[10.13 High Sierra] Auf meinem Rechner eingedrungen?

msteffenma

Weigelts Zinszahler (Rotfranch)
Registriert
03.01.08
Beiträge
252
Hallo zusammen,

habe seit einigen Tagen High Sierra drauf. Habe ein "Clean Install" gemacht. Habe dann letzte Woche das "App Install Derby" gestartet. Den Benutzer als Admin gelassen.

Nachts wachte ich dann auf. Die Lüfter liefen am MBP 2015 sehr laut. Als ich an den Rechner ging war der Schlüsselbund Manager auf. Der Rechner war eingefroren. Musste ihn hart runter Fahren.

Beim wieder hochfahren war plötzlich ein "Anderer Benutzer" da. Hatte ich noch nie. Heute fand ich raus dass es der Root Benutzer ist. Der war aktiviert... was ich sofort wieder änderte.

Meine Frage ist nur... war jemand auf meinem Rechner drauf? Alles wieder platt machen? Bin unsicher...Was würdet ihr tun?

Gruß

Martin
 

Marcel Bresink

Hadelner Sommerprinz
Registriert
28.05.04
Beiträge
8.540

msteffenma

Weigelts Zinszahler (Rotfranch)
Registriert
03.01.08
Beiträge
252
Hallo zusammen,

Ich habe das System wieder ganz neu aufgespielt (USB Stick, High Sierra aus dem App Store). Die System SSD formatiert, User angelegt. Firewall an, Admin Rechte entzogen. Alle Passwörter geändert. Root User mit Passwort versehen. Wieder deaktiviert. Der Systemadministrator auch mit einem neuen Passwort.

Dann gestern wieder. Komme nach Hause. Rechner ist an, Schlüsselbundverwaltung auf. Root Benutzer ausgegraut. Konnte ihn nicht aufrufen.

Ich bin total verunsichert. Hey... das kann doch nicht wahr sein. Habe auch einen Bericht gelesen dass ein Bug in MacOs besteht der es Programmen ermöglicht ohne Passwörter die Schlüssel auszulesen. Und ein Hacker dies frei lesbar postete.

An Programmen ausserhalb des Stores nutze ich ich ein paar lizenzierte Programme. Bettertouchtool, Tinkertool, Spamsieve, Pathfinder.

Die Tools von objective-see nutze ich auch. Hier zeigt Virustotal auch einige Dateien in rot an.Klicke ich die Einträge dann an kommt der beachball und der Rechner lässt scih nur noch hard ausschalten.

Nicht eine "Schwarzsoftware". Noch nie genutzt. Sowas hatte ich noch nicht mal auf einem Windows Rechner.

Hat Irgend jemand einen Tipp für mich wie ich hier weiter machen soll?

LG

Martin S.
 

echo.park

deaktivierter Benutzer
Registriert
08.06.11
Beiträge
11.076
Rechner an. Irgendwas hat ihn aufgeweckt. Schau mal in die Konsole. PowerManagement.

Schlüsselbund auf. Was genau meinst du? Die App geöffnet?

Keine Panik. Du wurdest nicht gehackt und hast auch keine Malware auf dem Mac. Das kann man quasi mit Bestimmtheit direkt sagen.

;)

Edit:
In HS stecken noch so einige Bugs was den Ruhezustand betrifft. Lese sowas häufig die letzte Zeit.
 

msteffenma

Weigelts Zinszahler (Rotfranch)
Registriert
03.01.08
Beiträge
252
Rechner an. Irgendwas hat ihn aufgeweckt. Schau mal in die Konsole. PowerManagement.

Schlüsselbund auf. Was genau meinst du? Die App geöffnet?

Keine Panik. Du wurdest nicht gehackt und hast auch keine Malware auf dem Mac. Das kann man quasi mit Bestimmtheit direkt sagen.

;)

Edit:
In HS stecken noch so einige Bugs was den Ruhezustand betrifft. Lese sowas häufig die letzte Zeit.

Danke für die Antwort...

ich bin mir da garnicht mal so sicher. Der Rechner war aufgewacht. Die App Schlüsselbundverwaltung war auf. Und... etwas fummelt am Root User rum. Das hatte ich noch nie.

Jetzt kann ich den Root User nicht mehr ändern. Ausgegraut... als Systemadmin.

Na kja... muss da wohl noch mal schauen. GEfunden habe ich ausser dem bericht über die Problematik dass Programme Schlüssel auslesen können. Vielleicht ist ja eins der "Nicht App Store" Apps betroffen.

Gruß

Martin
 

echo.park

deaktivierter Benutzer
Registriert
08.06.11
Beiträge
11.076
Diese Sache ist schon längst gefixt. Und selbst wenn, würde sich die App nicht öffnen. Wie sonst ja auch. Nicht jedes Mal wenn ein Schlüssel benötigt wird öffnet sich die App.

Trenne den Mac mal vom Internet. Kabel raus und WLAN aus. Schau mal ob es sich dann immer noch so verhält. Auch mal Bluetooth aus.

Das mit dem root Benutzer ist auch so eine HS Sache, von der ich gelesen habe.
 
  • Like
Reaktionen: msteffenma

msteffenma

Weigelts Zinszahler (Rotfranch)
Registriert
03.01.08
Beiträge
252
Diese Sache ist schon längst gefixt. Und selbst wenn, würde sich die App nicht öffnen. Wie sonst ja auch. Nicht jedes Mal wenn ein Schlüssel benötigt wird öffnet sich die App.

Trenne den Mac mal vom Internet. Kabel raus und WLAN aus. Schau mal ob es sich dann immer noch so verhält. Auch mal Bluetooth aus.

Das mit dem root Benutzer ist auch so eine HS Sache, von der ich gelesen habe.

Danke dir für die Tipps... ist halt ein Verhalten dass ich null kenne bei MacOs.
 

echo.park

deaktivierter Benutzer
Registriert
08.06.11
Beiträge
11.076
Kenne ich so auch nicht. Aber Fehler in der Software sind deutlich warscheinlicher als ein Angriff in irgendeiner Form.

Mal angenommen das wäre wirklich so, dann würde das subtil gemacht. Du würdest nichts bemerken.

Zudem würde der Vorgang ja auch nicht wiederholt auftreten. Einmal alle Daten abgesaugt und das war es dann. Warum noch mal das Ganze?!

Edit:
Hast du iCloud eingerichtet? Find my Mac? Den iCloud Schlüsselbund?

Irgendwelche Freigaben? Welche Geräte sind noch in deinem Netzwerk?

Ist Wake on LAN aktiv?
 

double_d

Baumanns Renette
Registriert
08.03.12
Beiträge
5.975
Root User mit Passwort versehen. Wieder deaktiviert.
Den Punkt verstehe ich nicht. Tatsächlich deaktiviert, oder nur einmal an- und wieder abgemeldet. Wieso aktivierst Du ihn überhaupt erst? So vorgegangen? https://support.apple.com/de-de/HT204012

Ohne Adminrechte, bzw. das dazugehörige Passwort kann man ihn auch erst gar nicht aktivieren.
Rechner ist an, Schlüsselbundverwaltung auf. Root Benutzer ausgegraut.
Würde mich ja wundern, wenn der root-Benutzer überhaupt in der Benutzerverwaltung angezeigt wird, sofern er gar nicht erst aktiviert wurde.
 

echo.park

deaktivierter Benutzer
Registriert
08.06.11
Beiträge
11.076
Ohne Adminrechte, bzw. das dazugehörige Passwort kann man ihn auch erst gar nicht aktivieren.
Wie man immer wieder lesen kann, aktivieren sich "Andere" und root User durch die Installation von High Sierra. Hier liegt ein Bug vor. Selbst hier im Forum war schon die Rede davon.
 

Marcel Bresink

Hadelner Sommerprinz
Registriert
28.05.04
Beiträge
8.540
Nein im Gegenteil. Es gibt eine Menge Lücken.

Aber wenn Du behauptest, dass macOS von sich aus die Anmeldesperre für root aufhebt, dann solltest Du das belegen können. Wir sind dann auch ganz gespannt zu erfahren, welches Kennwort das System für root vergibt.

Zum Problem:
Jetzt kann ich den Root User nicht mehr ändern. Ausgegraut... als Systemadmin.

Diese Beschreibung ist unklar. In welchem Programm ist etwas ausgegraut? Meinst Du den Menüpunkt im Programm "Verzeichnisdienste"? Welcher Wert wird für den Eintrag "Password" angezeigt, wenn Du in Verzeichnisdienste "Darstellung Users im Knoten /Local/Default" für "System Administrator" aufrufst?
 

echo.park

deaktivierter Benutzer
Registriert
08.06.11
Beiträge
11.076
Ich selbst habe das Problem ja nicht.

Zum Thema Passwort. Der root Benutzer wird wohl lediglich angezeigt, ist aber ansonsten unbenutzbar.

Aber wie gesagt, ich beziehe mich auf Berichte aus dem Netz.
 

PitiL

Damasonrenette
Registriert
06.04.14
Beiträge
494
Ich hatte das Problem mit dem zusätzlichen User „Andere“ auch seit dem Upgrade auf HS (eventuell aber erst seit einem Beta-Update unter HS). Dieser User erschien bei mir aber immer erst nach dem Einloggen und wieder Ausloggen mit meinem Admin-User. Vor dem erstmaligen Einloggen nach einem Neustart war dieser User nicht sichtbar.
 

Marcel Bresink

Hadelner Sommerprinz
Registriert
28.05.04
Beiträge
8.540
Es gibt eine Menge Situationen, in denen der Punkt "Andere" angezeigt wird, wie zum Beispiel die Netzverbindung mit einem externen Verzeichnisdienst, das Ändern der Voreinstellungen für das Programm "loginwindow" oder Bugs, die dazu führen, dass der Benutzer "_mbsetupuser", den macOS während Updates verwendet, nicht mehr versteckt wird.

Daraus aber zu schließen, dass es einen Bug geben muss, bei dem macOS die Sperrung des root-Benutzers aufhebt, ergibt keinen Sinn.
 
  • Like
Reaktionen: echo.park