Door Anoniem: Door Anoniem:
Sorry - ik kan niks bruikbaars toevoegen - Alleen dat ik dit gedrag niet genoemd heb zien worden op (security) mailinglisten of andere fora.
(en niet zie op mijn mac)
Ongetwijfeld heb je al lang ge-googled en daaruit ook geen directe link met mac gevonden.
(Ik vond een 'moon' worm dd 2014, en 'puremasuta', recenter).
Het meest effectief lijkt me inderdaad als je één of enkele personen met de scannende Macs vraagt of je op hun mac mag kijken/testen wat dit zou kunnen zijn.
Weet je of een individueel apparaat dit continu doet, of met een interval (bij online gaan/na dhcp request, uurbasis ?)
FYI - mac's hebben standaard tcpdump aan boord, dus je kunt 'direct' zien of het gebeurd en stopt als je iets uitzet.
Inderdaad ik heb gegoogled en een aantal dingen onderzocht en in mijn start posting opgeschreven. Opvallend hoe
veel reageerders hetzelfde schrijven als daar al stond. Maar daar heb ik niet veel aan natuurlijlk.
Zoals er (ook) al staat, die macs doen het zo'n een maal per dag. Wellicht bij het inschakelen of connecten met het
netwerk ofzo. Dat zou ik nog nader kunnen uitzoeken aan de hand van de verschillende logs.
Ah, sorry - overheen gelezen dat je de frequentie van de scan per device ook al genoemd had.
Ik ken de frustratie : hoe completer en duidelijk je startvraag , des te waardelozer de antwoorden.
En zeker als je soms zelf mensen goed op weg helpt, en dan denk je 'nu heb ik ook eens een bruikbare hulp verdiend' en krijg je niks.
Ik heb zelf nul kennis van de Mac dus ik zie het niet zo zitten om naar zo iemand toe te lopen en te zeggen "geef me
dat ding even en laat me zien hoe je een cmd venster opent dan zal ik dat ding eens gaan onderzoeken".
FWIW, de shell zit in Applications -> Utilities -> Terminal .
(Of de nederlandse vertaling ervan) .
'Console' is een log viewer .
Je krijgt een bash shell, en dan kun tcpdump starten. Als de gebruiker de beheerder is kan dat zonder sudo / root .
(En ps , top etc ).
Als het een goed verstopte trojan is, zul je wel iemand nodig hebben die goed thuis is in Macs. Maar als het 'gewoon' een printer/router config utility is kun je die wel tegenkomen.
In de basis is OS-X wel een Unix, maar heel fors verbouwd tov van een klassieke *BSD.
Dan zou ik nog in de preferences utility (grijs dring met tandwiel-logo) kijken , naar users & groups , en dan bij de gebruiker naar 'login items' .
Daar staan extra programma's die bij login van die gebruiker gestart worden. (denk aan bv fitbit drivers/programma, itunes Helper, ).
Gezien je kennis zal dat je ook als Mac-leek wel lukken om te bekijken en een idee te hebben of het een relatie heeft of niet.
En als ik
de gemiddeld Mac gebruiker het verhaal ga vertellen verwacht ik ook niet direct dat die dat begrijpt en dat die zelf komt
met "oh dat ligt natuurlijk aan dat beheerprogramma van mijn vorige router wat ik 2 jaar geleden geinstalleerd heb maar
waar ik nooit wat mee doe".
Inderdaad - geen enkele 'gemiddelde' gebruiker trouwens, Mac noch Windows noch Linux.
[..]
Daarom probeer ik concrete info te verzamelen. En als dat niet lukt dan laat ik het wellicht gewoon liggen, het is niet
zo zeer schadelijk, het is meer iets wat naar voren kwam bij het tunen van de configuratie van dit netwerk en het om
een beperking van de apparatuur heen werken bij optimaliseren van de performance. (zie de referentie naar die
ARP storm)
Als je genoeg zin en tijd hebt zou je nog een honeypot dan wel echte HNAP sprekend routertje (het ding hoeft niet te routeren, alleen maar HNAP praten) kunnen aansluiten en dan meekijken wat de clients gaan sturen als ze wel een antwoord ipv een 404 krijgen. Mogelijk dat daaruit beter af te leiden is wat de software wil en welk soort software het is.