Wurde mein MacBook gehackt?

[Loris]

wenn die led am gleichen stromkreis wie die isight hängt, ist wohl auch ein alle-fünf-minuten knipsen unmöglich.


irgendwie hört sich das stark paranoid an.

 

[12345678]

irgendwie hört sich das stark paranoid an.

Nenn es wie du willst.
Ich mach jetzt erstmal ein Backup vom kompletten System.

 

[Gulla Gulla No]

du gehörst nicht zufällig zu den leuten die bei chatroulette ununterbrochen am fappieren sind und sich jetzt beschweren weil es jem. mitgeschnitten hat?

 

[12345678]

du gehörst nicht zufällig zu den leuten

Nein bestimmt nicht. Ich bin ganz harmlos.

Ein weiters Indiz ist aufgetaucht. Ich habe nun 2 mal mein Passwort hier verloren. Bedeutet es wurde umgestzt. Ich hoffe das das nun ein Ende hat, denn das bringt doch nun wirklich nichts. Hätte meine E-Mailkonten wohl nicht speichern sollen.

Gebt mal ne gute Anleitung welche Passwörter man wie nacheinander ändern sollte bitte.
@sleightM

- Analyisier die laufenden Prozesse deines Macbooks

Was könnte ich da finden? Das Book kommt wie gesagt jetzt nichtmehr ans Netz. Hilft mir das auch offline?

- Analysier mithilfe eines anderen Rechners den Netzwerktraffic

Die Traffic kommt mir teilweise sehr langsam vor. Programm müsste ich erst installieren was ich jedoch nur mache wenn es brauchbare Hinweise liefern könnte.

- Erläutere dein Problem genauer

Das bekommen wir schon hin ;-)

Im Timemachinebackup den Zeitraum der Dir fehlt ansehen.

Leider Fehlanzeige. TimeMachine war nicht an. :-(

 

[everalmighty]

Ich glaube eher, dass du zuviele Daten im Internet rumschwirren hast, ob bewusst oder nicht.

 

[orgonaut]

Nicht ganz ernst gemeinter Zwischenruf: Dein PW lautet nicht zufällig 12345678? Das könnte ein Problem sein…

 

[almdudi]

Wäre es möglich Fotos zu schießen... alle sagen wir 5 minuten.
Wenn die Cam dann nur "klick" ein Foto macht geht die LED vielleicht garnicht.???

Da gibt es sicher was, so als Überwachungstool, aber wenn du den Verdacht hast, daß die LED kaputt ist, kannst du doch einfach auch selbst ein Bild auslösen.
Ich bezweifle, daß ein Hacker es schafft, die LED abzuschalten bei Serienaufnahmen, nicht aber bei Einzelbildern.

Mir erscheint immer noch wahrscheinlicher, daß das Bild auf einem anderen Weg veröffentlicht wurde, über Fahrlässigkeit bei dir oder jemand anderem, über die SD-Karte der Kamera oder die Kamera selbst, einen USB-Stick (vielleicht mit bereits gelöschtem, aber nicht überschriebenem Bild), oder daß doch jemand mal physisch Zugriff auf den Rechner hatte, z.B. auf einer Feier, im Urlaub...
Ist einfach wahrscheinlicher. Es sei denn du kennst einen echten Hacker-Crack, dem du zutraust, daß er sich die Arbeit macht, deinen Mac aus dem Internet zu knacken.
Trotzdem würde ich natürlich alle Paßwörter etc. ändern.
Die Suche nach neuen Eindring-Versuchen kannst du dir vermutlich sparen. Wenn es denn wirklich ein echter Hacker gewesen sein sollte, wird er sicher nicht so doof sein, dir seinen Erfolg mit Bild mitzuteilen und dann riskieren, erwischt zu werden, nachdem du aufmerksam wurdest.
Spyware, Keylogger etc. funktionieren mit OS X meines Wissens nur, wenn man als Admin das Paßwort eingibt - und ich nehme mal an, daß du im Internet nicht von einem Admin-Account aus zugange bist und auch nie einfach mal ohne Überlegen eine Installation per Pwßwort bestätigt hast.

 

[12345678]

Hm ...also mir sind keine Daten bewusst.
Was für Daten meinst du genau?

Dein PW lautet nicht zufällig 12345678

Nein. Außerdem Gegenfrage: Wenn interessiert mein Passwort?
Ich denke wenn das jetzt nochmal passiert werde ich hier im Forum mal den Betreiber fragen was der dazu sagen kann. Vielleicht kann der ja rausfinden wer sich an meinem Account zu schaffen macht.
Ich hoffe wirklich das hier jede menge gute Infos in dem Thread landen und ihr mir helfen könnt.

aber wenn du den Verdacht hast, daß die LED kaputt ist

LED ist nicht kaputt. Die geht.

Ich bezweifle, daß ein Hacker es schafft, die LED abzuschalten bei Serienaufnahmen, nicht aber bei Einzelbildern.

Ups...nicht bei Einzelbildern? Also würden z.B. 5 Einzelbilder in 20min gehen? Wie kommst du darauf das das geht?

Es sei denn du kennst einen echten Hacker-Crack, dem du zutraust, daß er sich die Arbeit macht, deinen Mac aus dem Internet zu knacken.

Ja...trau ich denen zu die ich verdächtige.

Mir erscheint immer noch wahrscheinlicher, daß das Bild auf einem anderen Weg veröffentlicht wurde

Das schließen wir aus, es kann nur mit der Kamera aufgenommen worden sein und wurde bei mir nicht gespeichert.

und ich nehme mal an, daß du im Internet nicht von einem Admin-Account aus zugange bist

Tja leider war das so.
Was ist mit meinem E-mail Provider? Wenn der Hacker meine Mails abgerufen hat könnte man doch dort Auskünfte einholen (wann ich mein Konto von wo abgerufen habe müssten die doch rausrücken), oder ist das problematisch?

 

[OFJ]

... Das schließen wir aus, es kann nur mit der Kamera aufgenommen worden sein und wurde bei mir nicht gespeichert ...

Na endlich mal was konkretes. Dir wurde also ein entsprechendes Bild zugespielt, welches Du nachweislich nicht aufgenommen und ins Netz gestellt hast. Dann kannst Du damit doch ganz klar zur Polizei gehen.

...Was ist mit meinem E-mail Provider? Wenn der Hacker meine Mails abgerufen hat könnte man doch dort Auskünfte einholen (wann ich mein Konto von wo abgerufen habe müssten die doch rausrücken), oder ist das problematisch?

Frag doch einfach bei Deinem Provider nach!

Nachtrag:

... Dein PW lautet nicht zufällig 12345678? ...

Der passende Link

 

[Wildwolve]

Also da meinst also, das deine Mail, Bilder und Videos inkl. Logfiles von dir von deinem Mac-Boock verschwunden sind bzw. Kopiert wurden.

Oki, kein Problem erstmal soweit.
Hast du denn die Daten irgendwo im Internet gefunden/gesehen?

Oder vermutest du nur?

Falls du vermutest, ist es für alle sehr schwer, die weiter zu helfen.
Wenn du deine Daten irgendwo gesehen/gefunden hast, dann ist es ja klar.
Dann gehe, wie viele schon gesagt haben zur Kripo.

 

[sleight]

In der Aktivitätsanzeige kannst du auch bei einem Rechner der nicht im Netz hängt sehen ob verdächtige Prozesse laufen. Wenn denn der jenige die spüren nicht schon verwischt hat.

Wenn es ein "richtiger Hacker" gewesen sein sollte wirst du aber sowieso nichts mehr finden. Aber ganz im Ernst, niemand macht sich diesen Aufwand nur um jemanden "zu ärgern". Das ganze ist dann doch nicht so trivial wie es manchmal dargestellt wird.

Natürlich könnte man die iSight per Tool triggern um kurz anzugehen um ein Bild aufzunehmen, die LED wird trotzdem angehen. Die Frage ist nur ob man es dann merkt dass Sie an ist, für sagen wir 1-3 sekunden.

Die fragte sollte einen auch nicht zu sehr beschäftigen, denn für all diese Aktionen muss Zugriff zu deinem System vorhanden sein und entsprechende Tools laufen. Wie kann/konnte das möglich sein?

Wenn ein Tool noch läuft ist es anhand der PID (Aktivitätsanzeige) sichtbar. Aber man sollte das ganze von hinten aufrollen. Wie wurde Zugriff auf deinen Rechner genommen. Ich nehme an du sitzt an einem Router, nun muss erstmal über den HTTP Stream (z.B. ein infiziertes FLV (Flash)) oder einen anderen offenen Port über deinen NAT Router (geh ich einfach mal von aus) entsprechender Code eingeschleust werden.
Wenn das nicht über einen echt guten Exploit läuft musst du noch per Eingabe die Rechte heben (daher immer ganz genau schauen welches Programm die rechte anheben will).
Sobald der Exploit/Code/Tool auf deinem Rechner läuft ist es ein Kinderspiel alles mögliche zu machen. Deine NAT Firewall im Router hat dann auch bereits seine Wirkung verloren.

Achso und du sagst dein Kennwort wurde hier im Forum geändert? Gleich 2 mal. Ich denke du hast deinen Mac nichtmehr am Netz. Wie soll jemand z.B. per Keylogger dann dein Kennwort mitbekommen haben um es zurück zu setzen, oder aber meinst du dein E-Mail Account wurde gehackt? Bist du bei GMX?

 

[12345678]

oder aber meinst du dein E-Mail Account wurde gehackt?

Ich hatte die Outlook-Konten auf dem Rechner gespeichert. Mit diesen Dateien ist es ein leichtes meine Mails von überall abzurufen.

Hast du denn die Daten irgendwo im Internet gefunden/gesehen?

Noch nicht.

 

[sleight]

Benutzt du zufällig einen E-Mail Anbieter mit dessen Daten man sich auch bei "einem Messanger" anmelden kann? (MSN/Hotmail z.B.). Oder aber bist du mit dem E-Mail Konto bei Messanger X angemeldet. Wir können natürlich noch weiter gehen.

- MITM Attack
- Spoofing
- Sniffen deines Datenstroms

und dadurch das abgreifen der entsprechenden Daten, sofern du einen unverschlüsselten Dienst genutzt hast (E-Mail; Messanger)

Evtl bestand gar kein Zugriff auf deinen Rechner, sondern "lediglich" Zugriff auf dein E-Mail Konto und das Messanger Konto? Oder aber du hast Daten unverschlüsselt übertragen und diese wurden "abgegriffen". Das heißt es handelt sich gar nicht um individuell erstelltes Material.

 

[whistler]

wenn ich mir so deinen nutzernamen ansehe, behaupte ich mal das hat nicht wirklich was mit "hacken", sondern eher mit "password guessing" zu tun

 

[12345678]

Benutzt du zufällig einen E-Mail Anbieter mit dessen Daten man sich auch bei "einem Messanger" anmelden kann?

Nein 1+1.

- MITM Attack
- Spoofing
- Sniffen deines Datenstroms

Wie gesagt, die Bilder können wenn nur mit meiner ISight gemacht worden sein. Ohne LED. Auch 1-3 Sekunden wären mir aufgefallen.
Ich werde nachher mal die Logeinträge posten die noch übrig sind, vielleicht helfen die doch noch etwas verdächtiges zu entdecken.

In der Aktivitätsanzeige kannst du auch bei einem Rechner der nicht im Netz hängt sehen ob verdächtige Prozesse laufen.

Danke...das werde ich auch mal nachher prüfen.

Ich nehme an du sitzt an einem Router, nun muss erstmal über den HTTP Stream (z.B. ein infiziertes FLV (Flash)) oder einen anderen offenen Port über deinen NAT Router (geh ich einfach mal von aus) entsprechender Code eingeschleust werden.

Ja ich sitze an einem Router.
Gibt es weitere Möglichkeiten diesen Code ausfindig zu machen falls er noch da ist? Ad-Software?

 

[sleight]

Was ist wenn die Bilder aus einem Videochat stammen den du aktiv hattest und jemand nicht berechtigtes hier Zugriff genommen hat?

Wenn du eine kurze Aktivität der iSight bemerkt hättest, dann können die Bilder nicht mit deiner iSight gemacht worden sein, zumindest nicht außerhalb deines normalen Nutzungsverhaltens.

 

[12345678]

Was ist wenn die Bilder aus einem Videochat stammen den du aktiv hattest und jemand nicht berechtigtes hier Zugriff genommen hat?

Nein das ist ummöglich, Videochat war nicht an und Skype nicht geöffnet.

Wenn du eine kurze Aktivität der iSight bemerkt hättest, dann können die Bilder nicht mit deiner iSight gemacht worden sein, zumindest nicht außerhalb deines normalen Nutzungsverhaltens.

Verstehe ich nicht was du damit meinst.

 

[Flip]

Hi,
hast Du irgendwelche Backups von Time Machine? Keine Ahnung ob das schon gefragt wurde.
Falls Du welche hast, hast Du vielleicht Glück bzgl. Deiner Logfiles und kannst doch noch etwas finden.
Aber irgendwie beschleicht mich beim Schreiben das Gefühl, dass Du keine hast, sonst hättest Du sicherlich da schon einmal reingeschaut, oder?

Gruß
Flip

 

[sleight]

Nein das ist ummöglich, Videochat war nicht an und Skype nicht geöffnet.

Verstehe ich nicht was du damit meinst.

Zu 1: Das heißt ja die Bilder müssen von einem ganz bestimmten Zeitpunkt sein, also wenn du nicht konkreter wirst kann dir keiner helfen. Die Suche wird müßig. Find dich lieber mit der Aktion ab und fertig.

Zu 2: Wenn du bemerkt hättest wenn die LED angewesen wäre, können die Bilder nicht von deiner iSight stammen. Die iSight kann nicht ohne die LED betrieben werden, es sei denn die LED ist defekt. Das ist sie bei dir ja nicht. Also ist es quatsch.

Du weißt nicht was es war, wie es war und warum es war und schon gar nicht von wem. Wiegelst aber jeden Vorschlag ab, der von deiner Theorie abweicht das jemand deine iSight gehijacked hätte und diese ohne LED und ohne dein Wissen betrieben.

 

[12345678]

Das heißt ja die Bilder müssen von einem ganz bestimmten Zeitpunkt sein, also wenn du nicht konkreter wirst kann dir keiner helfen. Die Suche wird müßig. Find dich lieber mit der Aktion ab und fertig.

Nein, keine bestimme Aktion.
Das die suche müssig wird ist mir egal, ich hab Zeit. Außerdem hab ich jetzt auch bald einen Experten an der Hand der mir sicherlich weiterhelfen kann.
Ich werde euch natürlich davon berichten.
Abfinden werd ich mich damit nicht, denn sowas ist unter aller Sau und die Typen werden dann schön in den Knast wandern wenn sich das bestätigt.