Jag tror att min Mac har blivit hackad

Tråden skapades och har fått 38 svar. Det senaste inlägget skrevs .

Hej!
Jag tror att min Mac har blivit hackad!
Jag senaste version av OSX.
Jag installerade torrent-klient Transmission och hämtade en musikvideo och en bok. Samtidigt bläddrade jag på Internet med Safari 501. Plötsligt mitt i blir Safari mycket trög. Jag startar om Safari, dator med det hjälper inte och HDD börjar snurra helt galet - oavbrutet! Jag körde Skivkontroll som visade på förändrade rättigheter på minst 100 filer och förändrade filer bl a i VPN. De förändrade filer gick ej att reparera.

Jag lyckades att få samma resultat efter en ren ominstallation 3 ggr!

Har ngn några idéer?

MVH

Alex

tror noll på att den blev hackad.

Lastar man på för mkt på transmission står ens disk och bara viner hela tiden.
prova minska antalet connections.

Sedan vad gäller rättigheter så är det väl macvärldens största strunt.
Det finns inget sagt hur de skall stå, utan man jämför med en tabell på hur de var när de installerades.. den är ju knappast rättvisande när det gått 200 dagar och 25 applikationer har ändrat på permissions.

Har du brandväggen på så är risken att du skulle bli hackat så liten att den är mikroskopisk. Varför inte ge sig på 700 PC-maskiner som står brevid? Istället så ger de sig på DIN maskin, en anonym maskin som håller på att ladda ner ngt från nätet.

Så här säger jag om permissions; Du vinner inte ett piss på att hålla koll på dem, din dator har inte "bättre hälsa" för att du sitter och gräver i dem heller. Många permissions sätts ju av andra program av en anledning. Enkel tumregel; if it works don't fuck with it.

Permissions kan man ge sig på OM man har problem med datorn.

Sen att Safari blev trög? Tja, Om hårddisken har fullt upp och nätet laddar maxiamlt, är det att undra på att Safari (som troligen laddade ngt från nätet) blev segt som sirap - det kunde ju varken läsa/skriva till disk eller läsa/skriva ngt på nätet...

  • Medlem
  • Stockholm
  • 2010-08-02 20:40

Kan endast instämma med Goflorp.

Vilken version av Transmission kör du? Hur många global maximum connections tillåter du?

Enligt loggen så är det endast permissions som Goflorp skriver. Och har under min tid med OS X (10.1 - 10.6.4) aldrig brytt mig om detta.

Btw så sätt lösenord på din dator. Och stäng av remote access, ssh osv så kommer ingen in i datorn. Och som som Goflorp säger. Kör du brandvägg så kan du bara slappna av.

Enkel "kom ihåg"

Slå på branfväggen
Slå av tjänster du inte behöver, framför allt fildelningen
Slå av att gäst får ansluta till datorn
Byt root-lösenordet
Se till att ha ett bra lösenord på ditt konto.
Slå av "automatisk inloggning"

Vill du ta i;

Slå på "Ange lösenord för att avbryta skärmsläckare"
Slå på kryptering av hemmamappen

Men, du skall ha poäng för att du är vaksam, det är en bra grej.
Att vara lite misstänksam, vad händer nu? Varför gör datorn så?
Var rädd om den känslan, för den dag du helt bortser från den så öppnar man för problem.

  • Medlem
  • Värmdö
  • 2010-08-02 21:10
Ursprungligen av Goflorp:

Byt root-lösenordet

Hur ska det gå till när root kontot inte är aktiverat i OSX?

  • Medlem
  • Sollentuna
  • 2010-08-02 21:13
Ursprungligen av Goflorp:

Enkel "kom ihåg"

Byt root-lösenordet

Men för OS X sätts ju inget root-lösenord. Där använder man ju sig av sudo(8) istället.

Tackar för era värdefulla svar!

  • Avstängd
  • Göteborg
  • 2010-08-02 21:57

Ren idioti att inte byta lösenord på både root och SU.... Det går utmärkt att logga in med root. Det är typ det man gör med Sudo-kommandot...

  • Medlem
  • Sollentuna
  • 2010-08-02 22:46
Ursprungligen av PeeMaN:

Ren idioti att inte byta lösenord på både root och SU.... Det går utmärkt att logga in med root. Det är typ det man gör med Sudo-kommandot...

Njae... Det stämmer ju inte. Byt ut 10.6 i URL:n mot någon annan version och du ska se att det gäller för äldre versioner också. Och angående sudo = login av root så kan jag inte hålla med på den punkten heller. Kommandot sudo(8) ger dig bara root-rättigheter på ett kontrollerat och samtidigt logbart sätt.

Ursprungligen av PeeMaN:

Ren idioti att inte byta lösenord på både root och SU.... Det går utmärkt att logga in med root. Det är typ det man gör med Sudo-kommandot...

Bara för att förtydliga så är inloggning via ssh som root avstängt som standard (det kan du se i /etc/sshd_config). Däremot kan man utföra administration av systemet genom sudo och su, men det är ju faktiskt en liten annan sak än att logga in direkt som root från utsidan.

Det finns nog såleds ingen större anledning till att byta lösenordet på root-kontot om man inte absolut behöver använda sig av su istället för sudo.

  • Avstängd
  • Göteborg
  • 2010-08-03 00:09

Jag vet inte. Kanske är något jag har med mig sen jag körde Linux en sväng, men av gammal vana ändrar jag både lösenorden strikt för att vara på den säkra sidan. Ingen aning hur säker den där ssh-spärren är egentligen....

  • Medlem
  • Värmdö
  • 2010-08-03 00:13
Ursprungligen av PeeMaN:

Jag vet inte. Kanske är något jag har med mig sen jag körde Linux en sväng, men av gammal vana ändrar jag både lösenorden strikt för att vara på den säkra sidan. Ingen aning hur säker den där ssh-spärren är egentligen....

Eftersom root kontot inte är aktiverat så kan man varken logga in eller byta lösenord på det.

  • Avstängd
  • Göteborg
  • 2010-08-03 02:02
Ursprungligen av Jetwash:

Eftersom root kontot inte är aktiverat så kan man varken logga in eller byta lösenord på det.

Märkligt. Då har jag antingen aktiverat det eller lyckats med något omöjligt. Jag drog igång en terminal och loggade in som root utan problem.

  • Medlem
  • Värmdö
  • 2010-08-03 02:21
Ursprungligen av PeeMaN:

Märkligt. Då har jag antingen aktiverat det eller lyckats med något omöjligt. Jag drog igång en terminal och loggade in som root utan problem.

Att bli root i terminalen och logga in med root kontot är ju inte samma sak

T.ex. sudo su eller sudo su -l root (Testa bara su)

Om du kan SSH:a till din dator med root, då är den aktiverad.

http://support.apple.com/kb/ht1528

  • Avstängd
  • Göteborg
  • 2010-08-03 12:02
Ursprungligen av Jetwash:

Att bli root i terminalen och logga in med root kontot är ju inte samma sak

Vad är skillnaden?

  • Medlem
  • Stockholm
  • 2010-08-03 12:15

Loggar du in med root-kontot är alla fönster och program påverkade, och därmed också hela systemet utsatt för ökad risk. Blir du root/superuser i terminalen, så är det bara där du är farlig mot systemet; riskvektorn är betydligt mindre.

  • Avstängd
  • Göteborg
  • 2010-08-03 12:55
Ursprungligen av fno:

Loggar du in med root-kontot är alla fönster och program påverkade, och därmed också hela systemet utsatt för ökad risk. Blir du root/superuser i terminalen, så är det bara där du är farlig mot systemet; riskvektorn är betydligt mindre.

Vadå bara för att du inte loggar in med ett GUI innebär väl inte det att "riske" är mindre? Det är ju genom att logga in som root jag fixat en jävla massa saker som man inte kan/får/ska göra med sitt vanliga admin-login i GUIet.

  • Medlem
  • Stockholm
  • 2010-08-03 13:05
Ursprungligen av PeeMaN:

Vadå bara för att du inte loggar in med ett GUI innebär väl inte det att "riske" är mindre? Det är ju genom att logga in som root jag fixat en jävla massa saker som man inte kan/får/ska göra med sitt vanliga admin-login i GUIet.

Då förstår jag faktiskt inte vad du "fixat" för några "jävla massa saker". Det första jag gör efter en nyinstallation och skapandet av det första admin-kontot, är att skapa ett nytt standard-konto. Därefter behöver jag generellt sett aldrig mer logga in med admin-kontot igen.

Däremot behöver jag ibland ange admin-kontot för att ändra systeminställningar, liksom logga in med adminkontot i terminalen för att kunna sudo su:a till riktig superuser för att göra "avancerade" förändringar då och då.

  • Avstängd
  • Göteborg
  • 2010-08-03 15:42
Ursprungligen av fno:

Då förstår jag faktiskt inte vad du "fixat" för några "jävla massa saker". Det första jag gör efter en nyinstallation och skapandet av det första admin-kontot, är att skapa ett nytt standard-konto. Därefter behöver jag generellt sett aldrig mer logga in med admin-kontot igen.

Däremot behöver jag ibland ange admin-kontot för att ändra systeminställningar, liksom logga in med adminkontot i terminalen för att kunna sudo su:a till riktig superuser för att göra "avancerade" förändringar då och då.

Ptja, senast häromdagen behövde jag in och pilla i ACL-rättigheterna för en time-machine. Något jag mig veterligen inte kan göra i ett GUI oavsett hur jag är inloggad?
Det e sånna småsaker lite då och då som man måste in och pilla med under root-kontot...

  • Medlem
  • Kristianopel
  • 2010-08-03 12:34
Ursprungligen av Alex Freeman:

Hej!
Plötsligt mitt i blir Safari mycket trög. Jag startar om Safari, dator med det hjälper inte och HDD börjar snurra helt galet - oavbrutet!
MVH

Alex

Jag har ett litet program som heter Bashflash som dödar Flash vid behov. Oftast är det så för mig när Safari löper amok att det är Flash som är boven. Väldigt intressanta svar för övrigt (om root)!

Jag har installerat om OSX igen, hämtade bara VLC och tittade på den film som orsakade förändringar i OSX under dess hämtning via torrent klient.
Som ni kunde redan gissa ändrades de filerna i OSX igen medan jag tittade på filmen, dator slöade ner och filmen började hacka. En MacPro 2009 med 8 kärnor borde väl inte reagera på det sättet. Eller hur?
Apple support hävdar att det gör inget att något eller någon ändrar på läs o skrivbehörigheter i OSX. Fast jag misstänker att det är något som är inbakad i de torrent filer som ställer till det.

  • Medlem
  • Finspång
  • 2010-08-17 13:45
Ursprungligen av Alex Freeman:

Jag har installerat om OSX igen, hämtade bara VLC och tittade på den film som orsakade förändringar i OSX under dess hämtning via torrent klient.
Som ni kunde redan gissa ändrades de filerna i OSX igen medan jag tittade på filmen, dator slöade ner och filmen började hacka. En MacPro 2009 med 8 kärnor borde väl inte reagera på det sättet. Eller hur?
Apple support hävdar att det gör inget att något eller någon ändrar på läs o skrivbehörigheter i OSX. Fast jag misstänker att det är något som är inbakad i de torrent filer som ställer till det.

Du menar alltså att när du tittar på filmen så ändras filer i OSX? Låter VÄLDIGT långsökt

Jag vägrar benhårt att tro på detta.

Ursprungligen av niclasc:

Du menar alltså att när du tittar på filmen så ändras filer i OSX? Låter VÄLDIGT långsökt

Ursprungligen av niclasc:

Du menar alltså att när du tittar på filmen så ändras filer i OSX? Låter VÄLDIGT långsökt

Jag bara delar med mig fakta som varken jag eller Apples support (1st line) kan förklara.
Däremot vad ryska hackare gör med filer innan de lägger filerna ut för delning kan man inte vara så säker på heller och vifta bort allt och säga att Steve sa att Mac är säker...

  • Medlem
  • 2010-08-17 14:33

1. Det är inte fakta innan du kan presentera trovärdig dokumentation.
2. Forumreglerna medger inte diskussioner om illegal fildelning. Det låter som att dina filer är av tvivelaktig karaktär. Stämmer det att ber om hjälp med piratkopierade filmer som du påstår öppnar för hackare?

Ursprungligen av Baron:

1. Det är inte fakta innan du kan presentera trovärdig dokumentation.
2. Forumreglerna medger inte diskussioner om illegal fildelning. Det låter som att dina filer är av tvivelaktig karaktär. Stämmer det att ber om hjälp med piratkopierade filmer som du påstår öppnar för hackare?

Tack att du hjälpte mig att inse att jag idiotföklarade mig själv genom att fråga här om min Macs konstiga beteendet.
PS: inte alla filer/filmer som hämtas via torrent nätverk är illegala, men du tror väl inte på det

OM det nu är en piratrulle så tycker jag det är oväsentligt i detta fall. Vad som påstås ske när man lirar denna rulle är sensationellt och unikt. Det är en världsnyhet. Är det sant så kommer snart hela Mac-kollektivet att svämma över av trådar om detta. Apple kommer att kalla in till påtvingad övertid. Red light råder sedan på företaget tills läckan är tätad.
Alltså: En hackare har lyckats med konststycket att i en videofil implementera kod som ändrar filer i OSX-systemet när man startar videofilen med VLC!!!!!!!! Om detta är sant så måste det spridas vidare. Bums!

Så - jag tror inte på det. OSX är Unix - inte "säkert", men så här lätt är det inte.

  • Medlem
  • 2010-08-17 15:16

Mja, det var därför jag bad om ett förtydligande.

Enda filformat som innehåller ngn form av exekverbarhet i filmkoden är väl .asf. ??
Ett dassigt gammalt format som torde vara totalt obsolete idag. Startade man en fil så öppnades weblänkar i mängder - ibland till "vuxensiter" ... mindre kul ...

Att se en film i valfritt format (.mkv, .mov etc) kan inte köra ngt.

De du ser som att datorn förändrar filer är troligen OSX interna "housekeeping".

Zimmerman har rätt i sak. Det här skulle vara en verklig världsnyhet om det vore så.
Nästa steg skulle vara infektion av virus för att man laddar ner en bild ....

Tackar för förklaringar!
Då vet jag att jag är på "den säkra sidan" med min Mac.
Det enda som kvarstår är att bekämpa det som slöar ner min MacPro och "få stopp" på den snurrande HDD.

Bevaka tråden