MacOS Kernel wil contact met IP adressen
14 augustus 2022 - 14:12   
geplaatst door: MacMiep
Al jaren gebruik ik Little Snitch en gisteren gebeurde er iets vreemds. De MacOS Kernel werd door externe (thanx Boiing) IP adressen benaderd. IP adressen van overal in de wereld (Saoedi Arabia, Guam, Brazil, Mexico en een VPN). Dat is voor het eerst.
Dit heb ik niet toegestaan; ik vond het bijzonder verdacht. Heb vervolgens alle inkomende connecties verboden.
Op dat moment draaide ik Transmission om Torrents binnen te halen. Foei Miep, maar dat gaat al vele jaren prima. Zou het nu toch???
Google'en maakt het ook niet echt duidelijk, en Malwarebytes vindt niks.
Ik heb geherstart en meteen de laatste Monterey update laten lopen. Wat denken jullie ervan? Firewall staat aan en Stealth ook. :reading:

1.jpgMacOS Kernel wil contact met IP adressen

Bewerkt: 14 augustus 2022 - 20:44 door MacMiep
Al meer dan 20 jaar beheert Miep de MacMiepMacCursus op macmiep.nl & op macostutorial.com in het Engels èn Duits!
MacOS Kernel wil contact met IP adressen
14 augustus 2022 - 14:32    reactie #1
geplaatst door: nnsa
Verbaast mij helemaal niets. Meer dan 80% van de Torrent-download-sites bevat malware, virussen en ip-scanners.

Ik denk dat die zogenaamde Mexicaanse Telecom Provider niets op jouw Mac heeft te zoeken:

https://scamalytics.com/ip/189.203.97.198
MacOS Kernel wil contact met IP adressen
14 augustus 2022 - 14:36    reactie #2
geplaatst door: Sypie
Bij het downloaden van Torrents doe jij niks aan uploads?
MacOS Kernel wil contact met IP adressen
14 augustus 2022 - 14:54    reactie #3
geplaatst door: MacMiep
@Sypie: jawel maar niet vanuit de Kernel. Dat is nog nooit voorgekomen.

@nnsa: ik download sinds jaar en dag alleen maar films, maar er kan wat bij tussen zitten inderdaad. Malwarebytes is vooralsnog muisstil.

Wat denken jullie, zal ik maar eens een nazomerschoonmaak doen annex wis en installeer?
Al meer dan 20 jaar beheert Miep de MacMiepMacCursus op macmiep.nl & op macostutorial.com in het Engels èn Duits!
MacOS Kernel wil contact met IP adressen
14 augustus 2022 - 15:03    reactie #4
geplaatst door: Sypie
Kun je ook zien op wat voor poorten die verbindingen binnen komen?
MacOS Kernel wil contact met IP adressen
14 augustus 2022 - 15:04    reactie #5
geplaatst door: nnsa
Als de Mac verder geen 'gekkigheid' vertoont, zou ik toch (regelmatig) een scan doen met de gratis versie van Malwarebytes.

Als daar niets uit komt, zal het verder wel meevallen.

Die najaarsschoonmaak kan altijd nog...
MacOS Kernel wil contact met IP adressen
14 augustus 2022 - 15:16    reactie #6
geplaatst door: boiing
Heb vervolgens alle uitgaande connecties verboden.
Het zijn inkomende verbindingen als ik het goed zie. Als je een firewall hebt (in principe is dat je router zelf) dan kunnen er geen inkomende verbindingen zijn behalve op de poorten zie je zelf hebt open gezet in je router voor bepaalde apps. Dat zou je zelf moeten weten, welke dat zijn. In jouw geval misschien alleen Transmission? -> voilà, dan is dat de boosdoener.

Zie ook https://forum.transmissionbt.com/viewtopic.php?t=5773
MacOS Kernel wil contact met IP adressen
14 augustus 2022 - 20:42    reactie #7
geplaatst door: MacMiep
Verrek Boiing, je hebt gelijk! *bril poetsen doet en rood hoofd krijgt*   :blush: :withstupid:
Nou ja inkomend mag er niks door.

Transmission zelf heeft uiteraard toestemming voor in- en uitgaande connecties, dat moet ook anders werkt het niet.
Gebruik het programma al vele jaren en dit is voor het eerst dat ik een melding over de Kernel krijg. Dat vond ik meteen verdacht.
Maar, recent is er een update geweest... bedenk ik mij. Hmmm...

Ik had trouwens al weken niets binnen gehaald, maar ik wilde de film 'Broken Arrow' bekijken (die was gisteren op tv). Heb de gewoonte te kijken wat er op tv komt en dan kijk ik of ik het binnen kan halen. Kan ik de film kijken op een tijdstip dat mij past. En er stonden nog een paar oude in.

Heb nog geen rare dingen ondervonden en Transmission werkt gewoon, heb net getest.

Wat ook richting mijn Kernel wil komt er in ieder geval niet doorheen. Weet ik waarom ik Little Snitch gekocht heb ten tijde van de Flash trojan (of wat was het ook). In 2011 zie ik nu! Zo lang heb ik het programma al, inclusief updates en nu heb ik 'pas' iets verdachts...

Het rare is dat Transmissions' forum een draadje uit 2009 laat zien met hetzelfde probleem en ik dit nu voor het eerst tegenkom.  :wacko:

Ik zal dagelijks Malwarebytes laten lopen en zolang de Mac nog niet gaat roken...

Oh: @Sypie: helaas heb ik de specifieke rules voor de IP adressen verwijderd, dus ik kan het niet meer nazien. Het is nu 'blokkeer alle inkomende verbindingen'. Goede vraag, dat wel.
Wat ik kan doen is het opnieuw testen door de regel te schrappen....
Al meer dan 20 jaar beheert Miep de MacMiepMacCursus op macmiep.nl & op macostutorial.com in het Engels èn Duits!