Apple Remote Desktop mit massiver Schwachstelle

[Westbär]

Bei mir hat der Befehl genau 1x funktioniert und es stand root da. Aber beim 2x sowie nach dem fixxen durch entfernen des SUID-Bits passiert nix mehr.

 

[chrisbiolog]

Sorry das war vorhin nicht ganz korrekt

Eingabe im Terminal

osascript -e 'tell app "ARDAgent" to do shell script "whoami"'

dann kommt das Folgende:

23:47: execution error: ARDAgent got an error: AppleEvent timed out. (-1712)

Habe übrigens Remote Desktop installiert.

Weiss jemand was ich da falsch mache mit dem Code?

B.

 

[Ikezu Sennin]

Die Fehlermeldung krieg ich ebenfalls, wenn Entfernte Anmeldung aktiviert ist, ist die aus, kommt "root".

 

[chrisbiolog]

Ah muss ich das file sharing aktivieren auch beim PowerBook mit Tiger und Remote Desktop?

Ja probier das gleich mal.

B.

 

[chrisbiolog]

Kommt trotzdem das

23:47: execution error: ARDAgent got an error: "whoami" doesn't understand the do shell script message. (-1708)

 

[Ikezu Sennin]

Dann scheint bei dir wohl die Lücke dicht zu sein

 

[MacMark]

Das Problem ist anscheinend, daß die Standardkonfiguration eines unbenutzten ARDAgents fehlerhaft ist. Beim Aktivieren von Remote Desktop wird sie dem Vernehmen nach jedoch durch eine korrekte Konfiguration ersetzt und dadurch das Problem beseitigt. Vermutlich genügt einmaliges Aktivieren. Ein nachfolgendes Deaktivieren sollte dann kein Problem sein. Muß ich mir mal heute Abend ansehen.

 

[Ikezu Sennin]

Nein, wenn ich die EA deaktiviere und dann teste, krieg ich die "root"-Meldung, nur wenn sie an ist, scheint die Lücke dicht zu sein.

 

[chrisbiolog]

Also eagl was ich aktiviere oder deaktiviere ich bekomme immer diese Fehlermeldung.

B.

 

[stk]

Moin,

Den Dienst (oder Rechner) neustarten:

sudo /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/Resources/kickstart  -restart -agent -console -menu

Aber Achtung für diejenigen, die ARD auf ihrem Rechner tatsächlich installiert haben: wenn der ARD-Agent nicht mehr unter root läuft, startet ARD nicht mehr und meldet:

Gruß Stefan

 

[chrisbiolog]

Hm...bin mal wieder gehörig verwirrt. Also wenn ich Desktop Remote laufen habe muss ich gar nichts machen? (PowerBook G4 Tiger).

Und wie kann ich jetzt feststellen ob ich Ihn habe den Trojaner? Hab Desktop Remote nämlich erst heute installiert.

B.

 

[jensche]

Wie kommst du darauf das du einen Trojaner hast?

Wart doch bis 10.5.4 kommt... spätestens am 11. Juli..... dann wird das auch gefixt werden.

 

[chrisbiolog]

Weil ich Limewire benutze bestünde doch die Möglichkeit.

B.

 

[Skeeve]

Und wie kann ich jetzt feststellen ob ich Ihn habe den Trojaner? Hab Desktop Remote nämlich erst heute installiert.

Kleiner Tipp: Da oben steht, wie der Trojaner heißt. Es gibt da etwas, das nennt sich google. Damit soll man angeblich, wenn man Stichworte eingibt, Webseiten mit Informationen zu diesen Stichworten finden. Viel Erfolg bei der Suche und vielleicht berichtest Du ja mal.

 

[Bonobo]

Gib das ins Terminal ein:

osascript -e 'tell app "ARDAgent" to do shell script "whoami"'

Daraufhin geschieht in meinem Terminal ganz lange nichte ... und dann bekomme ich auch

23:47: execution error: ARDAgent got an error: AppleEvent timed out. (-1712)

Den Dienst (oder Rechner) neustarten:

sudo /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/Resources/kickstart  -restart -agent -console -menu

Ist dies jetzt die Antwort bzw. Loesung auf obiges Problem?

Und wenn ja, was genau bedeutet der erste Satz -- dass ich danach den Rechner neu starten muss oder dass dieser Code das tut?

Ich bin weder sonderlich fit in der Shell noch verstehe ich was von ARD.


<edit>

Ich hab' Deinen Code, Stk, eben mal eingegeben, daraufhin wurden meine Menue-Extras neu gestartet

</edit>

 

[chrisbiolog]

Ja nun ich dachte es gäbe diesen Thread, weil hier jemnd näheres zum Trojaner wüsste.
Denn bei Google war ich vorher schon.

Den eimzigen zusätzlichen Tipp den ich da fand war das man MacScan beutzen soll, weil es den Trojaner erkennt. Kennt das einer? Ist das sinvoll?

B.

 

[stk]

Moin,

Daraufhin geschieht in meinem Terminal ganz lange nichte ...

Also zu Erläuterung: Über das Loch im ARDAgent wird versucht den Terminalbefehl »whoami« abzusetzen. Die Standardantwort wenn das Loch vorhanden wäre hiesse »root«. Kriegst Du deinen Benutzerkurzname geliefert ist alles im Lack, kackt das Teil ab (wie hier), dann ist zwar das Loch nicht da, aber ARDAgent offenbar auch nicht und ich würde mir ein paar Gedanken ums System machen .

Und wenn ja, was genau bedeutet der erste Satz -- dass ich danach den Rechner neu starten muss oder dass dieser Code das tut?
Ich bin weder sonderlich fit in der Shell noch verstehe ich was von ARD.

Sorry, das war nicht sehr verbose von mir. Also: der Shellaufruf führt dazu, das alle mit dem ARDAgent einhergehenden Dienste - menu, console und agent selbst - neu gestartet werden. Das wiederum wäre dafür nötig um die zuvor mit dem chmod u-s gemachten Änderungen am der Root-UID zu aktivieren.

Gruß Stefan

 

[chrisbiolog]

Hmm..aber wie kann denn der ARD Agent fehlen, wenn doch Apple Remote Desktop läuft?

B.

 

[Skeeve]

kackt das Teil ab (wie hier), dann ist zwar das Loch nicht da, aber ARDAgent offenbar auch nicht und ich würde mir ein paar Gedanken ums System machen

Ich wage zu widersprechen. Wenn er abkackt, dann schaue man auf die Fehlermeldung "Apple Event timed out". Das kann auch bedeuten, daß der Agent auf die Benutzereingabe das Passworts wartet. osascript mag nämlich keine Fenster aufpoppen lassen.

Wer also den Timeout hat, starte doch mal bitte den Scripteditor und gebe dort ein:

tell application "ARDAgent" to do shell script "whoami"

und lasse das laufen. Wenn ein Popup kommt, das nach Benutzer und passwort fragt, stimmt meine Theorie. Wenn nicht, so ist sie zumindest noch nicht widerlegt

 

[chrisbiolog]

Bei mir kommt dann das hier: