Denna delen av 99 uppdateras inte längre utan har arkiverats inför framtiden som ett museum.
Här kan du läsa mer om varför.
Mac-nyheter hittar du på Macradion.com och forumet hittar du via Applebubblan.

Jag är megahackad!!!

Tråden skapades och har fått 37 svar. Det senaste inlägget skrevs .
  • Oregistrerad
  • 2002-09-27 23:30

Just nu och under en tid så har någon behagat ta kontrollen över min dator. Det låter helknäppt eftersom så vitt jag vet så finns inte netbus på Mac. (eller?) Det kan yttra sig i att CD-luckan öppnas och stängs. Ibland kan jag kan inte röra musen, och i mellanåt kan fönster kolapsas med mera. Det har även hänt att jag har blivit utloggad från 99mac.

Problemen försvinner när jag pluggar ur min ADSL uppkoppling. Jag har en bredbandsrouter och kör även firewallen i Jaggan. Dessutom så kollar jag min dator regelbundet med Norton ativirus.

Nå... Vad har jag blivit drabbad av och hur blir jag av med det???

Sitter du på samma nätverk som några arbetskamrater eller familjemedlemmar? Eller är du ensam? Har någon obehörig kunnat använda din dator? Är fildelning på?

/M

[ 27 September 2002, 23:39: Meddelandet ändrat av: - Martin - ]

Citat:

quote:Skapades ursprungligen av: ••• ? •••:
Nå... Vad har jag blivit drabbad av och hur blir jag av med det???

Hack......Löses genom att man köper en hårdvaru-brandvägg för sisådär 20 000 kr, men tror itne att den heller räcker, så du får nog gå upp i pris ytterligare

Låter ju läskigt det där....hoppas någon verkligen vet vad du drabbats av

  • Oregistrerad
  • 2002-09-27 23:40

NetBus skulle inte förvåna mig... finna till Mac numera ser jag på denna sajt: http://www.securemac.com/netbus.php

  • Oregistrerad
  • 2002-09-27 23:41
Citat:

quote:Skapades ursprungligen av: - Martin -:
Sitter du på samma nätverk som några arbetskamrater eller familjemedlemmar? Eller är du ensam?

Jag och sambon delar, fast det är inte hon.

Det är bara min dator som är igång just nu.

  • Oregistrerad
  • 2002-09-27 23:45
Citat:

quote:Skapades ursprungligen av: Ktulu:
NetBus skulle inte förvåna mig...

Om det nu är Netbus hur blir jag av med det? Jag kör mestadels OS X.

Jag tror inte det är NetBus, eftersom det mig veterligen inte finns någon serverprogramvara till NetBus. Länken som publicerades ovan är endast en klient till Mac OS, med vars hjäp man kan styra Windows-maskiner.

Men det finns givetvis andra "remote-control" program till Mac OS. Exempelvis apples eget "Remote Desktop".

Har du förresten provat köra Norton, med de senaste virusdefinitionerna?

/M

  • Oregistrerad
  • 2002-09-27 23:57
Citat:

quote:Skapades ursprungligen av: - Martin -:
Men det finns givetvis andra "remote-control" program till Mac OS. Exempelvis apples eget "Remote Desktop".

Har du förresten provat köra Norton, med de senaste virusdefinitionerna?

Jepp äger en kopia av Norton antivirus, nyaste virusdef är kört. Och nej inget Remote desktop istallerat på detta system/partition.

Fast det kanske räcker att den finns på en annan partition? Låter konstigt i a f.

Citat:

quote:Skapades ursprungligen av: Ktulu:
NetBus skulle inte förvåna mig... finna till Mac numera ser jag på denna sajt: http://www.securemac.com/netbus.php

Nä, nu tar vi det lite lugnt, ktulu. Nedan är ett citat från securemac som du länkar till:

"NetBus is on SecureMac.com so Macintosh users will know their computer CAN NOT be infected by this program. However a client application was made for the Mac platform, a Macintosh user can connect and control a PC computer that has NetBus installed."

Alltså NetBus finns inte till mac, men däremot en "klient" för att styra "smittade" PCs.

Jag ahr ingen aning om vad det kan vara, men det låter snarare som om nån har installerat Timbuktu eller nåt sånt på din maskin utan att du vet om det. Jag har hitintills inte hört talas om att det finns nåt liknande virus/trojan för mac. Kolla istället om du har några practical jokers i bekantskapskretsen.

  • Oregistrerad
  • 2002-09-28 00:05
Citat:

quote:Skapades ursprungligen av: HankPank:
Kolla istället om du har några practical jokers i bekantskapskretsen.

Det är inte så det det finns några sådana här på forumet? IP-nummer är ju loggat. Kanske lite långsökt... Nä, ingen här förståss!

Citat:

quote:Skapades ursprungligen av: ••• ? •••:
Jag har en bredbandsrouter och kör även firewallen i Jaggan.

Vilket fabrikat är det på routern och kan den firmwareuppdateras - har du provat att köra utan router och blivit av med problemen ? Testa även med att söka på Apples diskusionsforum om märket på din router kan vara orsaken.

- Olle

  • Oregistrerad
  • 2002-09-28 00:11
Citat:

quote:Skapades ursprungligen av: Olle Jonsson:
Vilket fabrikat är det på routern och kan den firmwareuppdateras - har du provat att köra utan router och blivit av med problemen?

Det är en Netgear RP-114, och nej jag har inte uppdaterat firmwaren. Skall se om det låter sig göras.

Citat:

quote:Skapades ursprungligen av: ••• ? •••:

Citat:

quote:Skapades ursprungligen av: HankPank:
Kolla istället om du har några practical jokers i bekantskapskretsen.

Det är inte så det det finns några sådana här på forumet? IP-nummer är ju loggat. Kanske lite långsökt... Nä, ingen här förståss!

Det är bara admin som ser våra ip-nr, och jag tror att han/de har viktigare saker för sig. Men det är konstigt att din brandvägg inte varnar dig.

För mig låter det som att någon (i din bekantskapskrets) har intstallerat något skämprogram på din dator, och nu sitter och asgarvar åt att du inte fattar någonting.

/M

  • Oregistrerad
  • 2002-09-28 00:23
Citat:

quote:Skapades ursprungligen av: - Martin -:
För mig låter det som att någon (i din bekantskapskrets) har intstallerat något skämprogram på din dator, och nu sitter och asgarvar åt att du inte fattar någonting.

Jo det är nog kul för den som skämtar, fast jag tror inte att det är fallet. För att installera något så behöver man admin-lösenord, och det lämnar jag inte ut till någon. Dessutom så känner jag inga hackers, vad jag vet i a f.

Så länge det stannar på skämtnivå så är det väl halvt OK, men det kan bli betydligt värre har jag hört. Måste få stopp på detta nu, det känns inte alls kul!

Har någon pejl på vilka "skämtprogram" det skulle kunna var i sådana fall?

Kolla med "Processkontroll" i OS X, om du ser något som är skumt... något skumt program du inte känner igen. Prova med att avsluta det.

/M

  • Oregistrerad
  • 2002-09-28 00:44
Citat:

quote:Skapades ursprungligen av: - Martin -:
Det är bara admin som ser våra ip-nr, och jag tror att han/de har viktigare saker för sig. Men det är konstigt att din brandvägg inte varnar dig.

Nä det är nog ingen härifrån, jag brukar byta IP emellanåt genom att stänga av min router. Jag har ingen fast IP, kopplar upp mig via PPPoE. Det hjälper inte ett skvatt att byta Ip, därför måste det vara något som är installerat i min dator. (Som Martin påpekade). En trojansk häst???

Brandväggen säger inte ett knyst, har även försökt att köra macSniffer och BrickHouse för att se om jag kan hitta något.

Funderar på formatering och ominstallation. Jobbigt...

  • Oregistrerad
  • 2002-09-28 01:23
Citat:

quote:Skapades ursprungligen av: - Martin -:
Kolla med "Processkontroll" i OS X, om du ser något som är skumt...

Jag har väldigt ont om plats på denna partition som jag kör på just nu. Därför har jag inte installerat "UNIX-delen", (vad den nu hette) som gör att man kan komma åt terminalen. Därför kan jag inte kolla terminalen.

Av samma anledning så har jag inte kunnat installera uppdateringen till 10.2.1, vilket får ses som nödvädigt detta sammanhang. Jag får nog formatera och ominstallera.

Jag har samma problem i OS 10.1.5, så det lär nog inte bero på min Jaguar installation. Skall starta om i 10.1 och kolla terminalen där.

  • Oregistrerad
  • 2002-09-28 01:25

Jaha, och så åkte CD-släden in igen... Hmm.

  • Medlem
  • 2002-09-28 02:14

Jag tror inte du är hackad... Om det fanns en känd netbus liknande trojan till mac, så skulle den vara mycket känd.. det skulle vara en av dom större nyheterna...

Om inte nån polare har skämtat och installerat Tibuktu eller Apple remote desktop eller nått liknande.. men då skulle du förmodligen se programmet..

men för säkerhetskull, stäng av alla typer av fildelning.. släpp bara på trafik på port 80 och kolla om det är nån nätverkstrafik när du idlar...

Formatera och installera om. DÅ vet du att det inte är ett virri/trojan.

Du kan använda "Process Viewer" i Uttilities mappen. OS X är unix. BSD subsystem är till för utvecklare mest. SÅ det är redan unix.

[ 28 September 2002, 02:26: Meddelandet ändrat av: Christopher ]

Kolla trafiken via terminalen skriv:

sudo tcpdump -i en0

Citat:

quote:Skapades ursprungligen av: ••• ? •••:
Jaha, och så åkte CD-släden in igen... Hmm.

I OS X så åker CD-släden in automatiskt efter någon minut. Ganska snyggt tycker jag som en gång på G3-tiden snurrade på stolen och drog knät i släden så den pajade.

Det är inte så att det du ser är en kombination egenheter som var för sig har en naturlig förklaring?

  • Medlem
  • Uppsala
  • 2002-09-28 11:07

Det är en del missförstånd här som behöver rätas ut

Citat:

quote: Hack......Löses genom att man köper en hårdvaru-brandvägg för sisådär 20 000 kr, men tror itne att den heller räcker, så du får nog gå upp i pris ytterligare [Wink]

Nej, nej, det finns brandväggar med stateful inspection och larmfunktioner för ett cirka 2000. Även en NAT-brandvägg i kombination med en brandvägg i klienten är ett bra skydd.

Netbus som trojan finns inte mot Mac OS X.

Observera att en brandvägg endast är ett filter som stoppar/släpper igenom trafik. Har man öppnat port 12345 (Netbus) så är den öppen utan att brandväggen gör nåt åt den. Brandväggarna gör heller ingen kontroll av att det tex. verkligen är www-data som kommer på en öppnad port 80. För att kolla det behövs en säkerhetsproxy.

I normalfallet funkar en brandvägg som så att den motar allting utifrån men godkänner sånt som har "beställts" inifrån. Det räcker i normalfallet om man inte har en webbserver eller FTP-server uppsatt bakom brandväggen. Då måste relevanta portar öppnas för resp. serverfunktion.

Om man har fått in en trojan så anropar den ut (vilket sålunda normalt släpps igenom brandväggen). Därför är brandvägg inget vidare skydd mot trojaner. Däremot antivirusprogram.

Har du kört igenom maskinen med antivirusprogram (uppdaterade definitioner) och fortfarande inte hittar något?

Finns inga skumma processer rullande? Vad säger brandväggsloggen? Kolla nätverket med en sniffer för att se vad som pågår (eller om nåt pågår).

Om svaret är nej då har du något annat problem, skulle kunna vara någon forma av systemproblem där operativet förväntar sig en CD-skiva eller motsv.

I vilket fall är en ominstallation (ren installation) den vettigaste lösningen.

[ 28 September 2002, 11:08: Meddelandet ändrat av: Harry Våffla ]

  • Oregistrerad
  • 2002-09-28 12:04
Citat:

quote:Skapades ursprungligen av: Anders Täpp:
Det är inte så att det du ser är en kombination egenheter som var för sig har en naturlig förklaring?

Nej, så enkelt är det inte tyvärr. Och visst reagerar man så som macägare, vi är inte vana att drabbas av något säkerhetsproblem.

CD-släden är bara ett av symptomen som drabbade mig igår natt, tilläggas bör att den åkte både in och ut ett antal gånger helt omotiverat. Jag förlorade även kotrollen över min muspekare och återfick den inte ens genom en omstart, det enda som hjälpte var att dra ut strömmen till min router.

Tidigare så har jag även varit med om webbläsarfönster som kolapsats, samt länkar som mystiskt blivit klickade på. Exempelvis logga ut länken hos 99mac. (Jag kör Explorer)

Ibörjan så trodde jag som dig Anders, men nu är jag helt säker på att så inte är fallet. Skall ta mig tid att formatera min stationära idag.

  • Oregistrerad
  • 2002-09-28 12:27
Citat:

quote:Skapades ursprungligen av: Harry Våffla:
Även en NAT-brandvägg i kombination med en brandvägg i klienten är ett bra skydd.

Jag har NAT i min router, däremot är jag ingen fena på att konfigurera den.

Citat:

quote:Skapades ursprungligen av: Harry Våffla:
Brandväggarna gör heller ingen kontroll av att det tex. verkligen är www-data som kommer på en öppnad port 80. För att kolla det behövs en säkerhetsproxy.

JO det är väl det som är problemet. Förklara gärna mera om säkerhetsproxys.

Citat:

quote:Skapades ursprungligen av: Harry Våffla:
Om man har fått in en trojan så anropar den ut (vilket sålunda normalt släpps igenom brandväggen). Därför är brandvägg inget vidare skydd mot trojaner. Däremot antivirusprogram.

Visst det är nog så. Jo jag har kört Norton antivirus med dom nyaste definitionerna. Ingen som helst napp.

Citat:

quote:Skapades ursprungligen av: Harry Våffla:
Finns inga skumma processer rullande? Vad säger brandväggsloggen? Kolla nätverket med en sniffer för att se vad som pågår (eller om nåt pågår).

Jag sniffar som en galning,

både med terminalen och med MacSniffer. Försöker även få rätsida på brandväggen i Jaguar. Problemet är väl bara att veta vad som är vad. Routern i sig själv kan generera lite trafik när den söker av DHCP näverket??? När man surfar så är det ju hopplöst. Jag skall försöka konfigurera min router så den mejlar mig vid inbrottsförsök, vet inte om det är till någon nytta. Skall kolla upp lite processer i terminalen, men det är likadant här att man måste veta vad som är vad.

Har du testat Symantec Security Check? Gå in på http://security1.norton.com/ssc/home.asp?j=1&langid=us&venid=sym&plfid=10&pkj=WQJJRHYTINMHDKDCWLL och testa så får du se vilka portar du har öppna...

Testa att dra ut nätverkssladden ur datorn helt och hållet. Om problemen finns kvar då, då kan man (nästan) säkert sluta sig till att det inte är någon utomstående som jäklas med dig. Alltså kan man släppa hela tråden om brandväggens vara eller icke vara.

Om sladden är ur och problemen finns kvar handlar det sannolikt om att du har något program som ligger och jäklas. Med tanke på hur många skuggområden det finns i unixträsket (speciellt när man är van vid MacOS fina systemmapp ) är det säkert lättast och bäst att installera om rubbet.

  • Oregistrerad
  • 2002-09-28 14:00
Citat:

quote:Skapades ursprungligen av: Fredrik Sandebert:
Testa att dra ut nätverkssladden ur datorn helt och hållet. Om problemen finns kvar då, då kan man (nästan) säkert sluta sig till att det inte är någon utomstående som jäklas med dig.

Jo, det har jag testat som jag nämde tidigare. Problemen försvann då, kanske var det en slump. Jag tror dock inte på det.

  • Oregistrerad
  • 2002-09-28 14:08
Citat:

quote:Skapades ursprungligen av: theJoker:
Har du testat Symantec Security Check?

Testade detta men den kom inte igenom mitt NAT skydd som jag har i routern. Däremot som kunde man läsa följande:

Macintosh Users: This list of Trojan horse ports is generated from the standard Unix Trojan list. To date, no Trojan horse applications that create TCP/IP connections have been detected on Macintosh computers but due to their popularity in the hacker community and that Mac OS X is derived from BSD Unix, it´s only a matter of time.  If and when Macintosh specific Trojan horse applications are identified, this list will be replaced with a more specific list of Trojan horse ports.

Dessutom så har jag hört att NAT är relativt lätt att komma runt? För en som vet alltså...

[ 28 September 2002, 14:39: Meddelandet ändrat av: ••• ? ••• ]

  • Medlem
  • Hammarö
  • 2002-09-28 16:16
Citat:

quote:Skapades ursprungligen av: ••• ? •••:

Citat:

quote:Skapades ursprungligen av: theJoker:
Har du testat Symantec Security Check?

Testade detta men den kom inte igenom mitt NAT skydd som jag har i routern. Däremot som kunde man läsa följande:

Macintosh Users: This list of Trojan horse ports is generated from the standard Unix Trojan list. To date, no Trojan horse applications that create TCP/IP connections have been detected on Macintosh computers but due to their popularity in the hacker community and that Mac OS X is derived from BSD Unix, it´s only a matter of time.  If and when Macintosh specific Trojan horse applications are identified, this list will be replaced with a more specific list of Trojan horse ports.

Dessutom så har jag hört att NAT är relativt lätt att komma runt? För en som vet alltså...

Eftersom NAT är ett skyl och inte ett skydd så finns det ju ingen direkt säkerhet i det. Det enda den gör är att översätta din IP-adress till din NAT-enhets adress. Inga filter eller strukturkontroller av protokoll i övrigt. Borde inte ens få kallas brandvägg när det enda "skyddet" är NAT.

Bevaka tråden