Ergebnis 1 bis 13 von 13

Thema:

  1. #1
    armin
    armin ist offline
    Neues MU Mitglied

    Dabei seit
    11.2001
    Ort
    Germering (b. München)
    Beiträge
    57

    Ist der Mac noch mein Mac oder kontrolliert ihn ein anderer?

    Hallo Leute,

    folgender Status:
    Ich habe den Port 5003 (nur dieser Port ist frei!) auf dem Router mit NAT auf einen internen Rechner freigegeben (Da läuft FileMaker Server, MacOS X.4). Jetzt möchte ich aber prüfen, ob der Mac wirklich nur mir gehört, oder ob sich jemand über diesen Port Zugang zu diesem Rechner verschafft hat. Da der FileMaker Server noch läuft, denke ich, das noch alles in Ordnung ist.
    Wie aber kann man prüfen, ob sich der Rechner nicht in anderen Händen befindet? Das dieser Rechner eventuell mißbraucht wird? Ist das denn sehr leicht möglich? - Ich bevorzuge VPN, aber einige Leute benötigen einen direkten Zugang ohne VPN.
    Welche Vorgehensweise gibt es? Hinterlassen die Eindringlinge Spuren, die auch ich als Laie finden kann?
    Meine Ansätze - Traffic kontrollieren, Benutzer kontrollieren, Festplattenspeichergröße kontrollieren - mehr fällt mir dazu nicht ein

    Bin für jeden Tipp dankbar

    Viele Grüße

    Armin


  2. #2
    laukel
    laukel ist offline
    MU Mitglied
    Avatar von laukel
    Dabei seit
    11.2004
    Ort
    Ruhrstadt
    Beiträge
    1.529
    Es gibt irgend so eine Software, die "Angriffe" registriert und Dir meldet und eventuell sogar Gegenmassnahmen einleitet. Die wurde mal in der Macwelt oder der Maclife vorgestellt, aber an den Namen kann ich mich nicht mehr erinnern.


  3. #3

  4. #4
    laukel
    laukel ist offline
    MU Mitglied
    Avatar von laukel
    Dabei seit
    11.2004
    Ort
    Ruhrstadt
    Beiträge
    1.529
    Genau! So hiess das!


  5. #5
    xlqr
    xlqr ist offline
    MU Mitglied
    Avatar von xlqr
    Dabei seit
    09.2003
    Ort
    gômreng
    Beiträge
    1.940
    @ armin

    hier gibts snort für mac: http://www.securemac.com/macosxsnort.php


  6. #6
    Pedalschinder
    Pedalschinder ist offline
    MU Mitglied
    Avatar von Pedalschinder
    Dabei seit
    04.2004
    Ort
    Rosenheim
    Beiträge
    462
    Bin mir nicht ganz sicher, inwieweit das nun zum Thema passt, aber ich klicke mich schon einige Zeit lesend und informierend durch diverse Threads zum Thema Sicherheit, ect., und ...

    ...und was ich nun genau will, ist eine Art Überwachung, Protokollierung, wie auch immer man das nun nennen will, wann welcher User welche Datei auf meinem Rechner ggf. auch über Netzwerk mal geöffnet und modifiziert hat.

    Sollte, wenn möglich keine über die Maßen aufgeblähte Software sein, einfach nur eine Art kleines Skript, was permanent mitlaufen könnte, welches dann zum beispiel alles, was in einem Ordner xy ist und auch was wann mit dessen Inhalt passiert, in einfach verständlicher Form notfalls in eine einfache Textdatei schreibt, oder in irgendeine verwertbare Form ausgibt.

    So stell ich es mir vor, da wir im Büro derzeit einen tierischen Streit haben, weil immer wieder irgendwelche wahnwitzigen Änderungen gemacht wurden an einigen wenigen Dateien, neu abgespeichert, und der alte Stand ist futsch, und keiner wills gewesen sein...

    Das wäre interressant, wenn man es so schwarz auf weiß hätte, wann wer worauf zugegriffen hat, was geöffnet hat und wieder gespeichert und geschlossen, und dergleichen mehr...

    Weiß jemand mehr dazu?
    Kann das am End schon das OS X selber mit Bordmitteln?
    Oder wie nennt man sowas überhaupt?
    Und wonach soll ich suchen?


  7. #7
    pbrille
    pbrille ist offline
    MU Mitglied

    Dabei seit
    03.2003
    Ort
    Aachen
    Beiträge
    738
    Ganz simpel:

    im Terminal ab und zu mal die Befehle:

    "who -all" und
    "last -10" eingeben.

    Da kann man schon einiges erkennen.
    "who" zeigt an, wer gerade angemeldet ist und "last" zeigt die zuletzt eingeloggten Benutzer an (hier die letzten 10).

    JAAAA, ich habe die Suchfunktion benutzt und JAAAA ich habe gegooglet.

  8. #8
    Pedalschinder
    Pedalschinder ist offline
    MU Mitglied
    Avatar von Pedalschinder
    Dabei seit
    04.2004
    Ort
    Rosenheim
    Beiträge
    462
    allright und Danke!

    Werd´s mal morgen probieren.

    Das ist noch sogar für mich Terminalphobiker nachvollziehbar und ausführbar.

    Darüberhinaus ist aber in erster Linie immer noch das Ziel, ein paar Dateien zuverlässig zu beobachten, was durch wen wann welcher Datei passiert ist.

    Also eher so:
    Datei XXX - Datum heute - User - vorgang
    Datei XXX - Datum heute früh - User - vorgang
    Datei XXX - Datum gestern abend - user - Vorgang
    Datei XXX - Datum gestern mittag - user - Vorgang
    Datei XXX - Datum gestern früh - user - Vorgang
    Datei YYY - Datum ...


  9. #9
    Elportato
    Elportato ist offline
    MU Mitglied
    Avatar von Elportato
    Dabei seit
    12.2004
    Beiträge
    1.288
    Sorry aber kann mir mal einer erklären wie ich snort installieren muss? Vielleicht stell ich mich nur saudumm an?

    Mit was öffne ich Snort?


  10. #10
    Bademeister78
    Bademeister78 ist offline
    Neues MU Mitglied

    Dabei seit
    07.2004
    Beiträge
    26
    Die Sache interessiert mich nun auch...ein weiterer Dummer... ;o)


  11. #11
    xlqr
    xlqr ist offline
    MU Mitglied
    Avatar von xlqr
    Dabei seit
    09.2003
    Ort
    gômreng
    Beiträge
    1.940
    @ Elportato
    ... you have to be a little unix savvy
    zitat von der snort homepage
    einrichten und öffnen mit dem terminal.app

    @ Bademeister78
    ich glaub ja nicht, dass ihr dumm seid. ihr seid halt nur noch nicht so lange im unix wunderland unterwegs [dumm ist z.b. wer kein backup macht und saudumm, wer dann auch noch am system herumbroselt ]

    versucht doch mal henwen, eine gui für snort:
    http://seiryu.home.comcast.net/henwen.html


  12. #12
    oglimmer
    oglimmer ist offline
    MU Mitglied
    Avatar von oglimmer
    Dabei seit
    11.2004
    Ort
    Frankfurt a.M.
    Beiträge
    998
    Also das Thema ist sehr kompliziert, natürlich kann man einfache Prüfungen machen, aber wenn ein halbwegs versierter Hacker sich an deinem System zu schaffen gemacht hat, (ich sehe das jetzt mal im Sinn einer root-shell), dann hat er im Worst Case ein RootKit installiert und dann siehst du mit den beschriebenen Mitteln höchst wahrscheinlich gar nichts und alles sieht "normal" aus, obwohl du längst gekapert bist.

    Wenn du einen Port forwardest und auf dem Zielrechner ein Programm auf diesem Port horcht, dann sind folgenden überlegenen im Sinn der Sicherheit:
    a) ist das Programm richtig konfiguriert?
    b) ist das Programm auf dem letzten Update?
    c) Kümmern sich die Leute die das Programm anbieten um das Thema "Sicherheit"
    d) Unter welchem Benutzer läuft das Programm?
    e) Wenn man es auf die Spitze treiben möchte, dann kann man verschiedene "hardening" Techniken auf das System anwenden

    Prinzipiell hat man das Problem, dass auf einem gekaperten Rechner jedes Programm sabotiert sein kann. Also z.B. "who -all" kann so umprogrammiert sein, dass es jeden anzeigt außer dem HiJacker.....


  13. #13
    Bademeister78
    Bademeister78 ist offline
    Neues MU Mitglied

    Dabei seit
    07.2004
    Beiträge
    26
    Danke für die Antwort, prüfe gleich mal HenWen.Obwohl...Snort wäre endlich mal die Sorte von Programm sich mal mit dem Unterbau (Unix) zu beschäftigen.

    Nur noch mal ne kleine Frage (offtopic):

    Gibt es eigentlich ne Möglichkeit im Terminal eine Art Autofill - Funktion einzubauen? An der Uni war das auf den Workstations mit dem Pfeil nach rechts (oder oben) möglich.

    Danke!