Unkontrolliertes Duplizieren auf dem Desktop

Ich würde euch ja gern die Telefonnummer oder Mail-Adresse unseres Hackers geben aber leider habe ich keine.

Es kommt doch nicht auf die Aktion an die das eingeschleußte Programm ausführt, sondern darauf, dass es möglich ist eines in ein OSX System von ausserhalb reinzubekommen.

Ob Daten sich auf einmal wie von Geisterhand duplizieren, gelöscht, verschoben werden oder sich Rechner einfach so ausschalten hängt doch definitiv von dem eingeschleussten Programm ab.

Also wenn Ihr jetzt darauf wartet, dass irgend jemand genau die gleichen Probleme beschreibt wie ich, ist das eigentlich sehr kurzsichtig. Dazu müsste dieser Rechner durch genau das gleiche Programm infiziert worden sein wie unsere.

Ich habe gerade den Artikel auf der Macwelt-Startseite gelesen und empfehle auch allen Zweiflern einen kurzen Blick darauf zu werfen.

Ich bin leider kein Premium-Mitglied und konnte so nicht den ganzen Artikel lesen.

MfG

hier der Link
http://www.macwelt.de/news/macosx/345372/index.html

 

HA! :teufel: :teufel: :teufel: :teufel: Da haben wirs! So langsam erklären sich alle seine Phänomene! Wer will noch hier rumschreien, hm? :meckert: :meckert: :meckert:

PHP:

          \|||/
          (o o)
 |~~~~ooO~~(_)~~~~~~~|
 | Please            |
 | don't feed the    |
 | TROLL!            |
 '~~~~~~~~~~~~~~Ooo~~'
         |__|__|
          || ||
         ooO Ooo


 

dummschwätzer.

 

Grandiose Äußerung. Du hast es immer noch nicht kapiert, dass die aktuellen Meldungen so langsam das an die öffentlichkeit tragen, was seal ganz zu Anfang geposted hat oder? Mal ganz im ernst, wie tief in drin in einer ach so heilen Traumwelt kann man egtl. stecken ohne zu vergessen, wer man selbst egtl. ist? Schon recht übel, es wird immer mehr und mehr bestätigt und keiner derjenigen, die hier immer gebrüllt haben "wir wollen mehr infos, gib uns links" sind zufrieden, wenn sie denn welche kriegen.

Da frag ich mich doch, was zum henker wollt ihr egtl. haben, wenns nicht die wahrheit ist?

Von daher. Gerade Kandidat Dunkelziffer tut ja nun seit seinem post1 in diesem thread nun garnix anderes als zu trollen und versuchts immer und immer wieder auf die gleiche art, gehen ihm die argumente aus kommen beleidigungen oder irgendwelche total abgehobenen theorien um aus der sache hier ein noch größeres trollhaus zu machen. Beängstigend, wer alles in dieser Gesellschaft hier Platz findet. :crazy:

 

dummschwätzer :biggrin: :biggrin: :biggrin:

 

Mal was positives für diesen Kriegs-thread:

für die, die keine Premium-mitglieder der Macwelt, aber trotzdem am ganzen Artikel zum Sicherheitsupdate interessiert sind:

http://www.ipod-stores.com/AnalyseSicherheitsupdate.pdf

 

Danke!

 

krieg wir spielen doch nur

 

du solltest dich einfach mal hinsetzen und alles in ruhe lesen. hier hat keiner etwas von seinem lieblingsrechner geschrieben. es geht nicht mal drum ob ein mac zu hacken ist oder nicht. es geht um zwei gleichzeitig erschienene user die zufällig auch noch das gleiche problem haben und kein mensch sonst kennt dieses problem. und es geht darum dass user zwei irgendwelche behauptungen in den raum stellt ohne dafür irgendwelche handfesten beweise oder links zu liefern.

... und jetzt kannst du den kopf schütteln. am besten über dich selbst. oder du lässt es hier reinzuklicken - aber nur das macht richtig an.

 

blödes spiel :meckert: sapperlott

 

Nur zur Info. :gaehn:

http://www.macup.com/news/talk/angeblich_schwere_sicherheitsluecke_in_mac_browsern/

 

fühl ich mich angesprochen

nöö

 

oh mann .. du kapierst wirklich garnix.
ich bin jetzt auch draussen - definitiv.

 

Schade du warts echt ein guter Gesprächspartner.
Alles klar, grüß schön.

:cry:

 

So, guten Abend allerseits.
Ich klinke mich nun auch mal hier ein. Stelle mich gerne kurz vor, bin der Arbeitskollege von seal77, und verfolge diesen Thread logischerweise vom Tag des Impacts an mit.

Auf sein anraten hin will ich hier mal ein paar Infos einstreuen, was hier wie ablief und für die technische Richtigstellung sorgen. Ich bin seit ca. 6 Jahren im Unix/Linux Bereich unterwegs und seit Nov. 2006 nenne ich im Profil stehenden Mac mein eigen. Ich sage das deswegen, damit nicht wieder einer aus dem Gebüsch gehüpft kommt und mir "Dosenfutter" zum Fraß vorwirft, wie es in der Vergangenheit leider geschah.

Zuerst mal eine Klarstellung zu seal77:
Er, seines Zeichens Grafiker und somit User hat euch ja bisher hier soweit informiert, mal mehr, mal weniger technisch angehaucht, wie gesagt, wie ein User es halt tun würde. Ist ja auch kein Ding, ich bin nicht jemand, der vorraussetzt, dass jmd. der einen Mac hat hier auf noch so tiefgreifende Fragen immer passende Antworten und Links parat hat. Das nur mal vorweg.

Zur Story ansich...
Wir schreiben das Jahr 2007 und befinden uns mehr oder minder in unserer Firma im Ausnahmezustand. Die Rechner verhalten sich merkwürdig auf allen unseren Systemen. Der Umstand wurde dadurch hervorgerufen, dass irgendwelche als root laufende "osascripts" willkürlich irgendwelche Programme öffneten und selbige meistens beendeten. Später wurden wieder durch die osascript Voice-Messages ausgegebem mit dubiosen Inhalten wie z.B. Hinweise auf Datenverlust innerhalb von 30min u.ä. Ein Blick in die crontabs und in top sowie ps aux offenbarten: Okay, da laufen einige Prozesse im Hintergrund, die nicht zu normalen Daemons zählen, denn die Namen der Prozesse wie z.B. "hfs sadd" sagen mir rein garnix woher die stammen. Ein blick in den Ursprung des Prozesses offenbarte: Sie haben keinen Ursprung, zumindeste spuckte das Programm nichts aus. Schnell begab ich mich via "find" auf die suche nach solchen Programmen die so lauteten, Ende vom Lied: Ich habe nichts, aber auch garnichts gefunden.

Eben diese Prozesse verbraten tierisch Rechenzeit z.B. auch immer dann, wenn sich die Schreibtischobjekte vermehrten. Der ganze Bus des Systems war schlicht und ergreifend dicht. Gut, die G4's auf denen das ganze stattfand bedurften keiner großen Anstrengung um ins Schwitzen zu kommen. Dennoch alles sehr verworren, zumal die Prozesse immer als root liefen, was egtl. garnicht sein konnte, denn zu dem Zeitpunkt gab es keinen root.

Weiter ging das Lied... Das "was es auch war" im folgenden einfach "weaw" geannt fing am dritten Tag an gezielt Programme zu beenden. z.B. wurde Toast 8 immer und immer wieder Ziel des "kill PID" sobald man anfing Daten zu sichern, manchmal reichte auch dies nicht mehr aus und es folgte schlicht und ergreifend ein "halt" befehlt oder ein "shutdown -h +1" o.ä. Das komische an der Geschichte war, dass es immer und immer wieder über den root geschah.

Manch einer wird sich jetzt denken, jaaaaa... da hängt aber jemand per SSH dran. Negativ Ghostrider, SSH war definitiv abgeschaltet und auch jegliche Versuche meinerseits sich per SSH zu verbinden auf einen der Rechner schlug fehl, der Host antwortete einfach nicht.

Lirum Larum, mein Augenmerk der vergangenen Woche richtete sich darauf ständig Prozesse im Auge zu behalten, sie ggf. einzufrieren oder zu killen, damit wir wenigstens einen Großteil unserer Daten sichern konnten. Das klappte auch soweit mehr oder weniger gut, Fakt ist, dass wir unsere Daten soweit erstmal gesichert haben.

Gerne hätten wir während des "Hacks" einige Logs hier veröffentlicht, gerade um unsere Glaubwürdigkeit hier zu festigen, aber ein Aufruf der Konsole zum kopieren oder ein schlichtes "vi /var/logs/system.log" führte immer und immer wieder zu frisch geflushten Dateien. selbst ein "tail" reichte aus um diesen Zustand zu erreichen.

Daher, ihr müsst entschuldigen, dass derjenige, wer auch immer es war, keine Telefonnummer, Mailadresse oder Anschrift hinterlassen hat, damit ihr ihn selbst fragen könnt, hätten wir all diese Daten, hätte es schon längst von rechtlicher Seite her ordentlich im Karton gerumst.

Die Aufrufe für diverse Scripte, welche anscheinend für den Aufruf all dieser Funktionen nötig waren, wurde u.a. z.B. in den ganzen rc. Dateien im /etc ordner oder entsprechend im init.d Äquivalent des Systems eingetragen. Darin standen allerdings Aliase, welche sich warum auch immer nicht auflösen ließen und ich somit auf biegen und brechen den Ursprung nicht bestimmen konnte.

Mittlerweile wurden alle Systeme im Netzwerk komplett neu aufgesetzt mit vorheriger Low-Level Formatierung sämtlicher Platten. Seitdem ist Ruhe im Karton. Zudem wurde eine reaktive mehrstufige Hardware-Firewall installiert welche weiteres Eindringen von Außen verhindern soll. Diee vorherige Netgear-Home-Router Lösung war für solche Angriffe wo Malicious Content über 80er Pakete eingeschleust wird (Vermutung) einfach nicht vorgesehen.

Was unbestritten ist: Das "weaw" ist kein Massenprodukt. Es war gewissermaßen sogar intelligent. Angefangen beim verschieben unserer "JOBS-Ordner" wenn wir diese sichern wollten in Systemverzeichnisse, für welche uns dann die Rechte entzogen wurden bis hin zu osascripten, welche uns haargenau den Inhalt unserer Mails auf unseren Rechnern wiedergeben konnten war wirklich alles dabei. Was wir auch taten, das "weaw" reagierte. Ab und an z.B. wenn der Shutdown Befehl kam (was ca. 50x am Tag passierte) hab ich einfach den Shutdown angehalten. Das funktionierte vllt. 2-3x, danach hat das "weaw" uns dermaßen mit Shutdownbefehlen im 0,5sekunden Takt zugebombt, dass eine Reaktion einfach nichtmehr möglich war.

Zugegeben, es ist wirklich alles Haar genau wie in einem schlechten Film gewesen, aber es ist definitiv so abgelaufen, wie ich es gerade versucht habe zu schildern.

Sollte jmd. mehr technische Details benötigen, so lasst es mich wissen, ich werde gerne auf eure Fragen Antworten, solange es sich nicht auf die technische Zusammensetzung des "weaw"s bezieht, denn wie gesagt, ich weiß weder was es genau war, noch kann ich 100%ig sagen, woher es kam, noch weiß ich was genau dahinter steckte. Was ich allerdings genau weiß ist, dass es uns alles in allem ca. 2 Wochen Arbeitszeit gekostet hat wieder Herr unserer Systeme zu werden. Ein Glück, dass während dessen nichts gravierendes anstand, sonst wärs echt übel geworden.

Dazu muss ich sagen, dass dieses Forum sich hier echt spaltet, es gibt welche, die versuchen zu helfen (wir haben überigens alle Tipps ausprobiert, leider ohne Erfolg, daher auch kein positives Feedback [Hätte ich mich an diesen Tagen auch noch hier angemeldet, wäre die Verschwörungstheorie perfekt gewesen, daher schreibe ich jetzt entspannt diesen Report]) und es gibt diese, die einfach immer nur pausenlos flamen, schreien und provozieren. Was das soll vermag ich nicht zu vermuten, jedenfalls an dieser Stelle nochmal Kudos an alle die, welche versucht haben zu helfen, vielen Dank !

Gruss,
Dennis

 

Hallo Dennis,
eigentlich wollte ich in diesem Thread nicht posten, da es mir schwer fällt ausser Vermutungen etwas Sinnvolles beizutragen.
Deshalb hier eine kleine Annektode, aufgeschnappt nach einem Sicherheitsaudit beim Kunden:

Chef:

„Jetzt haben wir ja viel Geld an Sie bezahlt. Endlich sind wir 100%-ig sicher. Sie können nun die Dokumentation des Sicherheitssystems an die Admins übergeben.“

Dienstleister:
„100%-ige Sicherheit gibt es nicht. Und ich möchte die Dokumentation so wenigen Leuten wie möglich zugänglich machen.

1. Wenn jemand Kenntnis aller Systeme und Sicherheitsmaßnahmen sowie der offiziellen IP‘s ihres Unternehmens hat und Ihnen schaden will kann er sich nach und nach durch diese Schranken hangeln. Das ist schwer aber nicht unmöglich. Wenn nun einer ihrer Mitarbeiter dies z.B. in einem Internetforum öffentlich macht oder zur Konkurrenz wechselt haben Sie wahrscheinlich ein größeres Problem.

2. Um ihren Geschäftsbetrieb nicht zu beeinträchigen wurde der Datenein- und Ausgang nicht nach unseren Vorgaben reglementiert. Unter Umständen reicht das anklicken eines Mailanhangs von z.B. einer Firma, die lediglich ein Angebot anfordert. Weiterhin sind Wechseldatenträger egal in welcher Form bedenklich. Es hat z.B. schon Trojaner in Produktkatalogen gegeben.

3. Wenn Ihre Rechner angemeldet in ihrem Büro oder die Laptops unterwegs ungesichert stehen kann der komplette Sicherheitsapperat unter Umständen komplett umgangen werden.

4. Sollte Ihnen jemand gezielt Schaden wollen so gibt er den Schadcode in Auftrag, mit Kenntnis ihrer Systeme reicht u.U. schon ein kleines Script. Der ist für sie speziell und wird von keinem Virenscanner gefunden.
Es ist schade, daß Sie sich das Geld für die gezielte Sicherheitsschulungen der Mitarbeiter sparen wollen, da noch unserer Erkenntnis die meisten erfolgreichen Angriffe von Innen und mit Hilfe, wenn oft auch unwissentlich, der Mitarbeiter des Unternehmens erfolgt.“

Mir hat das anschließende Gespräch zu einer „gesunden“ Paranoia bei Sicherheitsthemen verholfen und dazu geführt, daß ich sofern ich das Geld übrig habe in diesem Bereich investiere.
Auch wenn dieser Thread im Tonfall „sehr unglücklich“ war, so schätze ich weiterhin dieses Forum als Informationsquelle.

Spezielle Sicherheitsproblematiken sind hier aus verschiedenen Gründen nicht optimal aufgehoben.

Wie bewiesen gibt es auch auf dem Mac allgemeine Sicherheitslücken, die sehr wohl hier ihren Platz haben.

Vielleicht kontaktiert Ihr Profis wie z.B. die Macwelt Redaktion oder einen lokalen Sicherheitsdienstleister um der Sache auf den Grund zu gehen.

Gruß

Volker

 

Moin!

LEIDER konnte ich aus Termingründen bisher wenig dazu beitragen, aber einige Klarstellungen helfen vielleicht ANDEREN, die ähnlich krasse Ausnahmezustände erleben:

1.) TIPP: Wenn Dinge passieren, die nicht passieren sollten, starten bei mir die Dienstprogramme Aktivitätsanzeige und Konsole.
2.) TIPP (konkret für Euch): Irgendwann musste bei euch klar sein, dass der Angriff von innerhalb/außerhalb der Firma, aber in jedem Fall ÜBER NETZ kommt (Airport oder Ethernet) - also klemmt man dann besser Airport UND Ethernet an einem oder mehreren der betroffenen Rechner ab - dann ist Ruhe im Karton.

und nur als Anmerkung zu 2.) Das habe ich tatsächlich vor der Anschaffung von Little Snitch (schamlose Werbung für www.obdev.at - aber die Software ist in meinen Augen wirklich gut) so gemacht

Und für mich viel spannender (auch wenn ich einfach nichts versprechen kann, weil Zeitmangel mein größtes Problem ist):

- Existiert noch irgendetwas vom alten Zustand der Festplatten?

Wenn ja, biete ich euch an eine Analyse zu machen, um diesem "was es auch war" auf die Spur zu kommen.
Im Gegenzug hätte ich dann halt gerne das Recht darüber zu schreiben - logisch, oder? Ich würde das anonymisiert veröffentlichen und euch vorab zum Lesen zur Verfügung stellen. Mir geht es ja nicht drum, die Firma oder die Mitarbeiter im Kakao zu baden, sondern daraus vielleicht Ratschläge für andere Macwelt-Leser zu destillieren.

Sorry an alle Mitleser, dass das dann zumindest teilweise nicht öffentlich statt finden muss. Aber sollte es tatsächlich ein größeres Problem sein, muss erst die Lücke geschlossen sein, bevor ich öffentlich darüber schreiben kann - logisch, oder?

Cheers,
Walter Mehl, Macwelt

 

Hallo Herr Mehl,

vielen Dank für den Tip mit Little Snitch. Teste gerade.

Wenn ich Sie um einen Gefallen bitten darf:

Ich hätte gerne einen Testbericht zu: http://www.intego.com/isbDP/

Steht auf meiner Einkaufsliste, da ich aber noch nicht so firm mit OSX bin kann ich die Vorteile bzw. eventuelle Nachteile nicht beurteilen.

Danke und Gruß

Volker

 

Sorry - auf die Schnelle geht da nicht viel, aber ich leite die Anregung an Christian Möller unseren Testchef weiter.

De facto hatten wir Intego Virusbarrier X4 in Heft 5/2006 getestet und es ist im Mittelfeld gelandet, weil es zwar ganz gut funktioniert und leicht zu bedienen ist, aber keine Windows-Viren erkennt.

Deshalb ist in dem Bundle jetzt wahrscheinlich Windows Bitdefender mit drin (was aber voraussetzt, dass man zusätzlich Windows installiert hat und Bitdefender so konfiguriert ist, dass Windows-Viren auch auf der Mac-Seite erkannt werden); die Mac-Version von Virusbarrier kann noch immer keine Windows-Viren erkennen.

Langer Rede, kurzer Sinn:
1.) Wir bekommen einen Test auf die Schnelle nicht hin (denn in meinen Augen solllte es tatsächlich ein Vergleichstest sein). Eventuell hilft aber ein Blick in die 1 Jahr alte Ausgabe schon mal weiter.
2.) Wie schon jemand anders in dieser Diskussion schrieb: Das wichtigste ist das Wissen, was kritisch ist und was nicht.

Es muss jedem in einer Firma klar sein, welche Daten besser intern bleiben und welches Arbeiten man besser unterlässt. Ich empfehle eine Suche im Internet, die fördert zum Beispiel diesen Ratgeber von der amerikanischen Sicherheitsbehörde NSA zu Tage (leider nur auf Englisch):
http://www.gosecurity.ch/download/anleitungen/osx_client.pdf

Eventuell kann ein (guter) externer Berater da Wunder wirken, für den Anfang reicht auch ein Blick auf die Apple-Seiten:
http://www.apple.com/de/macosx/features/security/

Ganz unten rechts stehen die englischen Guides zum Thema Sicherheit. Die sind schon o.k. und damit vermeidet man zumindest die größten "ich mach mir ein Loch ins Knie" Fehler im Bereich Sicherheit.

Cheers,
Walter Mehl, Macwelt