hier geschehen merkwürdige dinge :(

[Cadel]

guten morgen.

ich habe gerade nebem dem mac gesessen und mich mit meiner freundin unterhalten, als wir zeuge von sehr seltsamen dingen wurden.

plötzlich ging, ohne mein zutun (ich saß ja nichtmal dran), ein adium-fenster zu einem meiner kontakte auf und es wurde seltsamer kram "getippt" und an meinen kontakt geschickt.

also wie bei einer remote-verbindung. ich sah die einzelnen buchstaben wie sie nach und nach "eingetippt" wurden und dann abgeschickt wurden. von meinem account aus an ihn.
als würde jemand per remote daran sitzen.

kann mir jemand erklären was das bitte war?!

ich finde das gerade etwas gruselig.

ps:
das ist kein scherz. den kram dort habe ich nicht selbst getippt. der text wurde "durch geisterhand" eingetippt und verschickt.

 

[Zwergenkönig]

Für mich klingt das auch gruselig... Hast du dir Firewall an?

 

[Cadel]

ich hab einen nat-router. also nein.

 

[Zwergenkönig]

Start mal das Terminal und gib mal Netstat ein. Poste die Internetverbindungen mal hier...

 

[cueamen]

Remotezugriff hast Du aber ausgeschaltet bei Deinem MAC?

Nicht das wirklich jemand Zugriff auf Deine Kiste hat.

Gruß
der Cue

 

[lundehundt]

Der Server mit der IP 85.187.226.174 steht in Bulgarien und gehoert einer VISIONNET Ltd

%szstemroot%szstem32#cmd.exe sieht aus als ob es ein Windows commando ist und auf ein US Keyboard gehoert.

Mehr kann ich nicht dazu sagen. Hast du dir irgendetwas aus einer unsichern Quelle auf den Rechner geholt? Es laesst sich sicher ein script ueber die cron tab steuern, welches Admium aufmacht und text absetzt.

 

[ZoliTeglas]

der server wird nicht aufgerufen... komisch!

 

[Cadel]

Active Internet connections
Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 0 0 olivers-imac.58746 ro-in-f91.google.http CLOSE_WAIT
tcp4 0 0 olivers-imac.58744 web1.macuser.de.http CLOSE_WAIT
tcp4 0 0 olivers-imac.58743 web1.macuser.de.http CLOSE_WAIT
tcp4 0 0 olivers-imac.58713 ik-in-f147.googl.http ESTABLISHED
tcp4 0 0 olivers-imac.52030 adsl-69-209-210-.2601 ESTABLISHED
tcp4 0 0 olivers-imac.57253 205.188.9.50.aol ESTABLISHED
tcp4 0 0 olivers-imac.57220 77.249.224.20.48888 ESTABLISHED
tcp4 0 0 olivers-imac.57216 by1msg2245408.ph.msnp ESTABLISHED
tcp4 0 0 olivers-imac.57214 euirc.lanlos.org.6667 ESTABLISHED
tcp4 0 0 localhost.netinfo-loca localhost.1006 ESTABLISHED
tcp4 0 0 localhost.1006 localhost.netinfo-loca ESTABLISHED
tcp4 0 0 localhost.netinfo-loca localhost.1009 ESTABLISHED
tcp4 0 0 localhost.1009 localhost.netinfo-loca ESTABLISHED
tcp4 0 0 localhost.netinfo-loca localhost.1021 ESTABLISHED
tcp4 0 0 localhost.1021 localhost.netinfo-loca ESTABLISHED
udp4 0 0 *.rockwell-csp2 *.*
udp4 0 0 *.* *.*
udp4 0 0 *.50316 *.*
udp4 0 0 *.52798 *.*
udp4 0 0 localhost.55537 *.*
udp4 0 0 olivers-imac.http-alt *.*
udp46 0 0 *.ssdp *.*
udp4 0 0 10.37.129.2.http-alt *.*
udp46 0 0 *.ssdp *.*
udp4 0 0 10.211.55.2.http-alt *.*
udp46 0 0 *.ssdp *.*
udp4 0 0 olivers-imac.57769 *.*
udp46 0 0 *.16680 *.*
udp4 0 0 10.37.129.2.57769 *.*
udp46 0 0 *.16680 *.*
udp4 0 0 10.211.55.2.57769 *.*
udp46 0 0 *.16680 *.*
udp46 0 0 *.52030 *.*
udp4 0 0 *.* *.*
udp4 0 0 olivers-imac.52119 *.*
udp4 0 0 *.mdns *.*
udp4 0 0 *.mdns *.*
udp4 0 0 *.mdns *.*
udp4 0 0 *.svrloc *.*
udp4 0 0 *.net-assistant *.*
udp4 0 0 *.* *.*
udp4 0 0 localhost.49181 localhost.1023
udp4 0 0 *.* *.*
udp4 0 0 *.ipp *.*
udp4 0 0 localhost.49161 localhost.1022
udp4 0 0 localhost.49160 localhost.1022
udp4 0 0 localhost.1022 *.*
udp4 0 0 localhost.1023 *.*
udp4 0 0 olivers-imac.ntp *.*
udp6 0 0 fe80:4::216:cbff.123 *.*
udp4 0 0 localhost.ntp *.*
udp6 0 0 fe80:1::1.123 *.*
udp6 0 0 localhost.123 *.*
udp6 0 0 *.123 *.*
udp4 0 0 *.ntp *.*
udp6 0 0 *.5353 *.*
udp4 0 0 *.mdns *.*
udp4 0 0 localhost.netinfo-loca *.*
icm6 0 0 *.* *.*
icm6 0 0 *.* *.*
icm6 0 0 *.* *.*

 

[Cadel]

Remotezugriff hast Du aber ausgeschaltet bei Deinem MAC?

da ich auf meinen mac hin und wieder per remote selbst zugreifen: nein

Mehr kann ich nicht dazu sagen. Hast du dir irgendetwas aus einer unsichern Quelle auf den Rechner geholt?

nicht, dass ich wüsste.

edit:

wenn ich den text da richtig verstehe, dann wollte der befehl doch die eingabeaufforderung aufrufen und dann darüber irgendeine 0.exe starten, oder?

wie ist denn unter windows der shortcut zum erreichen des "ausführen" buttons?
zufällig derselbe wie bei osx für das öffnen eines chatfensters in adium?

 

[StruppiMac]

Das klingt nach einem Wurm der im Moment rumkreist - hab das Phänomen schon ein paar mal beobachtet. Das Script verbindet sich per VNC zu einem Rechner den er findet (probiert evtl noch ein paar Kennwörter aus) und setzt das kommando ab.
Das Kommando erstellt übrigens eine Datei, in dem ein FTP Kommando drinsteckt (eine Datei 0.exe von der IP da per FTP zu laden) - das wird an den FTP client übergeben, der das dann ausführt und die erstellte Datei ik löscht und 0.exe ausführt.
BTW: Keine Panik, das Script wusste nicht, dass es auf einem Mac gelandet war

 

[Zwergenkönig]

tcp4 0 0 olivers-imac.58713 ik-in-f147.googl.http ESTABLISHED <--- googl??? Was soll das sein?? Hat wer ne Ahnung? Aber http sollte eig. nichts gefährliches sein...
tcp4 0 0 olivers-imac.52030 adsl-69-209-210-.2601 ESTABLISHED <-- kA was das ist...
tcp4 0 0 olivers-imac.57253 205.188.9.50.aol ESTABLISHED <-- kA was das ist... Schein aber AOL zu sein... bist du bei AOL??
tcp4 0 0 olivers-imac.57220 77.249.224.20.48888 ESTABLISHED <-- kA was das ist... Whois gibt nix sinnvolles raus...
tcp4 0 0 olivers-imac.57216 by1msg2245408.ph.msnp ESTABLISHED <-- kA was das ist... .ph?? klingt komisch.... auf was für seiten warst du?

 

[Cadel]

und woher hab ich das script, wo ist es und wie krieg ich das weg?

alleine schon weil es nervt, wenn der rechner einfach mal "macht was er will"

dabei fällt mir ein:
seit geraumer zeit schläft der monitor nicht mehr durch. willkürlich geht der bildschirm zwischendurch einfach wieder an.
hab den mac eigentlich nie aus oder im sleep modus. ich lass den monitor einfach nur ausgehen und hin und wieder geht der halt einfach mal wieder an. obwohl keiner dransitzt oder auch nur in der nähe ist (unbeabsichtigte mausbewegung haben wir schon ausgeschlossen)

kann das irgendwie zusammenhängen?

kA was das ist... Schein aber AOL zu sein... bist du bei AOL??

gott bewahre

auf was für seiten warst du?

wie auf was für seiten? ganz normale halt.
foren wie macuser.de z.b.

 

[StruppiMac]

Das script liegt nicht auf Deinem Rechner, das Script ist quasi diese 0.exe, die bei vielen Windows Systemen schon läuft und das Internet nach "offenen" VNC Servern abgräst und diese Zeichenfolge reinsteckt. Hättest Du eine Windows-Maschine, würdest Du jetzt auch diverse Leute "infizieren", da die 0.exe dann bei Dir gestartet wäre.
BTW: Ich würde mal schnellstens schauen, warum man einfach so ohne größere Kenntnisse von Kennwörtern auf Deinen VNC Server zugreifen kann

 

[Hotze]

Nutzt Du Audium zufällig als ICQ-Client? ICQ verschickt ja Trojaner usw. Da wollte ein Rechner wohl was bei Dir aktivieren.

 

[StruppiMac]

Nutzt Du Audium zufällig als ICQ-Client? ICQ verschickt ja Trojaner usw. Da wollte ein Rechner wohl was bei Dir aktivieren.

"ICQ-Viren" funkionieren nur für bestimmte Clients und mit Sicherheit wird keine für Adium unter MacOS unterwegs sein - der würde ja verhungern

Die "Viren" kommen auch nicht als Text-Chat an (ausser die "Bitte klick here"-Links ).

Wenn aus dem ICQ Netzwerk was gekommen wäre, hätte dieses Kommando wohl als eingehende Verbindung angezeigt werden müssen anstatt als ein Kommando, das er eingetippt hat

 

[Cadel]

BTW: Ich würde mal schnellstens schauen, warum man einfach so ohne größere Kenntnisse von Kennwörtern auf Deinen VNC Server zugreifen kann

und wie?

hab jetzt erstmal prophylaktisch das kennwort geändert.

Das script liegt nicht auf Deinem Rechner, das Script ist quasi diese 0.exe, die bei vielen Windows Systemen schon läuft und das Internet nach "offenen" VNC Servern abgräst und diese Zeichenfolge reinsteckt. Hättest Du eine Windows-Maschine, würdest Du jetzt auch diverse Leute "infizieren", da die 0.exe dann bei Dir gestartet wäre.

ein zombie-bot-netz also?

 

[The_MiGo]

tcp4 0 0 olivers-imac.57253 205.188.9.50.aol ESTABLISHED <-- kA was das ist... Schein aber AOL zu sein... bist du bei AOL??

ICQ ist von AOL. Daher der AOL Server.

 

[blauesloft]

Der Server mit der IP 85.187.226.174 steht in Bulgarien und gehoert einer VISIONNET Ltd

OT: Wie bekommt man denn so etwas heraus?

 

[Cadel]

mit nem whois auf die ip würd ich mal sagen.

kann mir jemand sagen, wo ich mehr infos zu dieser geschichte finde?
hat mal jemand nen heise-artikel oder dergleichen, wo auch was über technische zusammenhänge dazu steht und so?

 

[blueman-benny]

"ICQ-Viren" funkionieren nur für bestimmte Clients und mit Sicherheit wird keine für Adium unter MacOS unterwegs sein - der würde ja verhungern

Die "Viren" kommen auch nicht als Text-Chat an (ausser die "Bitte klick here"-Links ).

Wenn aus dem ICQ Netzwerk was gekommen wäre, hätte dieses Kommando wohl als eingehende Verbindung angezeigt werden müssen anstatt als ein Kommando, das er eingetippt hat

EDIT: Zu langsam...daher ^ ^

EDIT2: Das würde ich aber auf jeden Fall zu den Jungs und Mädels nach Heise schicken, bzw...direkt irgendwie zu Apple oder so...

EDIT3: wie macht man eine whois-abfrage auf eine IP??