hace un momento, son las 4:10 AM me intriga un ruido en mi disco duro externo y miro en el monitor de actividad, me encuentro comandos como tcsh, su, find ... y algunos mas que ahora no recuerdo, todos comando de terminal y del usuario nadie...., lo primero que he hecho es cortar comunicacion con el "exterior", lo segundo mirar en los logs, nada en ipfw.log, nada en los demas, ni en sistema ni console ni nada de nada.
La pregunta es ¿se me ha colado alguien? , he repasado la configuracion del cortafuegos y tengo todo cerrado salvo ntp para actualizar la hora y nada compartido.
En ipfw.log solo tengo un monton de asientos del router (1) por el puerto 520...a .255 mismo puerto..
En console lo unico asi raro es este asiento:
2007-10-06 04:01:08.485 pmTool[10593] Unauthorized attempt to signal process 4673 with 2 y que no tengo ni idea de que es
por cierto, en cuanto cerre conexion empezaron a desaparecer ejecuciones de "nadie", sea lo que sea
No deberia, tengo el LittleSnitch, lo unico que se comporta parecido es algo del dashboardadvisory .... ahora mismo un mdimport de "unknown" .... y el ClamXav no dio con nada, ni desde la cuenta, ni desde otra cuenta ni arrancando desde el clon del disco de arranque firewire.
Lo que si he observado es que en esta cuenta tengo un monton de cosas de root, cuando en mi otra cuenta practicamente todo esta a nombre de esa cuenta.
Mensajes: 1.851
Temas: 104
Registro en: Jan 2007
Reputación:
0
¿ Y no serán actividades propias del sistema ? Tengo entendido que el sistema efectúa tareas de mantenimiento programado y que por defecto se realizan en horario nocturno.
Mensajes: 10.790
Temas: 421
Registro en: Mar 1998
Reputación:
22
El usuario
nobody forma parte del sistema.
Puedes comprobar su existencia y sus privilegios mediante el
Gestor de Netinfo.:
![[Imagen: 2_nobody.png]](http://mac-club.net/foros/subidas/miniaturas/2_nobody.png)
Principio de Hanlon:
«Nunca le atribuyas a la maldad lo que puede ser explicado por la estupidez»
Sip, a la vuelta del "curro" he mirado (sin conexion a la red) el monitor de actividad y habia dos mdimport, uno correspondiente a mi usuario y otro de "nadie"... he abierto un terminal y los numeros de "PID" eran el mismo para nadie y para nobody con TOP.
Asi que debe ser algun tema de mantenimiento (pero a esas horas, todo en silencio y de buenas a primeras que empiecen a currar los discos sin avisar mosquea un monton) , gracias y perdonad: Falsa alarma......
Mensajes: 10.790
Temas: 421
Registro en: Mar 1998
Reputación:
22
La stareas períodicas d emantenimiejto las tienes en:
/System/Library/LaunchDaemons/
Concretamente:
com.apple.periodic-daily.plist
com.apple.periodic-monthly.plist
com.apple.periodic-weekly.plist
Si abres esos ficheros xml verás fácilmente qué y a que hora lo hace.
Una de las tareas es justo a la hora que te sucedió a ti
Principio de Hanlon:
«Nunca le atribuyas a la maldad lo que puede ser explicado por la estupidez»
Y si a esas horas normalmente tenemos el ordenador apagado, se pueden lanzar manualmente?
Saludos.
Mensajes: 10.790
Temas: 421
Registro en: Mar 1998
Reputación:
22
Cita:Y si a esas horas normalmente tenemos el ordenador apagado, se pueden lanzar manualmente?
Saludos.
Sí. Se puede hacer desde Trminal pero lo mejor para no complicarte la vida es usar
Macjanitor.
Principio de Hanlon:
«Nunca le atribuyas a la maldad lo que puede ser explicado por la estupidez»
Gracias Alberto, aparte de reparar permisos, habrá que hacer esto también. En los readme del programa, pone como hacerlo desde el terminal:
To duplicate the same behavior without using MacJanitor, you can execute these built-in scripts using Terminal, like this:
sudo sh /etc/daily
sudo sh /etc/weekly
sudo sh /etc/monthly
Saludos
![[Imagen: 2_nobody.png]](http://mac-club.net/foros/subidas/2_nobody.png)