Ist der Mac noch mein Mac oder kontrolliert ihn ein anderer?

armin

Mitglied
Thread Starter
Dabei seit
12.11.2001
Beiträge
87
Reaktionspunkte
0
Hallo Leute,

folgender Status:
Ich habe den Port 5003 (nur dieser Port ist frei!) auf dem Router mit NAT auf einen internen Rechner freigegeben (Da läuft FileMaker Server, MacOS X.4). Jetzt möchte ich aber prüfen, ob der Mac wirklich nur mir gehört, oder ob sich jemand über diesen Port Zugang zu diesem Rechner verschafft hat. Da der FileMaker Server noch läuft, denke ich, das noch alles in Ordnung ist.
Wie aber kann man prüfen, ob sich der Rechner nicht in anderen Händen befindet? Das dieser Rechner eventuell mißbraucht wird? Ist das denn sehr leicht möglich? - Ich bevorzuge VPN, aber einige Leute benötigen einen direkten Zugang ohne VPN.
Welche Vorgehensweise gibt es? Hinterlassen die Eindringlinge Spuren, die auch ich als Laie finden kann?
Meine Ansätze - Traffic kontrollieren, Benutzer kontrollieren, Festplattenspeichergröße kontrollieren - mehr fällt mir dazu nicht ein

Bin für jeden Tipp dankbar

Viele Grüße

Armin
 
Es gibt irgend so eine Software, die "Angriffe" registriert und Dir meldet und eventuell sogar Gegenmassnahmen einleitet. Die wurde mal in der Macwelt oder der Maclife vorgestellt, aber an den Namen kann ich mich nicht mehr erinnern.
 
Bin mir nicht ganz sicher, inwieweit das nun zum Thema passt, aber ich klicke mich schon einige Zeit lesend und informierend durch diverse Threads zum Thema Sicherheit, ect., und ...

...und was ich nun genau will, ist eine Art Überwachung, Protokollierung, wie auch immer man das nun nennen will, wann welcher User welche Datei auf meinem Rechner ggf. auch über Netzwerk mal geöffnet und modifiziert hat.

Sollte, wenn möglich keine über die Maßen aufgeblähte Software sein, einfach nur eine Art kleines Skript, was permanent mitlaufen könnte, welches dann zum beispiel alles, was in einem Ordner xy ist und auch was wann mit dessen Inhalt passiert, in einfach verständlicher Form notfalls in eine einfache Textdatei schreibt, oder in irgendeine verwertbare Form ausgibt.

So stell ich es mir vor, da wir im Büro derzeit einen tierischen Streit haben, weil immer wieder irgendwelche wahnwitzigen Änderungen gemacht wurden an einigen wenigen Dateien, neu abgespeichert, und der alte Stand ist futsch, und keiner wills gewesen sein...

Das wäre interressant, wenn man es so schwarz auf weiß hätte, wann wer worauf zugegriffen hat, was geöffnet hat und wieder gespeichert und geschlossen, und dergleichen mehr...

Weiß jemand mehr dazu?
Kann das am End schon das OS X selber mit Bordmitteln?
Oder wie nennt man sowas überhaupt?
Und wonach soll ich suchen?
 
Ganz simpel:

im Terminal ab und zu mal die Befehle:

"who -all" und
"last -10" eingeben.

Da kann man schon einiges erkennen.
"who" zeigt an, wer gerade angemeldet ist und "last" zeigt die zuletzt eingeloggten Benutzer an (hier die letzten 10).
 
allright und Danke!

Werd´s mal morgen probieren.

Das ist noch sogar für mich Terminalphobiker nachvollziehbar und ausführbar.

Darüberhinaus ist aber in erster Linie immer noch das Ziel, ein paar Dateien zuverlässig zu beobachten, was durch wen wann welcher Datei passiert ist.

Also eher so:
Datei XXX - Datum heute - User - vorgang
Datei XXX - Datum heute früh - User - vorgang
Datei XXX - Datum gestern abend - user - Vorgang
Datei XXX - Datum gestern mittag - user - Vorgang
Datei XXX - Datum gestern früh - user - Vorgang
Datei YYY - Datum ...
 
Sorry aber kann mir mal einer erklären wie ich snort installieren muss? Vielleicht stell ich mich nur saudumm an?

Mit was öffne ich Snort?
 
@ Elportato
... you have to be a little unix savvy
zitat von der snort homepage :cool:
einrichten und öffnen mit dem terminal.app

@ Bademeister78
ich glaub ja nicht, dass ihr dumm seid. ihr seid halt nur noch nicht so lange im unix wunderland unterwegs ;) [dumm ist z.b. wer kein backup macht und saudumm, wer dann auch noch am system herumbroselt :D]

versucht doch mal henwen, eine gui für snort:
 
Zuletzt bearbeitet von einem Moderator:
Also das Thema ist sehr kompliziert, natürlich kann man einfache Prüfungen machen, aber wenn ein halbwegs versierter Hacker sich an deinem System zu schaffen gemacht hat, (ich sehe das jetzt mal im Sinn einer root-shell), dann hat er im Worst Case ein RootKit installiert und dann siehst du mit den beschriebenen Mitteln höchst wahrscheinlich gar nichts und alles sieht "normal" aus, obwohl du längst gekapert bist.

Wenn du einen Port forwardest und auf dem Zielrechner ein Programm auf diesem Port horcht, dann sind folgenden überlegenen im Sinn der Sicherheit:
a) ist das Programm richtig konfiguriert?
b) ist das Programm auf dem letzten Update?
c) Kümmern sich die Leute die das Programm anbieten um das Thema "Sicherheit"
d) Unter welchem Benutzer läuft das Programm?
e) Wenn man es auf die Spitze treiben möchte, dann kann man verschiedene "hardening" Techniken auf das System anwenden

Prinzipiell hat man das Problem, dass auf einem gekaperten Rechner jedes Programm sabotiert sein kann. Also z.B. "who -all" kann so umprogrammiert sein, dass es jeden anzeigt außer dem HiJacker.....
 
Danke für die Antwort, prüfe gleich mal HenWen.Obwohl...Snort wäre endlich mal die Sorte von Programm sich mal mit dem Unterbau (Unix) zu beschäftigen.:)

Nur noch mal ne kleine Frage (offtopic):

Gibt es eigentlich ne Möglichkeit im Terminal eine Art Autofill - Funktion einzubauen? An der Uni war das auf den Workstations mit dem Pfeil nach rechts (oder oben) möglich.

Danke!
 
Zurück
Oben Unten