Illegaler Zugriff auf meinen Rechner?

[pjahra]

Halli Hallo,
ich habe vorhin, als ich meine FireWie-Verbindung zwischen meinen beiden rechnern rektivieren wollte, ein komisches Alias gefunden.
Unter Gehe zu / Netzwerk ist ein mir unbekanntes alias. Mittels Apfel-i hane ich herausgefunden, dass es heute morgen um 01:17 Uhr erstellt wurde, obwohl ich gar nicht am rechner war um diese Uhrzeit.
Kann sich - trotz aktivierter Firewall, jemand eingehackt haben? Wenn ja, wo ist die Netzwerkaktivität unter MacOS X protokolliert, d. h. kann ich das irgendwo nachlesen, was da heute nacht passiert ist?
Doppleklick auf das Alias bringt nix, da das Origiginal nicht gefunden wird.

Danke & Gruß,

 

[volksmac]

Naja, wenn du schon in karachji wohnst ist das wohl eher wahrscheinlich...

ne spass beiseite: war dein rechner an ? hängt auch permanent am inet - sicher beides

gucke doch mal in die konsole, da sollte eigentlich so alles an aktivitäten protokolliert sein.

aber denke eher nicht das da jemand deinen mac gehackt hat, es sei denn du und deine daten die da drauf sind sind für irgendwen interessant ?! dann wird schon eher so ein aufwand betrieben.
aber in der regel hinterlassen hacker keine sofort sichtbaren spuren.

- konsole - protokolle -

kannst ja nochmal nach daten suchen die gleiche uhrzeit haben !!

 

[pjahra]

Hmmm, im Protokoll steht nix darüber .....
Aber was mich am meisten wundert, ich krieg dieses alias nicht weg!
Wenn ich's in den Papierkorb ziehe, startet offensichtlich der Finder neu, denn die Menüleiste ist kurzfristig verschwunden, unddanach ist das alias wieder da! Neustart bringt dasselbe.
Habe ich als root eingeloggt und das alias entfernt - selber Effekt



Gruß, & Danke für die Hilfe

 

[volksmac]

Hmm ... da würde ich mal eher auf nen fehler im system tippen und rechte reparieren rüberjagen ...

 

[BEASTIEPENDENT]

terminal->sudo rm "das alias reinziehen" ->passwort eingeben.

 

[pjahra]

Danke für die Tipps.
Werde jetzt auch mal HenWen und so'n Krempel installieren, falls der Kerl wiederkommt.
Gruß,

 

[pjahra]

Geht nich

Original geschrieben von BEASTIEPENDENT
terminal->sudo rm "das alias reinziehen" ->passwort eingeben.

 

Geht nicht.
"Operation not permitted"
Setzen, sechs.

Und nu ??

Gruß,

 

[pjahra]

So sieht das alias übrigens aus (grau, nicht wie das Netzwerk-Alias, blau)
Gruß,

 

[pjahra]

?????

Noch ein Nachtrag:
Jetzt hab ich mal die Zugriffsrechte reparieren lassen.
Wenn ich das alias jetzt anklicke und mit Apfel+i Informationen anziegen lasse, verchwindet das alias.
Schließe ich dann das Fenster, und öffne es mit Gehe zu / Netzwerk erneut, erscheint das alias wieder - erst die Schrift, dann das icon.
??????????????

Äääääääääääääh ....

Gruß,

 

[lundehundt]

das mit sudo klappt nur wenn du den root account in 'Netinfo Manager - Security - enable root' freigeschaltet hast. Was hat denn die Console um die Uhrzeit (01:17) protokolliert in der der Alias angelegt worden ist?

Cheers,
Lunde

 

[pjahra]

Hallo Lunde,
den root hatte ich natürlich aktiviert, und mich auch schon als root eingeloogt und versucht, das Ding zu löschen (siehe oben).
Da ich die Kiste mittlerweile mehrfach rebootet habe, um das alias zu löschen, kann ich auf die Konsole nicht mehr zugreifen, aber ich meine, da nix gesehen zu haben ..
Gruß,

 

[Icetheman]

Probiers mal mit einem FTP Programm zu löschen, der löscht auch hartnäckige Dateien.

Programm öffnen Alias suchen und mit ctrl+ klick delete wählen.

 

[maceis]

Original geschrieben von lundehundt
das mit sudo klappt nur wenn du den root account in 'Netinfo Manager - Security - enable root' freigeschaltet hast. Was hat denn die Console um die Uhrzeit (01:17) protokolliert in der der Alias angelegt worden ist?

Cheers,
Lunde

 

Also tut mir leid, aber das ist absolut falsch.
Im Gegenteil; man benutzt sudo, damit man sich eben nicht als root anmelden muss.

Zum Problem an sich.
Die Freischaltung von root ist so gut wie nie notwendig; im Gegenteil; wer root freischaltet baut sich seine eigene Sicherheitslücke.

Nachdem Dein Rechner Dienste anbietet und aus Gründen, die ich hier nicht öffentlich nennen möchte, ist er potentiel gefährdet.
Die Aussage der Rechner sei nicht interessant, wenn keine interessanten Daten darauf liegen ist absolut falsch.
Interessant ist Dein Rechner für einen bösartigen Hacker auf jeden Fall und aus vielen Gründen.
Zum Beispiel:
- als Datenspeicher
- zur Verschleierung von Angriffen auf andere Systeme (das ist besonders interessant für den Hacker, da dann Deine IP in den Protokollen der angegriffenenSysteme auftaucht und somit Du verdächtig wirst)
- als Webserver zur Verbreitung von illegalen Daten
- zur Nutzung Deiner Bandbreite
- u. U. als relay zur Versendung von Spammails
- ...
etc. etc.

Die Firewall schützt Dich da nur sehr begrenzt, da der Zugriff auf Dienste von der Firewall ja explizit erlaubt wird.
Die Konfiguration der Firewall auf der Kommandozeile hätte es aber ermöglicht, dass alle Zugriffe geloggt werden, und Du kontrollieren hättest können, ob in der fraglichen zeit eingehende Zugriffe stattgefunden haben.
Ist allerdings einigermaßen komplex

Als ersten Schritt zur Verteidigung würde ich Dir die sofortige Deaktivierung des root Accountes dringendst empfehlen !!!
Wenn Du möchtest kann ich einen externen Scan auf deinen Rechner ausführen, um zu sehen, ob backdoors installiert wurden.
Außerdem würde ich an Deiner Stelle prüfen, ob neue Benutzer angelegt wurden.

Ich bin jetzt ein wenig in Zeitnot - aber ich denke Du solltest auf jeden Fall alarmiert bleiben.
Das ist in meinen Augen höchst alarmierend und sehr wahrscheinlich kein "Fehler des Betriebssystems".
Später mehr ...
[edit]
PS: sieh Dir mal die Logfiles Deines Webservers an (und gf. der anderen Server, die bei Dir laufen) um zu sehen, ob Du zu dieser Zeit bzw davor Zugriffe hattest und woher.

 

[pjahra]

Hallo maceis,
wie schon so oft, danke für Deine ausführliche Hilfe.
root habe ich als erste Maßnahme mal deaktivert.
Wenn Du einen backdoor scan machen möchstest, vielen Dank im Voraus. Ich schicke Dir meine IP-Adresse per PN.
Lt. Systemeinstellungen / Benutzer sind keine neuen Benutzer angelegt worden.
Meine Server sind alle deaktiviert und waren es zum Zeitpunkt des "Angriffs" auch.

Gruß,

 

[maceis]

hallo Phjara -

deine Website läuft also nimmer auf Deinem G4 zu Hause; wenn Du gar keine Dienste anbietest ist die Gefahr eines "Angriffs" wesentlich geringer.
Ein mögliches Gefahrenpotential stellt mMn die Benutzung von ICQ dar, da die meisten Clients wohl mehr oder minder große Sicherheitslücken aufweisen.

Allerdings will ich auch keine Panik verbreiten.
Wenn aus unerklärlichen Gründen Dateien auf der Festplatte auftauchen, sollte man dem sicher nachgehen - ob das aber jetzt ein Hackerangriff ist oder einen anderen Grund hat ist noch offen.
(Portscan läuft noch)

 

[pjahra]

Hallo maceis,
die Webseite läuft zur Zeit auf meinem Webspace bei .Mac, und der FTP-Server ist zu.
Da kann also nix passieren.
ICQ habe ich zuletzt vor etwa drei Wochen benutzt, snak (IRC) ebenfalls.
Gruß,

 

[Mortiis]

Ave,

Schalte mal Filesharing aus, dann dürfte dieser Rechner, denn es ist ein Netzwerkallias, keinen Zugriff mehr auf Dein System mehr bekommen.

Mortiis

 

[pjahra]

Hallo Mortiis,
danke für den Tipp. Alle Sharings bei mir sind dicht. Deswegen kapier ich ja nicht, wie einer da drauf zugreifen konnte ...
Mein Passwöerter sind übrigens nicht zu erraten, sind Kombinationen aus Groß/-Kleinbuchstaben und Zahlen, die keinen Sinn ergeben.
Gruß,

 

[maceis]

Original geschrieben von Mortiis
Ave,

Schalte mal Filesharing aus, dann dürfte dieser Rechner, denn es ist ein Netzwerkallias, keinen Zugriff mehr auf Dein System mehr bekommen.

Mortiis

 

Das wird nicht viel bringen, denn wenn es wirklich ein Netzwerkalias ist (sieht fast so aus), dann müsste die Freigabe an dem anderen Rechner abgeschaltet werden.
Ich vermute, das es ein Rechner im Netz des Providers oder von einem anderen Kunden des Providers ist, der hier gezeigt wird.

Das wäre dann auch keine Gefahr für phiara, sondern für den anderen Rechner.
-----
[edit]
um zu Testen, ob das eine Windowsfreigabe ist, könntest du folgendes machen:
Apfel-K (im Finder)
und dann eingeben:
smb://<name des alias>/c$

Wenn Du eine Anmeldemaske bekommst ist es ne Dose die schlecht abgesichert in Deinem Subnetz hängt.
[/edit]