Tráfico TCP extraño en Mac OS X desde 'rdmd'

Question

Tráfico TCP extraño en Mac OS X desde 'rdmd'

#1 de munkeyoto (2 votos)

1

Noté algo de tráfico curioso hoy en mi MBP después de ejecutar lsof . Parecía que un proceso llamado rdmd había comenzado 3 sesiones TCP:

rdmd      85842        0    9u  IPv4 0xca0e547f0a118fdb      0t0  TCP *:6103 (LISTEN)
rdmd      85842        0   10u  IPv4 0xca0e547f0bc57fdb      0t0  TCP *:6102 (LISTEN)
rdmd      85842        0   11u  IPv4 0xca0e547f09fae7c3      0t0  TCP <my IP>:53854->87.106.252.92:80 (ESTABLISHED)

Así que hice un seguimiento de esto, y encontré un servidor en Alemania, con el nombre de dominio onlinehome-server.info. Al ser un dominio * .info, inmediatamente sentí curiosidad y algo de sospecha.

Podría encontrar muy poco en rdmd aparte de lo que parece ser un demonio de escritorio remoto de enlace . Al ver que uso SSH y VNC para conectarme, y Microsoft Remote Desktop para conectarme (a la computadora de mi trabajo), era más sospechoso. Usé ipfw para bloquear la IP de destino.

Una vez que había bloqueado esa IP, saltó a otra:

rdmd      85842        0    9u  IPv4 0xca0e547f0a118fdb      0t0  TCP *:6103 (LISTEN)
rdmd      85842        0   10u  IPv4 0xca0e547f0bc57fdb      0t0  TCP *:6102 (LISTEN)
rdmd      85842        0   11u  IPv4 0xca0e547f09fae7c3      0t0  TCP <my IP>:61160->174.142.192.238:80 (ESTABLISHED)

Esto se conectó a enlace . Mi último paso fue hacer md el rdm.plist de los LaunchDaemons y reiniciar. Esto detuvo el servicio por completo, pero todavía tengo curiosidad por ver qué diablos está pasando aquí. ¿Es parte de algo siniestro como una botnet? ¿O es un demonio inofensivo con una IP sospechosa?

Aquí hay un tcpdump simple de parte del tráfico:

tcpdump: listening on en0, link-type EN10MB (Ethernet), capture size 65535 bytes
12:51:17.538318 IP (tos 0x0, ttl 47, id 30095, offset 0, flags [DF], proto TCP (6), length 128)
    gate0.rdmplus.com.http > IP.61160: Flags [P.], cksum 0x9779 (correct), seq 1022260935:1022261011, ack 3551030806, win  [nop,nop,TS val 1218571792 ecr 694294462], length 76
12:51:17.538503 IP (tos 0x0, ttl 64, id 27262, offset 0, flags [DF], proto TCP (6), length 52, bad cksum 0 (->9cff)!)
    IP.61160 > gate0.rdmplus.com.http: Flags [.], cksum 0x336d (incorrect -> 0x522e), seq 1, ack 76, win 8187, options [nol 694324287 ecr 1218571792], length 0
12:51:17.538843 IP (tos 0x0, ttl 64, id 39635, offset 0, flags [DF], proto TCP (6), length 144, bad cksum 0 (->6c4e)!)
    IP.61160 > gate0.rdmplus.com.http: Flags [P.], cksum 0x33c9 (incorrect -> 0xe2de), seq 1:93, ack 76, win 8192, optionsS val 694324287 ecr 1218571792], length 92
12:51:17.685359 IP (tos 0x0, ttl 47, id 30096, offset 0, flags [DF], proto TCP (6), length 52)
    gate0.rdmplus.com.http > IP.61160: Flags [.], cksum 0x716b (correct), seq 76, ack 93, win 62, options [nop,nop,TS val ecr 694324287], length 0
12:51:47.611136 IP (tos 0x0, ttl 47, id 30097, offset 0, flags [DF], proto TCP (6), length 128)
    gate0.rdmplus.com.http > IP.61160: Flags [P.], cksum 0x4049 (correct), seq 76:152, ack 93, win 62, options [nop,nop,TS9310 ecr 694324287], length 76
12:51:47.611334 IP (tos 0x0, ttl 64, id 41442, offset 0, flags [DF], proto TCP (6), length 52, bad cksum 0 (->659b)!)
    IP.61160 > gate0.rdmplus.com.http: Flags [.], cksum 0x336d (incorrect -> 0xbf4a), seq 93, ack 152, win 8187, options [val 694354204 ecr 1218579310], length 0
12:51:47.611677 IP (tos 0x0, ttl 64, id 55520, offset 0, flags [DF], proto TCP (6), length 145, bad cksum 0 (->2e40)!)
    IP.61160 > gate0.rdmplus.com.http: Flags [P.], cksum 0x33ca (incorrect -> 0x8596), seq 93:186, ack 152, win 8192, optip,TS val 694354204 ecr 1218579310], length 93
12:51:47.731531 IP (tos 0x0, ttl 47, id 30098, offset 0, flags [DF], proto TCP (6), length 52)
    gate0.rdmplus.com.http > IP.61160: Flags [.], cksum 0xde8c (correct), seq 152, ack 186, win 62, options [nop,nop,TS va0 ecr 694354204], length 0
12:52:17.681946 IP (tos 0x0, ttl 47, id 30099, offset 0, flags [DF], proto TCP (6), length 128)
    gate0.rdmplus.com.http > IP.61160: Flags [P.], cksum 0xabfb (correct), seq 152:228, ack 186, win 62, options [nop,nop,586827 ecr 694354204], length 76
12:52:17.682142 IP (tos 0x0, ttl 64, id 24008, offset 0, flags [DF], proto TCP (6), length 52, bad cksum 0 (->a9b5)!)
    IP.61160 > gate0.rdmplus.com.http: Flags [.], cksum 0x336d (incorrect -> 0x2c7a), seq 186, ack 228, win 8187, options  val 694384102 ecr 1218586827], length 0
12:52:17.682487 IP (tos 0x0, ttl 64, id 39886, offset 0, flags [DF], proto TCP (6), length 145, bad cksum 0 (->6b52)!)
    IP.61160 > gate0.rdmplus.com.http: Flags [P.], cksum 0x33ca (incorrect -> 0xecca), seq 186:279, ack 228, win 8192, optop,TS val 694384102 ecr 1218586827], length 93
12:52:17.806169 IP (tos 0x0, ttl 47, id 30100, offset 0, flags [DF], proto TCP (6), length 52)
    gate0.rdmplus.com.http > IP.61160: Flags [.], cksum 0x4bbb (correct), seq 228, ack 279, win 62, options [nop,nop,TS va8 ecr 694384102], length 0

Tal vez estoy siendo completamente paranoico. He guardado el script del demonio de inicio, por lo que si resulta ser algo inofensivo, puedo devolverlo. ¡Prefiero saber de dónde viene esto y adónde va a ir! Cualquier ayuda es muy apreciada!

firewalls macosx remote-desktop tcp

pregunta ahumph 22.10.2014 - 14:44

fuente

1 respuesta

Lea otras preguntas en las etiquetas firewalls macosx remote-desktop tcp

¿Puede Facebook iniciar sesión en mi aplicación? IDS en cuentas de AWS separadas

score 2 · Accepted Answer

La pregunta que tengo para usted es: ¿la instaló (RDMPlus) en algún lugar (su teléfono, trabajo, etc.)? Normalmente, con aplicaciones como esta, cuando se conecta, la mayoría de las aplicaciones son meros servidores proxy entre sus dos ubicaciones. Por ejemplo, TeamViewer, cada vez que lo instale, sus registros mostrarán lo que pueden parecer ser conexiones extrañas para interpretar. Esto se debe a que la conexión realmente funciona así:

YourMachine --> Team Viewer Resources (IPs teamviewer uses) --> YourDestination

A diferencia de:

YourMachine --> Direct connection to machine running TeamViewer

La pregunta MÁS GRANDE que tengo que omitiste o no aclaraste es / fue: " ¿Cómo entró rdmplus en tu máquina? " Cuando dices que usas SSH, VNC, y Remote Desktop para entrar y salir de sus máquinas, ¿instaló rdmplus? Si no, comience con la determinación de CUANDO se instaló y CÓMO se instaló.

ls -ltha 'which rdmd'

Ahora, su salida de tcpdump muestra que este rdmd se está conectando a un servidor web a través de HTTP de manera técnica, si es tráfico basado en http, entonces no está cifrado. Abra la captura en Wireshark, siga la secuencia de TCP para ver QUÉ está saliendo de su máquina:

0   11u  IPv4 0xca0e547f09fae7c3      0t0  TCP <my IP>:53854->87.106.252.92:80 (ESTABLISHED)