Unheimliche Hintergrundprozesse - smbclient

Theome

Mitglied
Thread Starter
Dabei seit
03.09.2004
Beiträge
55
Reaktionspunkte
3
'Little Snitch' gibt mir seit heute vormittag ab und zu folgende meldung:

The application "smbclient" wants to connect to 169.254.151.234 on TCP port 445 (microsoft-ds)

sehr unheimlich. was ist das? smbclient heisst fuer mich, dass es was mit dem samba-netzwerk zu tun hat.
ich hab das windows-filesharing allerdings deaktiviert und probiere auch nicht uebers netzwerk auf andere rechner zuzugreifen.

was macht dieses programm? ist es irgendeine art virus? immerhin tut es dieser 'smbclient' ganz von alleine, ohne mich vorher zu fragen. was ist das fuer eine ipadresse? die laesst sich nichteinmal anpingen ....

ich habe nichts neues auf meinem mac installiert (nicht dass ich wuesste ...), arbeite mit der juengsten version von X.3 mit allen sicherheits updates. hat jemand ne idee?

sehr besorgte gruesse,

Theome.
 
hi willkommen erst mal bei macuser.de ;)

... das sieht mir nach einem portscan aus. das programm sagt mir jetzt
mal gar nix. hat euer netzwerk ne firewall?
 
hmm, wird wohl nix von ms sein, weder der ping noch ein traceroute hat irgendwelche ergebnisse gebracht. mein terminal sagt mir "host is down"
hast mal nach microsoft-ds gegoogelt?!?

--> hab ich beim tecchannel gefunden:

tecDaten: Alle Infos zum Produkt 445/microsoft-ds im Überblick
Letztes Update: 30.12.2002
TCP- und UDP-Ports im Überblick
Port
445

*Service
*microsoft-ds

*Protokoll
*TCP/UDP

*Beschreibung
*Windows 2000/XP SMB

*Klasse
*Well-Known

*Trojaner
*nein

*Spiele
*nein

*Komm.
*nein

*File-Sharing
*nein

*MS
*ja

*Std.
*nein

*Apple
*nein

*Verschlüsselt
*nein

*Bewertung
*4 (eher unwichtig)
*

*Kommunikations-Tools
*Protokoll
*TCP/UDP

*Microsoft
*Protokoll
*TCP/UDP


*Microsoft-Protokoll
*Microsoft Server Message Block, benutzt ab Windows 2000


*Apple

*Protokoll
*TCP/UDP


*Apple-Protokoll
*-
 
Zuletzt bearbeitet:
Das ist irgendeiner dieser Würmer für MS-Windows. Zu vernachlässigen. Stell IPFW so ein das Anfragen auf Port 445 einfach blockiert werden.
 
Hat nichts zu bedeuten, da wird einfach versucht mit einer nicht vorhandenen IP-Addresse auf Dich zu connecten. einfach ignorieren... oder eben wie asg gesagt hat, per ipfw blocken..

Code:
ipfw add deny tcp from any to <DeineIP> 445
 
Schon mal gegoogelt?

smbclient — ftp-like client to access SMB/CIFS resources on servers


smbclient is a client that can 'talk' to an SMB/CIFS server. It offers an interface similar to that of the ftp program (see ftp(1)). Operations include things like getting files from the server to the local machine, putting files from the local machine to the server, retrieving directory information from the server and so on.
Quelle: http://www.samba.org/samba/docs/man/smbclient.1.html

- björn
 
vielen dank fuer die antworten :)

dann hat sich wohl ein wurm in unser netzwerk geschlichen. sitze hier in nem studentenwohnheim mit etwa 200 PCs ... ne firewall nach draussen gibt es zwar, aber viele rechner innerhalb des netzwerks sind verseucht.

habe die ip nun wie vorgeschlagen gesperrt.

danke nochmal!

Theome.
 
Theome schrieb:
vielen dank fuer die antworten :)

dann hat sich wohl ein wurm in unser netzwerk geschlichen. sitze hier in nem studentenwohnheim mit etwa 200 PCs ... ne firewall nach draussen gibt es zwar, aber viele rechner innerhalb des netzwerks sind verseucht.

habe die ip nun wie vorgeschlagen gesperrt.

danke nochmal!

Theome.
Ich habe noch von keinem Wurm gehört, welcher auf einem Unix/Linux System das Programm smbclient bedienen kann. Aber mal davon abgesehen, das ich einen Wurm in einem 200 Mann/Frau Netzwerk nicht ausschlagen kann/will. ;)

- björn
 
Das ist kein Wurm sondern eine smbclient-Anfrage, damit kann man z.B. Shares auflisten oder aber auch Popups über den Nachrichtendienst verschicken.
Wenn ich z.B. auf einem Rechner hier die Shares sehen will, gebe ich ein "smbclient -U Administrator -L <SID>".
Vielleicht will jemand auf deinem Wohnheim gucken, ob du was freigegeben hast?
Wobei mir diese IP sehr bekannt vorkommt... ist das nicht eine Dummy-ID, die vergeben wird wenn du DHCP verwendest, aber kein Server da ist?
 
Hi

Vielleicht würde es sich doch ab und an mal empfehlen, sich zuerst Gedanken zu machen, bevor hier unsinnige Antworten gepostet werden und Panik verbreitet wird.
Little Snitch ist keine Firewall, und gibt auch nicht aus, wenn externe Zugriffe auf den Rechner erfolgen, sondern meldet sich nur, wenn Programme auf dem Rechner versuchen auf Netzwerkports zuzugreifen. In diesem Fall smbclient, einem Dienst von OSX, und der versucht auf eine DHCP Class B Adresse zuzugreifen, das meldet LittleSnitch, und nichts weiter, kein Wurm, kein Virus, gar nichts.

Vielleicht solltest du nur Programme installieren, deren Funktion Du auch kennst.

HTH

W
 
Woulion schrieb:
Little Snitch ist keine Firewall, und gibt auch nicht aus, wenn externe Zugriffe auf den Rechner erfolgen, sondern meldet sich nur, wenn Programme auf dem Rechner versuchen auf Netzwerkports zuzugreifen. In diesem Fall smbclient, einem Dienst von OSX, und der versucht auf eine DHCP Class B Adresse zuzugreifen, das meldet LittleSnitch, und nichts weiter, kein Wurm, kein Virus, gar nichts.

ich weiss sehr genau was little snitch macht und was nicht, also auch dass es keine firewall ist.
vor 'angriffen' von aussen habe ich eigentlich keine angst. wenn allerdings littlesnitch etwas meldet, dann heisst es ja, dass mein rechner selbstaendig probiert nach aussen eine verbindung aufzubauen. und genau das hat mich verunsichert, denn eine verbindung nach aussen hatte ich in dem moment der meldung selbst nicht veranlasst.

Vielleicht solltest du nur Programme installieren, deren Funktion Du auch kennst.

das tue ich ;)

eigentlich hatte ich auch gedacht zu wissen was smbclient fuer ein programm ist - so in etwa wie [TB]Lucky es zitiert hat. genau deshalb wundert es mich, dass dieses kleine programm verbindungen aufbauen moechte, obwohl windows-sharing, und damit meines wissens das samba-tool auf meinem system deaktiviert waren.

ich bin uebrigens froh dieses forum entdeckt zu haben - freue mich ueber die ausfuehrlichen und kompetenten antworten hier :D

liebe gruesse,

Theome.
 
Theome schrieb:
---8<---
das tue ich ;)
--->8---
eigentlich hatte ich auch gedacht zu wissen was smbclient fuer ein programm ist - so in etwa wie [TB]Lucky es zitiert hat. genau deshalb wundert es mich, dass dieses kleine programm verbindungen aufbauen moechte, obwohl windows-sharing, und damit meines wissens das samba-tool auf meinem system deaktiviert waren.

Der smbclient wird benötigt, wenn du Verbindungen zu Samba/Windows-Servern aufbauen willst.
"Windows-Sharing" ist das genaue Gegenstück dazu auf deinem Mac: Ein Samba-Server.
Na ja, genau genommen ist es nur die Bezeichnung des "Schalters", mit dem man Samba (und die zugehörigen Einstellungen der FW) aktivieren bzw. deaktivieren kann.

Den smbclient braucht man nicht zu deaktivieren, da er ungefähr so gefärhlich wie ein Web-Browser oder FTP-Client ist: Es werden keine Anfragen von außen entgegen genommen, sondern nur welche rausgeschickt (und die Antworten entgegen genommen).

169.254.x.x ist eine APIPA Adresse: Scheint so, als sei dein Mac auf DHCP konfiguriert und findet keinen DHCP Server?
Oder bist du "regulär" in einem APIPA-Netz?

Edit:
Ach ja: Ein Wurm/Virus würde mit ziemlicher Sicherheit nicht den smbclient bemühen, um einen anderen Rechner anzusprechen, sondern dies kurzerhand selber tun (oder sich selbst den Namen "smbclient" geben?)
Verrät LittleSnitch den Pfad, von dem "smbclient" geladen wurde?

Im übrigen gibt es viele Dinge zwischen Himmel und Erde / Mac und WinTel, die wir nicht verstehen . . . ;)
:Edit


Gruß,

?=?
 
Zuletzt bearbeitet:
die ip adressen in diesem netzwerk werden manuell eingestellt, es gibt keinen dhcp server.

windows filesharing habe ich abgestellt weil es keine dateien auf meinem rechner gibt die ich jemandem freistellen moechte und auch keiner probieren soll auf meinen rechner zuzugreifen.

ich habe gedacht, vielleicht veranlasst jemand von ausserhalb trotzdem, dass eine solche verbindung aufgebaut wird (wie auch immer ...). dass smb server und client kopmlett getrennte programme sind habe ich nicht gewusst. aber ich habe sie ja auch nicht extra installiert ;)
 
Hi

Na, zumindest ist jetzt der Zugriff auf die Shares der anderen Studenten unterbunden, auch ein guter Weg das raubkopieren zu bekämpfen :D :D

W
 
Zurück
Oben Unten