mDNSResponder no macOS Sierra? Malware?

Navegue suas respostas
2

Vale a pena mencionar que sou um novato completo em segurança de rede e só recentemente comecei a brincar com o Wireshark.

Eu usei o Wireshark para rastrear alguma atividade de rede para um processo chamado mDNSResponder. Minhas pesquisas no Google resultaram em comentários antigos descrevendo o uso de mDNSResponder em versões anteriores do OS X. No entanto, estou executando a versão mais recente do macOS Sierra. Por isso, estou preocupado que possa ser malware.

Eu examinei um segundo MacBook Pro, que também está executando o macOS Sierra. O MDNSResponder não está em execução nem está instalado. O MacBook Pro que possui o mDNSResponder instalado está localizado em / usr / sbin.

O MDNSResponder é executado pelo usuário _mdnsrespond. Está ativamente enviando e recebendo pacotes.

Um segundo processo chamado MDNSResponderHelper também está sendo executado. Está sendo executado pelo usuário root. No entanto, não está enviando ou recebendo pacotes.

Eu agradeceria se alguém pudesse esclarecer se isso é malware. Se houver algo que eu possa fazer para ajudar com isso, sinta-se à vontade para especificar.

Obrigado.

EDITAR

Após realizar mais pesquisas e considerar todas as respostas, decidi reformatar minha máquina. Ambos os MacBook Pros foram recentemente reformatados com poucos dias de diferença e foram conectados aos mesmos dispositivos. Não vejo razão para que o mDNSResponder seja necessariamente instalado e executado em uma máquina e não na outra. É possível que não seja malware, mas a atividade de rede do mDNSResponder o tornaria um excelente alvo para ataques mal-intencionados. Como tal, acho que é sensato reformatar a máquina.

Após reformatar e atualizar minha máquina, o mDNSResponder e o MDNSResponderHelper não são mais instalados. Apesar disso, a máquina ainda está funcionando normalmente.

Eu não tenho conhecimento suficiente para afirmar se o mDNSResponder e o MDNSResponderHelper foram mal-intencionados, softwares legítimos ou outros, mas acho que foi sensato reformatar a máquina. Espero que este post ajude os outros no futuro.

    
por The Pointer 28.11.2016 / 08:58

4 respostas

2

O serviço mDNSResponder está associado ao Bonjour, um serviço de navegação de rede que procura automaticamente recursos na rede. Por exemplo, sabe sempre sobre impressoras de rede e sua lista está atualizada. É isso que o Bonjour faz: pesquisa o segmento de rede local e descobre dispositivos aos quais você pode se conectar.

O serviço mDNSResponder é o mecanismo do Bonjour. Às vezes, pode ficar um pouco louco e há artigos suficientes na web reclamando sobre isso.

Existem dois daemons de lançamento que gerenciam o serviço Bonjour. Se eles forem descarregados, o Bonjour será encerrado e a atividade mDNSResponder será interrompida.

Os seguintes comandos ainda podem fazer o trabalho no OS X Sierra: 

sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.mDNSResponder.plist
sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.mDNSResponderHelper.plist

Infelizmente, de acordo com o seu relatório, desligar o mDNSResponder também o deixou sem acesso à Internet. Bem, pelo menos isso acabou por ser a confirmação você pediu que este seja um processo legítimo do OS X.

Como o Bonjour é um processo de navegação na rede, sua presença no Mac, mas não do outro pode ser explicado por alguma diferença na rede. Por exemplo, pode estar verificando se uma impressora de rede ainda está disponível.

    
por 30.11.2016 / 21:53
2

mDNSResponder está de volta (embora não no formulário Pog ...), então eu acho que você está bem:

Word on the street is that going back to mDNSResponder allowed Apple to close 300 separate bug reports. And apparently the company wasn't looking to reopen those reports, as OS X 10.11 comes with mDNSResponder version 624.1.2

    
por 28.11.2016 / 09:14
1

Isso faz parte do Bonjour e é um serviço necessário para executar muitos programas, aplicativos e processos diferentes. Não é Malware. A razão pela qual você está executando em um e não o outro é provável. Porque um está executando algo diferente do outro.

    
por 30.11.2016 / 17:40
1

mDNSResponder é um daemon de sistema padrão que faz parte do Mac OS X / OS X / macOS há 14 anos.

Em versões recentes do OS X / macOS, também é a principal forma de resolução de DNS.

Em meados de 2014 no OS X Yosemite (OS X v10.10, que tinha duas versões principais atrás), a Apple substituiu o mDNSResponder por um novo daemon chamado discoveryd , mas acabou voltando para o mDNSResponder a partir do OS X Yosemite v10.10.4 alguns meses depois.

Após reformatar e reinstalar sua máquina, a menos que você tenha feito o downgrade para 10.10.0 - 10.10.3 e permanecido lá, você certamente ainda terá o mDNSResponder instalado. Não sei por que você acha que não. De fato, mesmo em 10.10.0 - 10.10.3, acho que o mDNSResponder teria sido instalado, mas não ativado. Se você está no macOS Sierra, o DNS não estaria funcionando para 90% do seu sistema se o mDNSResponder não estivesse instalado e rodando.

    
por 01.12.2016 / 20:23

Tags

É possível reinicializar um roteador Linksys BEFSR41 remotamente? Como faço para remover permissão para um usuário específico usando setfacl