Mail-Account gehackt - auf dem Mac?

Podi

Podi

Aktives Mitglied
Thread Starter
Dabei seit
30.09.2004
Beiträge
539
Reaktionspunkte
5
Hallo MacUser,

mein Uni-Mail-Account wurde vor kurzem gesperrt, da er gehackt wurde (Zugriff aus Thailand). Das ganze passierte zwischen April und August (vor April hatte ich ein anderes PW). Ich frage mich nun, ob das durch Malware auf dem Mac passiert ist, da ich mich - soweit ich mich erinnere - nicht auf einem Windows-Rechner angemeldet habe, um Mails abzurufen.

Meine Frage nun:
Wie kann ich den Mac "scannen"? Wie kann ich ausschließen, dass so etwas noch einmal passiert?

Die IT der Uni hat mir MacScan und Avira vorgeschlagen. Die Überprüfung mit diesen Programmen führte nur ein paar tracking cookis zutage. Nun meinte der ITler, ich solle eine LIVE-CD oder einen schreibgeschützten USB-Stick verwenden. Leider habe ich nur Live-CDs für Windows und Linux gefunden.

Schöne Grüße
P.
 
bist du dir denn wirklich sicher, dass du ein SICHERES Passwort hattest? Ansonsten wäre ja ein Bruteforce Angriff von aussen durchaus einfacher.
 
Ich bin mir schon recht sicher. Es war kein Passwort ala 1234 oder meinName. Auch waren Zahlen und Buchstaben kombiniert.
 
Genau. Der account kann auch von ganz woanders gehackt worden sein.

Die daten liegen ja erstmal auf den servern der uni und können weltweit abgerufen werden. (wenn man das Passwort kennt oder errät oder einfach mal drauf losversucht)

Vielleicht hast du Adresse und Passwort auch mal auf irgendeiner anderen webseite eingegben...
 
SSL beim abrufen hast du an?
hat die uni überhaupt schon heartbleed auf deren servern gefixt? ;)

auch wenn du zahlen und buchstaben kombinierst, die brute force wörterbücher dafür existieren auch.
 
SSL müsste an sein. Die Webmail Seite der Uni hat eine https Adresse und beim Zertifikat steht SSL (kenne mich nicht so sehr aus, also könnte das hier alles etwas laienhaft klingen ;) )

Gibt es denn eine Methode, um auszuschließen, dass es Malware war bzw. diese noch aktiv ist? Ich könnte damit leben, dass es brute force war. Dann muss ich halt hoffen, dass es beim neuen PW (generiert vom Uni-Rechner) nicht wieder passiert. Allerdings würde ich vorher gerne alle anderen möglichen "Leaks" geprüft haben.
 
erstmal den Autostart des Rechners prüfen...
verdächtige einträge dort können schon auf ein problem hinweisen.

dazu gibt es z.b. die software etrecheck... www.etresoft.com/etrecheck

wenn du mit der Ausgabe des programmes überfordert bist kannst du das ergebnis einfach hier posten. Dann schauen wir da mal drüber.
 
  • Gefällt mir
Reaktionen: guenther111
Mir ist noch eingefallen, dass der VPN Client der Uni die gleichen Log-In Daten benutzt. Aber auch damit habe ich mich nicht von einem anderen PC eingeloggt.

tocotronaut schrieb:
erstmal den Autostart des Rechners prüfen...
verdächtige einträge dort können schon auf ein problem hinweisen.

dazu gibt es z.b. die software etrecheck... www.etresoft.com/etrecheck

wenn du mit der Ausgabe des programmes überfordert bist kannst du das ergebnis einfach hier posten. Dann schauen wir da mal drüber.
Zum Vergrößern anklicken....

Danke. Anbei das Ergebnis.

EtreCheck version: 1.9.15 (52)
Report generated 25. August 2014 09:24:55 MESZ

Hardware Information: ?
MacBook Air (Verified)
MacBook Air - model: MacBookAir6,2
1 1.3 GHz Intel Core i5 CPU: 2 cores
8 GB RAM

Video Information: ?
Intel HD Graphics 5000 - VRAM: (null)
Color LCD 1440 x 900

System Software: ?
OS X 10.9.3 (13D65) - Uptime: 3 days 11:11:48

Disk Information: ?
APPLE SSD SD0128F disk0 : (121,33 GB)
S.M.A.R.T. Status: Verified
EFI (disk0s1) <not mounted>: 209,7 MB
Macintosh HD (disk0s2) / [Startup]: 120,47 GB (15,43 GB free) (Low!)
Recovery HD (disk0s3) <not mounted>: 650 MB

USB Information: ?
Apple Internal Memory Card Reader
Apple Inc. BRCM20702 Hub
Apple Inc. Bluetooth USB Host Controller

Thunderbolt Information: ?
Apple Inc. thunderbolt_bus

Gatekeeper: ?
Mac App Store and identified developers

Kernel Extensions: ?
[loaded] com.avira.kext.FileAccessControl (1.0.0d1 - SDK 10.9) Support

Launch Daemons: ?
[loaded] com.adobe.fpsaud.plist Support
[loaded] com.avira.antivirus.dbcleaner.plist Support
[loaded] com.avira.antivirus.ipm.loader.plist Support
[running] com.avira.helper.watchdox.plist Support
[running] com.cisco.anyconnect.vpnagentd.plist Support

Launch Agents: ?
[loaded] com.avira.antivirus.ipm.ui.plist Support
[loaded] com.avira.antivirus.notifications.agent.plist Support
[loaded] com.avira.antivirus.odscan.default.plist Support
[loaded] com.avira.antivirus.scheduler.agent.plist Support
[running] com.avira.antivirus.systray.plist Support
[loaded] com.avira.antivirus.telemetry.agent.plist Support
[loaded] com.avira.antivirus.update.default.plist Support
[loaded] com.cisco.anyconnect.gui.plist Support

User Launch Agents: ?
[loaded] com.adobe.ARM.[...].plist Support
[loaded] com.valvesoftware.steamclean.plist Support

User Login Items: ?
Steam
iTunesHelper
Dropbox

Internet Plug-ins: ?
FlashPlayer-10.6: Version: 12.0.0.70 - SDK 10.6 Support
QuickTime Plugin: Version: 7.7.3
AdobePDFViewerNPAPI: Version: 11.0.0 - SDK 10.6 Support
AdobePDFViewer: Version: 11.0.0 - SDK 10.6 Support
Flash Player: Version: 12.0.0.70 - SDK 10.6 Outdated! Update
Default Browser: Version: 537 - SDK 10.9
Silverlight: Version: 5.1.30514.0 - SDK 10.6 Support
JavaAppletPlugin: Version: 14.9.0 - SDK 10.7 Check version

Audio Plug-ins: ?
BluetoothAudioPlugIn: Version: 1.0 - SDK 10.9
AirPlay: Version: 2.0 - SDK 10.9
AppleAVBAudio: Version: 203.2 - SDK 10.9
iSightAudio: Version: 7.7.3 - SDK 10.9

iTunes Plug-ins: ?
Quartz Composer Visualizer: Version: 1.4 - SDK 10.9

3rd Party Preference Panes: ?
Flash Player Support

Time Machine: ?
Time Machine not configured!

Top Processes by CPU: ?
14% WindowServer
6% firefox
4% plugin-container
3% Skype
1% savapi

Top Processes by Memory: ?
1.33 GB firefox
393 MB soffice
287 MB savapi
147 MB softwareupdated
123 MB mds_stores

Virtual Memory Information: ?
391 MB Free RAM
2.92 GB Active RAM
2.79 GB Inactive RAM
919 MB Wired RAM
5.20 GB Page-ins
146 MB Page-outs
 
also flash mal schleunigst auf den neuesten stand bringen!
flash wäre ein kandidat für eine lücke…
installier am besten mal einen flash blocker im browser, so dass du das nur aktivierst, wenn du es auch wirklich willst.

10.9.4 update auch mal machen…
avira wieder runter schmeißen nicht vergessen (über dessen uninstaller), hat ja eh nichts gefunden…

und wenn du mit der IT wieder mal sprichst, frag mal, ob die so was wie fail2ban auf deren servern einsetzen, um die brute force attacken zu verlangsamen?
 
dem ist nichts hinzuzufügen ;)

sieht ansonsten sauber aus.
 
Du solltest auch nicht vergessen, dass es genügt, wenn du auf einer anderen Seite das selbe Passwort mit z.b. einer gleichen Mail oder sonstiger Verbindung genutzt hast.
Es gibt zig Gründe, weshalb jemand an dein Passwort gekommen sein kann, aber da ist selbst ein Thailänder, der dir am Flughafen kurz vor der Abreise in sein Heimatland über die Schulter geschaut hat, wahrscheinlicher, als etwas auf deinem Mac.
 
Danke! Ich werd das mal nach Feierabend updaten.

Kaito schrieb:
Es gibt zig Gründe, weshalb jemand an dein Passwort gekommen sein kann, aber da ist selbst ein Thailänder, der dir am Flughafen kurz vor der Abreise in sein Heimatland über die Schulter geschaut hat, wahrscheinlicher, als etwas auf deinem Mac.
Zum Vergrößern anklicken....

Ich wohn in Berlin. Wir haben keinen Flughafen ;)
 
  • Gefällt mir
Reaktionen: Phrasenbieger
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten