Connexion kernel au démarrage du mac, Pourquoi?

[WallyG]

Bonjour à tous,
Voici un mois que je cherche à savoir pourquoi le iMac du secrétariat se connecte au démarrage sur le dossier "En cours" de la PAO situé sur le NAS
Par ailleurs, j'ai remarqué qu'il se connectait parfois le we, à des heures pas très catholiques, surtout qu'il n'était pas programmé pour démarrer sur cette période...

j'ai donc commencé par traquer un éventuel cheval de Troie sur toutes les bécanes, y compris les virtualisations windows, et j'en ai trouvé un, mais sur le NAS (et ses répliques dans les sauvegardes incrémentales), aussitôt trouvé aussitôt viré!

Reste que, ce matin, en regardant dans la console du iMac je tombe la dessus :

25/04/13 07:00:38 kernel smb_iod_reconnect: Reconnected share EN COURS with server diskstation

ma question est, pourquoi ce iMac secrétariat, qui n'a pas spécialement d'intérêt a se connecter sur le dossier "en cours", y accède a chaque démarrage par l'intermédiaire du kernel…

[Lionel]

Bonjour à tous,
Voici un mois que je cherche à savoir pourquoi le iMac du secrétariat se connecte au démarrage sur le dossier "En cours" de la PAO situé sur le NAS
Par ailleurs, j'ai remarqué qu'il se connectait parfois le we, à des heures pas très catholiques, surtout qu'il n'était pas programmé pour démarrer sur cette période...

j'ai donc commencé par traquer un éventuel cheval de Troie sur toutes les bécanes, y compris les virtualisations windows, et j'en ai trouvé un, mais sur le NAS (et ses répliques dans les sauvegardes incrémentales), aussitôt trouvé aussitôt viré!

Reste que, ce matin, en regardant dans la console du iMac je tombe la dessus :

25/04/13 07:00:38 kernel smb_iod_reconnect: Reconnected share EN COURS with server diskstation

ma question est, pourquoi ce iMac secrétariat, qui n'a pas spécialement d'intérêt a se connecter sur le dossier "en cours", y accède a chaque démarrage par l'intermédiaire du kernel…

Intéressant et inquiétant surtout. Je ne sais pas ce que tu fais comme taf, mais visiblement vous intéressez fortement quelqu'un.

[fmereo]

Je pense que c'est le Kernel du protocole smb qui est sollicité, c'est donc normal que tu le vois dans la Console puisqu'une connexion est initiée… Le truc étant de savoir par quoi… Quelques pistes à explorer :

As-tu essayé de démarrer sans les extensions et de regarder dans la console ?

Le moniteur d'activité ne signale aucun process "zarbi" ?

Utilises-tu un serveur d'annuaire/authentification type Active Directory ou Open Directory qui aurait des montages de points de partage automatiques ?

Tu n'aurais pas des éléments genre typographies sur ton point de partage qui seraient appelés par une application tierce du genre Suitcase Fusion ?

As-tu essayé de démarrer depuis une autre session ?

Es-tu administrateur de la machine ? Le cas échéant, change son mot de passe…

Si tu as mémorisé le mot de passe du point de montage, vire-le du trousseau d'accès…


Tiens-nous au jus…

[WallyG]

Et bien en fait je suis graphiste dans une petite agence de pub, donc pas de quoi déstabiliser un gouvernement..
Reste que la confidentialité des données doit être respectée!
Je n'ai pas installé de serveur, même si je m'y suis intéressé d'un point de vue personnel, a la maison.
Au bureau l'option NAS semblait plus pratique pour un usage avec 4 postes, du coup pas d'active ou d'open directory, juste des groupes et utilisateurs gérés
Concernant la piste suitcase fusion ou assimilé, le poste en question est celui du secrétariat, elle n'a pas de soft en lien avec les PAO, au mieux la suite office, une virtualisation windows pour le logiciel de resa pub et facturation..
Par contre elle s'est mis à Facebook il y a peu, n'y connaissant pas grand chose je me demande si truc ne serait pas rentré par cette voie, simple supposition pour l'instant, et pourquoi le dossier en cours...
Je vais essayer le démarrage sans extension et ensuite virer le mot de passe du trousseau dès demain
Je profiterais d'un jour férié du mois de mai pour mettre tout ça à plat, en vous tenant au courant si j'ai des infos supplémentaires entre temps
Merci de vos retours

[WallyG]

Alors,la suite, voilà ce que j'ai récolté sur le dernier log de démarrage :

08/05/13 08:33:57 kernel Wake reason = EHC1
08/05/13 08:33:57 kernel System Wake
08/05/13 08:33:57 kernel Previous Sleep Cause: 5
08/05/13 08:33:57 kernel The USB device HubDevice (Port 1 of Hub at 0xfd000000) may have caused a wake by issuing a remote wakeup (2)
08/05/13 08:33:57 kernel 69291.015136: setDISASSOC from disconnectVap
08/05/13 08:33:57 kernel 69291.015147: switchVap from 1 to 1
08/05/13 08:33:57 kernel The USB device Keyboard Hub (Port 4 of Hub at 0xfd100000) may have caused a wake by issuing a remote wakeup (3)
08/05/13 08:33:57 kernel The USB device Apple Keyboard (Port 2 of Hub at 0xfd140000) may have caused a wake by issuing a remote wakeup (3)
08/05/13 08:33:58 kernel EIR is supported.
08/05/13 08:33:58 kernel SSP is supported.
08/05/13 08:34:02 kernel Ethernet [AppleBCM5701Ethernet]: Link up on en0, 1-Gigabit, Full-duplex, Symmetric flow-control, Debug [796d,2f00,0de1,0300,c5e1,7800]
08/05/13 08:34:04 KernelEventAgent[42] tid 00000000 received event(s) VQ_NOTRESP (1)
08/05/13 08:34:04 KernelEventAgent[42] tid 00000000 type 'afpfs', mounted on '/Volumes/En cours', from 'afp_2aL8Se2IvkdT4AadZi417zxW-4.2d000007', not responding
08/05/13 08:34:04 KernelEventAgent[42] tid 00000000 type 'afpfs', mounted on '/Volumes/music', from 'afp_2aL8Se2IvkdT4AadZi417zxW-7.2d000008', not responding
08/05/13 08:34:04 KernelEventAgent[42] tid 00000000 found 2 filesystem(s) with problem(s)
08/05/13 08:34:05 kernel ASP_TCP Disconnect: triggering reconnect by bumping reconnTrigger from curr value 1 on so 0xffffff80237a7168
08/05/13 08:34:05 kernel AFP_VFS afpfs_DoReconnect started /Volumes/music prevTrigger 1 currTrigger 2
08/05/13 08:34:05 kernel AFP_VFS afpfs_DoReconnect: doing reconnect on /Volumes/music
08/05/13 08:34:05 kernel AFP_VFS afpfs_DoReconnect: posting to KEA EINPROGRESS for /Volumes/music
08/05/13 08:34:05 kernel AFP_VFS afpfs_DoReconnect: Max reconnect time: 30 secs, Connect timeout: 15 secs for /Volumes/music
08/05/13 08:34:05 kernel AFP_VFS afpfs_DoReconnect: connect to the server /Volumes/music
08/05/13 08:34:05 kernel AFP_VFS afpfs_DoReconnect: Logging in with uam 8 /Volumes/music
08/05/13 08:34:05 kernel AFP_VFS afpfs_DoReconnect started /Volumes/En cours prevTrigger 1 currTrigger 2
08/05/13 08:34:05 kernel AFP_VFS afpfs_DoReconnect: reconnect already in progress for /Volumes/En cours, going back to wait
08/05/13 08:34:05 kernel AFP_VFS afpfs_DoReconnect: Restoring session /Volumes/music
08/05/13 08:34:06 kernel AFP_VFS afpfs_DoReconnect: reconnect already in progress for /Volumes/En cours, going back to wait
08/05/13 08:34:07 kernel AFP_VFS afpfs_DoReconnect: reconnect already in progress for /Volumes/En cours, going back to wait
08/05/13 08:34:08 kernel AFP_VFS afpfs_DoReconnect: reconnect already in progress for /Volumes/En cours, going back to wait
08/05/13 08:34:09 kernel AFP_VFS afpfs_DoReconnect: reconnect already in progress for /Volumes/En cours, going back to wait
08/05/13 08:34:10 KernelEventAgent[42] tid 00000000 received event(s) VQ_NOTRESP (1)
08/05/13 08:34:10 kernel AFP_VFS afpfs_DoReconnect: reconnect already in progress for /Volumes/En cours, going back to wait
08/05/13 08:34:10 kernel AFP_VFS afpfs_DoReconnect: Primary Reconnect failed 22 on /Volumes/music
08/05/13 08:34:10 kernel AFP_VFS afpfs_DoReconnect: trying Secondary Reconnect on /Volumes/music
08/05/13 08:34:10 kernel AFP_VFS afpfs_DoReconnect: get the reconnect token
08/05/13 08:34:10 KernelEventAgent[42] tid 00000000 received event(s) VQ_NOTRESP (1)
08/05/13 08:34:11 kernel AFP_VFS afpfs_DoReconnect: already reconnected socketID 2 on /Volumes/En cours
08/05/13 08:34:11 kernel AFP_VFS afpfs_DoReconnect: trying secondary reconnect /Volumes/En cours
08/05/13 08:34:11 kernel AFP_VFS afpfs_DoReconnect: get the reconnect token
08/05/13 08:34:34 com.apple.backupd[3576] Starting standard backup
08/05/13 08:34:34 com.apple.backupd[3576] Backing up to: /Volumes/Time machine/Backups.backupdb
08/05/13 08:34:48 com.apple.backupd[3576] No pre-backup thinning needed: 2.47 GB requested (including padding), 13.23 GB available

Bref, que du bonheur, n'ayant pas tout compris et voyant qu'il tentait maintenant de se connecter au volume "Music" (il m'a fait aussi le coup sur le volume "FTP" quelques jours plus tôt)
je n'y suis pas allé par quatre chemins, vu la charrette de boulot en ce moment :
1- Carbon copy sur un volume externe,
2- Formatage avec des zéros partout
3 réinstallation système tout neuf, nouvelle session et rapatriement des données, et bien sur, nouveau mot de passe de session et mot de passe d'accès NAS (et nouveau compte utilisateur NAS)
4- installation de Intego virusbarrier et netbarrier (là j'avoue ça m'a fait mal hein, c'est la première fois que ça m'arrive en 15 ans de mac…)
5- désactivation du web sur le windows virtuel (pas indispensable pour l'usage).

Désolé de ne pas avoir pris le temps d'éplucher les réactions en détail, si un jour j'ai le temps j'ai toujours le carbon ;-)
sur la periode du week-end, j'ai rien vu passer en logs sur le NAS, je continue de scruter

peut-être avez vous les commentaires par rapport au log ci-dessus
bonne journée