B
blueman-benny
Wollte ich eigentlich auch grad fragen. Den könnte man dann ja auch lahmlegen, falls der nicht gerbraucht wird: Siehe Hier!
Mein macbook wurde gehackt!
- Ersteller spooky1980
- Erstellt am
Wollte ich eigentlich auch grad fragen. Den könnte man dann ja auch lahmlegen, falls der nicht gerbraucht wird: Siehe Hier!
SilentCry
Mitglied
- Dabei seit
- 28.04.2005
- Beiträge
- 1.435
- Reaktionspunkte
- 36
Ich kann daraus keinen Satz bilden:
"0 and bahahahaha How I IF IM IN it NOBODY one right RIGHT SO Stupid The then there what Who WRONG"
Die Worte "bahahahaha" und "Stupid", etc. sprechen imho GEGEN ein amokgelaufenes Shellscript. Aber Satz wird daraus keiner.
"0 and bahahahaha How I IF IM IN it NOBODY one right RIGHT SO Stupid The then there what Who WRONG"
Die Worte "bahahahaha" und "Stupid", etc. sprechen imho GEGEN ein amokgelaufenes Shellscript. Aber Satz wird daraus keiner.
spooky1980
Neues Mitglied
Thread Starter
- Dabei seit
- 16.08.2007
- Beiträge
- 12
- Reaktionspunkte
- 0
Also Gastaccount is aus.
macbook:~ chris$ who
chris console Aug 15 09:16
chris ttyp1 Aug 17 10:43
chris ttyp2 Aug 16 15:36
Von 15:36 sind die Dateien
macbook:~ chris$ last
...
chris ttyp2 Thu Aug 16 15:36 still logged in
chris ttyp2 Thu Aug 16 15:36 - 15:36 (00:00)
...
macbook:~ chris$ finger
Login Name TTY Idle Login Time Office Phone
chris Christian *con 2d Wed 09:16
chris Christian p1 Fri 10:43
chris Christian p2 19:11 Thu 15:36
macbook:~ chris$ who
chris console Aug 15 09:16
chris ttyp1 Aug 17 10:43
chris ttyp2 Aug 16 15:36
Von 15:36 sind die Dateien
macbook:~ chris$ last
...
chris ttyp2 Thu Aug 16 15:36 still logged in
chris ttyp2 Thu Aug 16 15:36 - 15:36 (00:00)
...
macbook:~ chris$ finger
Login Name TTY Idle Login Time Office Phone
chris Christian *con 2d Wed 09:16
chris Christian p1 Fri 10:43
chris Christian p2 19:11 Thu 15:36
spooky1980
Neues Mitglied
Thread Starter
- Dabei seit
- 16.08.2007
- Beiträge
- 12
- Reaktionspunkte
- 0
Also die Session mit über 19 Stunden idle kommt mir schon sehr suspekt vor. Zumal der Loginzeitpunkt stimmt. Ist die lokal oder remote?
EDIT: Die war remote. Hab mich grad bei mir selbst mit SSH eingeloggt und so eine Session sieht genau gleich aus.
Also zumindest weiß ich jetzt wie er rein ist. Aber das muss doch immer noch nicht heißen, dass er das Passwort über SSH rausbekommen hat, bzw dort das Loch ist oder?
EDIT: Die war remote. Hab mich grad bei mir selbst mit SSH eingeloggt und so eine Session sieht genau gleich aus.
Also zumindest weiß ich jetzt wie er rein ist. Aber das muss doch immer noch nicht heißen, dass er das Passwort über SSH rausbekommen hat, bzw dort das Loch ist oder?
SilentCry
Mitglied
- Dabei seit
- 28.04.2005
- Beiträge
- 1.435
- Reaktionspunkte
- 36
Ich würde mir mal eine Frage stellen:
Will ich a) eine fundierte forensische Analyse machen oder b) wieder in einer gesicherten Umgebung arbeiten?
Denn solange diese Maschine läuft besteht die Gefahr, dass sie ein Backdoor enthält, jemand die Accountdaten kennt, ev. sogar eine timed bomb tickt, die Daten löscht am Datum X...
Mein direkter Rat: Sofortiges Abschalten (nicht einmal runter fahren, denn es könnte ein shutdown script eingebunden sein), dann Platte raus.
Neue Platte rein. Alte Platte externes Gehäuse -> Mac neu installieren, Daten von alter Platte über externes Gehäuse zurückspielen - NUR DATEN!
Dann evtl. die alte Platte löschen oder forensisch analysieren oder der Polizei übergeben - denn Manipulation von fremden Daten ist ein Straftatbestand. Musst Du aber selber wissen, ob Du Dir das antun willst.
*Ich* würde auf keinen Fall weiter mit dieser Installation arbeiten.
Will ich a) eine fundierte forensische Analyse machen oder b) wieder in einer gesicherten Umgebung arbeiten?
Denn solange diese Maschine läuft besteht die Gefahr, dass sie ein Backdoor enthält, jemand die Accountdaten kennt, ev. sogar eine timed bomb tickt, die Daten löscht am Datum X...
Mein direkter Rat: Sofortiges Abschalten (nicht einmal runter fahren, denn es könnte ein shutdown script eingebunden sein), dann Platte raus.
Neue Platte rein. Alte Platte externes Gehäuse -> Mac neu installieren, Daten von alter Platte über externes Gehäuse zurückspielen - NUR DATEN!
Dann evtl. die alte Platte löschen oder forensisch analysieren oder der Polizei übergeben - denn Manipulation von fremden Daten ist ein Straftatbestand. Musst Du aber selber wissen, ob Du Dir das antun willst.
*Ich* würde auf keinen Fall weiter mit dieser Installation arbeiten.
du hast dich selbst vom macbook aus aufs macbook mit ssh eingeloggt?
das sieht das nun mal so aus...
remote sollte anders aussehen...
mach doch mal ein
sudo grep sshd /var/log/secure.log
da siehst du es doch, von wo ein login kommt...
Hast du vielleicht den Bluetooth-Datenaustausch aktiviert und als Zielordner dein Home-Verzeichnis angegeben? Dann könnte dir jeder mit einem Bluetooth-Gerät Dateien in deinem Home-Verzeichnis anlegen, mehr aber nicht.
Iluminatus
unregistriert
- Dabei seit
- 24.03.2007
- Beiträge
- 975
- Reaktionspunkte
- 80
Hey,
das ist ja klasse! Du hast dann nicht nur das erste gehackte MacBook sondern auch scheinbar das einzige, welches einen PCMCIA oder Expresscard-Slot hat.
Glückwunsch!
Dont ...
Wieso postet er nicht mal die laufenden Prozesse?
In der Konsole als root mal während ner Onlineverbindung netstat -l eingeben.
Kenne mich da selbst nicht so gut aus, aber Linux/Unix-Kenner haben mir mal gesagt, dass man mit netstat -l schauen kann, was so alles "raustelefonieren" will. Eventuell mal Little Snitch draufpacken und schauen was sich so tut. Vielleicht kann dann ja hier jemand anderes was daraus erkennen.
Ansonsten kann ich mich dem nur anschließen: Alles platt machen und OSX neu drauf und beim nächsten mal: normaler User Account und alles, aber auch wirlich alles was an Ports, Funktionalitäten (Airport etc.) nicht gebraucht wird abschalten.
Einschalten: Passwortabfrage nach Ruhezustand/Screensaver.
In der Konsole als root mal während ner Onlineverbindung netstat -l eingeben.
Kenne mich da selbst nicht so gut aus, aber Linux/Unix-Kenner haben mir mal gesagt, dass man mit netstat -l schauen kann, was so alles "raustelefonieren" will. Eventuell mal Little Snitch draufpacken und schauen was sich so tut. Vielleicht kann dann ja hier jemand anderes was daraus erkennen.
Ansonsten kann ich mich dem nur anschließen: Alles platt machen und OSX neu drauf und beim nächsten mal: normaler User Account und alles, aber auch wirlich alles was an Ports, Funktionalitäten (Airport etc.) nicht gebraucht wird abschalten.
Einschalten: Passwortabfrage nach Ruhezustand/Screensaver.
junicks
Aktives Mitglied
- Dabei seit
- 18.09.2004
- Beiträge
- 2.265
- Reaktionspunkte
- 20
bullshit. torrent ist das mit abstand sicherste protokoll und wird *nicht* wie allgemein angenommen nur zum leechen illegal verbreiteter dateien benutzt. das ist die gleiche märe wie die vom icq-crack.
pcdog
Aktives Mitglied
- Dabei seit
- 12.03.2005
- Beiträge
- 215
- Reaktionspunkte
- 2
Hey,
das ist ja klasse! Du hast dann nicht nur das erste gehackte MacBook sondern auch scheinbar das einzige, welches einen PCMCIA oder Expresscard-Slot hat.
Glückwunsch!
Dont ...
bullshit hier...
z.b in der schweiz gibt es Swisscom und Sunrise, welche je ein USB modem haben für Datenfunk.
ActiveX
Aktives Mitglied
- Dabei seit
- 11.11.2006
- Beiträge
- 2.230
- Reaktionspunkte
- 254
Würde ich auch mal so vermuten.
und wenn du dein System wieder sicher haben willst erstelle doch einfach einen intelligenten Ordner und lasse alles mit bestimmtem erstellungsdatum rein, auch Systemdaten. da OS X nicht wie Windows eine Registry besitzt müssen die Einsellungen ja in Daten gehalten werden.
Nur eine Idee, noch bin ich Dosen-Nutzer...
das bescheuerte ist nur: wenn der drin war weiß der jetzt sicher mit deiner iDisk umzugehen...
Nur eine Idee, noch bin ich Dosen-Nutzer...
das bescheuerte ist nur: wenn der drin war weiß der jetzt sicher mit deiner iDisk umzugehen...