Strano traffico TCP su Mac OS X da 'rdmd'

Question

Strano traffico TCP su Mac OS X da 'rdmd'

#1 da (2 voti)

1

Ho notato un traffico curioso oggi sul mio MBP dopo aver eseguito lsof . Sembrava che un processo chiamato rdmd avesse iniziato 3 sessioni TCP:

rdmd      85842        0    9u  IPv4 0xca0e547f0a118fdb      0t0  TCP *:6103 (LISTEN)
rdmd      85842        0   10u  IPv4 0xca0e547f0bc57fdb      0t0  TCP *:6102 (LISTEN)
rdmd      85842        0   11u  IPv4 0xca0e547f09fae7c3      0t0  TCP <my IP>:53854->87.106.252.92:80 (ESTABLISHED)

Quindi ho fatto una traccia su questo, e ho trovato un server in Germania, con il nome di dominio onlinehome-server.info. Essendo un dominio * .info, sono stato subito curioso e un po 'diffidente.

Ho trovato molto poco su rdmd diverso da quello che sembra essere un demone desktop remoto dal link . Vedendo che uso SSH e VNC per connettermi e Microsoft Remote Desktop per collegarmi (al mio computer di lavoro), ero più sospettoso. Ho usato ipfw per bloccare l'IP di destinazione.

Dopo aver bloccato quell'IP, è saltato su un altro:

rdmd      85842        0    9u  IPv4 0xca0e547f0a118fdb      0t0  TCP *:6103 (LISTEN)
rdmd      85842        0   10u  IPv4 0xca0e547f0bc57fdb      0t0  TCP *:6102 (LISTEN)
rdmd      85842        0   11u  IPv4 0xca0e547f09fae7c3      0t0  TCP <my IP>:61160->174.142.192.238:80 (ESTABLISHED)

Questo collegamento al link . Il mio ultimo passo è stato mv rdm.plist da LaunchDaemons e riavviare. Questo ha fermato del tutto il servizio, ma sono ancora curioso di vedere cosa diavolo sta succedendo qui. Fa parte di qualcosa di sinistro come una botnet? O è un demone innocuo con un IP sospetto?

Ecco un semplice tcpdump di parte del traffico:

tcpdump: listening on en0, link-type EN10MB (Ethernet), capture size 65535 bytes
12:51:17.538318 IP (tos 0x0, ttl 47, id 30095, offset 0, flags [DF], proto TCP (6), length 128)
    gate0.rdmplus.com.http > IP.61160: Flags [P.], cksum 0x9779 (correct), seq 1022260935:1022261011, ack 3551030806, win  [nop,nop,TS val 1218571792 ecr 694294462], length 76
12:51:17.538503 IP (tos 0x0, ttl 64, id 27262, offset 0, flags [DF], proto TCP (6), length 52, bad cksum 0 (->9cff)!)
    IP.61160 > gate0.rdmplus.com.http: Flags [.], cksum 0x336d (incorrect -> 0x522e), seq 1, ack 76, win 8187, options [nol 694324287 ecr 1218571792], length 0
12:51:17.538843 IP (tos 0x0, ttl 64, id 39635, offset 0, flags [DF], proto TCP (6), length 144, bad cksum 0 (->6c4e)!)
    IP.61160 > gate0.rdmplus.com.http: Flags [P.], cksum 0x33c9 (incorrect -> 0xe2de), seq 1:93, ack 76, win 8192, optionsS val 694324287 ecr 1218571792], length 92
12:51:17.685359 IP (tos 0x0, ttl 47, id 30096, offset 0, flags [DF], proto TCP (6), length 52)
    gate0.rdmplus.com.http > IP.61160: Flags [.], cksum 0x716b (correct), seq 76, ack 93, win 62, options [nop,nop,TS val ecr 694324287], length 0
12:51:47.611136 IP (tos 0x0, ttl 47, id 30097, offset 0, flags [DF], proto TCP (6), length 128)
    gate0.rdmplus.com.http > IP.61160: Flags [P.], cksum 0x4049 (correct), seq 76:152, ack 93, win 62, options [nop,nop,TS9310 ecr 694324287], length 76
12:51:47.611334 IP (tos 0x0, ttl 64, id 41442, offset 0, flags [DF], proto TCP (6), length 52, bad cksum 0 (->659b)!)
    IP.61160 > gate0.rdmplus.com.http: Flags [.], cksum 0x336d (incorrect -> 0xbf4a), seq 93, ack 152, win 8187, options [val 694354204 ecr 1218579310], length 0
12:51:47.611677 IP (tos 0x0, ttl 64, id 55520, offset 0, flags [DF], proto TCP (6), length 145, bad cksum 0 (->2e40)!)
    IP.61160 > gate0.rdmplus.com.http: Flags [P.], cksum 0x33ca (incorrect -> 0x8596), seq 93:186, ack 152, win 8192, optip,TS val 694354204 ecr 1218579310], length 93
12:51:47.731531 IP (tos 0x0, ttl 47, id 30098, offset 0, flags [DF], proto TCP (6), length 52)
    gate0.rdmplus.com.http > IP.61160: Flags [.], cksum 0xde8c (correct), seq 152, ack 186, win 62, options [nop,nop,TS va0 ecr 694354204], length 0
12:52:17.681946 IP (tos 0x0, ttl 47, id 30099, offset 0, flags [DF], proto TCP (6), length 128)
    gate0.rdmplus.com.http > IP.61160: Flags [P.], cksum 0xabfb (correct), seq 152:228, ack 186, win 62, options [nop,nop,586827 ecr 694354204], length 76
12:52:17.682142 IP (tos 0x0, ttl 64, id 24008, offset 0, flags [DF], proto TCP (6), length 52, bad cksum 0 (->a9b5)!)
    IP.61160 > gate0.rdmplus.com.http: Flags [.], cksum 0x336d (incorrect -> 0x2c7a), seq 186, ack 228, win 8187, options  val 694384102 ecr 1218586827], length 0
12:52:17.682487 IP (tos 0x0, ttl 64, id 39886, offset 0, flags [DF], proto TCP (6), length 145, bad cksum 0 (->6b52)!)
    IP.61160 > gate0.rdmplus.com.http: Flags [P.], cksum 0x33ca (incorrect -> 0xecca), seq 186:279, ack 228, win 8192, optop,TS val 694384102 ecr 1218586827], length 93
12:52:17.806169 IP (tos 0x0, ttl 47, id 30100, offset 0, flags [DF], proto TCP (6), length 52)
    gate0.rdmplus.com.http > IP.61160: Flags [.], cksum 0x4bbb (correct), seq 228, ack 279, win 62, options [nop,nop,TS va8 ecr 694384102], length 0

Forse sono completamente paranoico. Ho salvato lo script del daemon di avvio, quindi se risulta essere qualcosa di innocuo posso rimetterlo. Preferirei solo sapere da dove viene questo e dove andrà! Qualsiasi aiuto è molto apprezzato!

tcp remote-desktop firewalls macosx

posta ahumph 22.10.2014 - 14:44

fonte

1 risposta

Leggi altre domande sui tag tcp remote-desktop firewalls macosx

Rischi potenziali nell'invio di e-mail in puro testo con allegati crittografati? Database condiviso e conformità PCI

score 2 · Accepted Answer

La domanda che ho per te è, l'hai installata (RDMPlus) ovunque (telefono, lavoro, ecc.)? Normalmente, con applicazioni come questa, quando ti connetti, la maggior parte delle applicazioni sono semplici proxy tra le tue due sedi. Ad esempio, TeamViewer, ogni volta che lo si installa, i registri mostreranno ciò che potrebbe apparire come strane connessioni da interpretare. Questo perché la connessione funziona in questo modo:

YourMachine --> Team Viewer Resources (IPs teamviewer uses) --> YourDestination

Al contrario di:

YourMachine --> Direct connection to machine running TeamViewer

La domanda PIÙ GRANDE che ho saltato su, o che non ho chiarito è / era: " Come rdmplus è salito sul tuo computer? " Quando dichiari di usare SSH, VNC, e Remote Desktop per entrare e uscire dalle macchine, hai installato rdmplus? In caso contrario, inizia con la determinazione di WHEN è stato installato e HOW è stato installato.

ls -ltha 'which rdmd'

Ora, il tuo output tcpdump mostra che questo rdmd si sta connettendo a un server web via HTTP, quindi tecnicamente, se è il traffico basato su http, allora non è crittografato. Apri la cattura in Wireshark, segui il flusso TCP per vedere CHE COSA sta lasciando il tuo computer:

0   11u  IPv4 0xca0e547f09fae7c3      0t0  TCP <my IP>:53854->87.106.252.92:80 (ESTABLISHED)