Определить процесс, отправляющий DNS-запросы.

Вопрос или проблема

Я недавно обнаружил с помощью Wireshark, что процесс регулярно отправляет DNS-запросы для разрешения zeph.2miners.com. Он получает IP-адрес, но никакой процесс не пытается к нему подключиться. Я предполагаю, что это может быть вирус, и пытаюсь определить, какой процесс это делает. Как это сделать на Mac OS? Я пробовал использовать lsof, но так как постоянного соединения нет, это не сработало.

Скриншот из Wireshark

Ответ или решение

Чтобы определить, какой процесс отправляет DNS-запросы для разрешения домена zeph.2miners.com на MacOS, можно воспользоваться несколькими методами обследования системы и инструментами, которые помогут выявить источник активности.

1. Мониторинг сетевой активности. Несмотря на то, что lsof не помог в этом случае из-за отсутствия постоянного соединения, вы можете использовать инструмент nettop, который предоставит детализированную информацию о текущих сетевых соединениях и активности на вашем Mac.

   sudo nettop -m tcp

   Этот инструмент в реальном времени покажет сетевые подключения, и вы сможете фильтровать по адресу или доменному имени.

2. Использование dscacheutil и nslookup. Эти команды помогут вам понять, какие DNS-запросы происходят:

   sudo dscacheutil -cachedump -entries host
   sudo nslookup zeph.2miners.com

   Хотя это не даст прямой информации о процессе, это уточнит детали самого разрешения.

3. Запуск Activity Monitor. Встроенный в MacOS системный монитор позволит вам просматривать процессы, которые активно используют сеть. Это может быть косвенным способом найти подозрительную активность, так как процессы, регулярно взаимодействующие с сетью, будут выделяться на общем фоне.

4. Использование fs_usage и tcpdump. Эти более продвинутые инструменты предоставят информацию о системных вызовах и сетевой активности.

   sudo fs_usage -w -f network
   sudo tcpdump -i en0 -nn port 53

   tcpdump даст точные данные о DNS-запросах, а fs_usage поможет выявить процессы, инициирующие сетевые запросы.

5. Проверка системного журнала. Используйте встроенные средства логирования для отслеживания активности системы. Команда log show может предоставить журналы сетевых событий:

   log show --predicate 'subsystem == "com.apple.network"' --info

6. Использование антивирусных сканеров. Несмотря на использование описанных выше методов, всегда полезно провести сканирование на вирусы, чтобы исключить возможность наличия известного или неизвестного вредоносного ПО на вашем устройстве.

Эти действия помогут изолировать и определить процесс, вызывающий DNS-запросы. Кроме того, если подозрение на вирус подтверждается, незамедлительно примите меры по очистке системы и предотвращению повторных инцидентов.