在发现 Mac 正在与一些不受欢迎的互联网网站建立网络链接后,我尝试保护它的安全。
使用“lsof -i”(列出打开的“文件”,互联网),我发现 launchd、ntpd、firefox、dropbox 和其他进程要么正在“侦听”,要么已“建立”指向一个或多个我怀疑与间谍软件有关的站点的链接。我一直在尝试查找启动这些链接的启动文件和首选项列表,但找不到它们。我可以轻松地重新安装操作系统并从备份中恢复数据,但我更想知道如何修复此问题,因为我有六台 Mac 需要照看。
谢谢...
答案1
如果你愿意花钱购买解决方案,你可能会喜欢小告密者,这是一个传出防火墙。
答案2
尽管这并不简单,但如果您愿意编写一个小型 D 脚本,DTrace 可用于帮助追踪连接的建立位置。如果您需要在系统启动时进行跟踪,请查找匿名跟踪。例如,您可以让它查找连接到相关地址的调用,然后捕获用户堆栈跟踪。(您可能希望在主机数据库中将地址更改为 127.0.0.2,以便获得一个唯一匹配的地址。)您还可以跟踪在此之前发生的文件访问。如果数据太多,DTrace 推测跟踪将允许您暂时跟踪每个文件访问,并在建立连接后提交最新的跟踪数据。
如果连接是由间谍软件建立的,主机名等信息可能会被硬编码到程序中,而不是首选项文件中。这些信息还可能被混淆,难以追踪。
答案3
虽然少了一个步骤,但 OS X 上所有自动运行的进程都是由 launchd 运行的。您可以使用 launchctl 命令行工具列出它知道的任务。 这篇关于 launchd 的 Apple 文章列出它的配置目录,其中定义任务。