich bedeutet das einfach, daß die Konsole vermutlich länger zurückliegende Einträge automatisch ausdünnt.

Grüße
Roy
 
Tut sie nicht, was soll das bringen?! Ältere Meldungen werden nur irgendwann komprimiert und woanders gespeichert und gar nicht mehr angezeigt.

Wieso legst du nicht einfach den Ordner an, wie beschrieben?! Das ist es doch, was dir den prozentualen Anstieg verursacht. Ich kann Dir versichern, der Ordner wird nicht dein System zerstören.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten