Vechten tegen een Hacker! Help !!!!!

Eergisteren was zomaar ineens mijn internet verbinding weg. Na een inspectie van de netwerk settings ontdek ik dat mijn IP nummer is gewijzigd! Ik zit met twee computers via een Sitecom DC202 router aan chello met een vast IP adres. Normaal is het IP adres op mijn computer 192.168.0.6 (DHCP) en het router adres 192.168.0.1. Dit zijn de default instellingen van de router en dit heb ik maar zo gelaten.

Ineens staat daar in mijn settings het IP adres 169.254.139.114 en subnet 169.254.255.255. Op beide computers die aangesloten zijn op de sitecom (eMac en iBook).

Hoe kan mijn router zomaar ineens andere, vreemde IP adressen uitdelen??? Vreemd…

Ik besluit de hele boel te resetten en opnieuw in te stellen. Mijn routeradres word ingesteld op 195.195.0.1 het wachtwoord op de router word vernieuwd, andere instellingen op de netwerk Mac’s, en …alles werkt weer prima.

Tot gisteravond laat…

Ik had eerst niks in de gaten, ik was in Poser aan het prutsen… ik besluit iets te zoeken op het internet… geen verbinding…!!! !%@$#^&#*&^# !!!

Weer mijn netwerkinstellingen in de war! Zou er met de router iets mis zijn vraag ik me af.
Het IP nummer dat de router nu heeft uigedeeld is : 169.254.139.110 … hmmm bijna! hetzelfde adres als een dag eerder maar wél anders… dat moet mensenwerk zijn.

Ik besluit eens in mijn systeemlog te kijken… HUH???

Locatie: /var/log/system.log
Inhoud: Jan 3 03:15:04 cabangu syslogd: restart
Jan 3 03:15:04 cabangu syslogd: hostname changed, “ronnies-eMac” to “cabangu”
Jan 3 03:27:57 cabangu lookupd[1522]: NetInfo connection failed for server 127.0.0.1/local
Jan 3 04:30:00 cabangu CRON[1656]: (root) CMD (periodic weekly)
Jan 3 04:35:43 cabangu syslogd: restart

Mijn hostname gewijzigd??? “… hostname changed, “ronnies-eMac” to “cabangu”…” WTF!! Wie is CABANGU? en wat vreet cabangu uit met mijn crontab?

Ik open mijn terminalvenster en inderdaad de prompt zegt niet meer “[ronnies-eMac:]” zoals ik gewend ben maar er staat “Cabangu:”. In de terminal tik ik: “hostname”, en ik krijg : " cabangu.telemar-mg.net.br" !!!

Iets verder terug In mijn systeemlog ontdek ik het volgende:

Jan 3 02:03:36 ronnies-eMac mach_init[2]: Server 20f7 in bootstrap d03 uid 0: “/usr/sbin/lookupd”: exited as a result of signal 1 [pid 1508]
Jan 3 02:03:36 ronnies-eMac lookupd[1509]: lookupd (version 324) starting - Sat Jan 3 02:03:36 2004
Jan 3 02:04:20 ronnies-eMac configd[109]: posting notification com.apple.system.config.network_change
Jan 3 02:04:20 ronnies-eMac mach_init[2]: Server 20fb in bootstrap d03 uid 0: “/usr/sbin/lookupd”: exited as a result of signal 1 [pid 1509]
Jan 3 02:04:20 ronnies-eMac lookupd[1516]: lookupd (version 324) starting - Sat Jan 3 02:04:20 2004
Jan 3 02:09:08 ronnies-eMac configd[109]: executing /System/Library/SystemConfiguration/Kicker.bundle/Contents/Resources/set-hostname
Jan 3 02:09:08 ronnies-eMac configd[109]: posting notification com.apple.system.config.network_change
Jan 3 02:09:08 ronnies-eMac mach_init[2]: Server 0 in bootstrap d03 uid 0: “/usr/sbin/lookupd”: exited as a result of signal 1 [pid 1516]
Jan 3 02:09:08 ronnies-eMac lookupd[1522]: lookupd (version 324) starting - Sat Jan 3 02:09:08 2004
Jan 3 02:09:08 ronnies-eMac set-hostname[1534]: setting hostname to cabangu.telemar-mg.net.br
Jan 3 02:46:30 ronnies-eMac kernel: ApplePMUUserClient::setProperties WakeOnACchange 0

Dit is het laatste stukje van een lange lijst! Hier is te zien dat cabangu beet heeft. En in de op één na laatste regel wordt de hostname gewijzigd! Daarna volgt er een restart van het systeem (op de achtergrond zonder dat ik iets heb gemerkt) en vanaf dat moment is mijn hostname “cabangu.telemar-mg.net.br” in plaats van “ronnies-eMac.local”. Het lijkt er op, aan de hostnaam te zien, dat iemand mijn systeem voor telemarketing (spam) wil misbruiken.

Maar wat nu??? Ik weet helemaal nix van Unix. Wat ik wel vermoed is dat er gebruik is gemaakt van een bij Apple sinds september vorig jaar bekend!!! lek in het systeem…

Wie kan me helpen de boel weer recht te draaien en mijn systeem beter dicht te spijkeren? Een paar kleine tips (of URL’s) kunnen me al goed op weg helpen…

:x Dank je, ik heb er maar even de Virex opgezet !

Dit is spooky....... ik kan helaas ook geen unix lezen, maar het ziet er raar uit. Je computernaam zal niet zomaar veranderen.

Hoe staat het met de ingebouwde firewall in je computer? Die moet dit soort attacks toch tegen kunnen houden?

Volgens mij wordt er gebruik gemaakt van een sinds semptember vorig jaar bij Apple bekend!! systeemlek. Ik heb er eens iets over gelezen...(zonder echt goed te begrijpen waar het over gaat) maar het komt er ongeveer op neer dat via dit lek een externe gebruiker 'root acces' kan krijgen in je systeem via het UID(0) (elke gebruiker heeft een UID nummer)

(OSX is niet zo veilig als wij denken!)

Hoe "goed" is de apple firewall? Ik gebruik zelf Netbarrier van www.intego.com. Deze is tenminste helemaal te customizen, en ja, je staat er versteld van hoe vaak je met portscans geconfronteerd wordt, al zullen daar best een aantal ongevaarlijke searchbots tussen zitten maar toch?

Dit is wel een aardige link om je “kwetsbaarheid” te testen:

https://grc.com/x/ne.dll?bh0bkyd2

hier kun je ook de kwetsbaarheid van je computer testen: [url=http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=ie&venid=sym]Symantec security check[/url]

Lijkt erop dat je Mac hard gepakt is door een Braziliaan. Als router resetten geen soelaas meer biedt zou ik zsm contact opnemen met Chello en een nieuw Mac-adres aanvragen (IP koppeling met je netwerkkaart). Lijkt me ook raadzaam je mac eens door te struinen. Als je nix vreemds tegenkomt lijkt een clean install de laatste optie, maar wel erg rigoreus.

kijk anders hier eens http://www.securemac.com/

[quote:2491f8d98d="RonnieG4"]Volgens mij wordt er gebruik gemaakt van een sinds semptember vorig jaar bij Apple bekend!! systeemlek. Ik heb er eens iets over gelezen...(zonder echt goed te begrijpen waar het over gaat) maar het komt er ongeveer op neer dat via dit lek een externe gebruiker 'root acces' kan krijgen in je systeem via het UID(0) (elke gebruiker heeft een UID nummer)[/quote:2491f8d98d]

zover ik het destijds begrepen heb gold dit niet voor externe gebruikers maar voor gebruikers binnen hetzelfde subnet. Verder moesten er, om gebruik te maken van het lek, poorten openstaan, en die staan normaal standaard juist dicht.

Welke systeemversie gebruik je ? Stond je ingebouwde firewall aan ? Heeft je router ook een ingebouwde firewall ?

[quote:61e7bfd90c="haka"]hier kun je ook de kwetsbaarheid van je computer testen: [url=http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=ie&venid=sym]Symantec security check[/url][/quote:61e7bfd90c]

gaaf die test. Uitslag bij mij: Safe.
Ik gebruik een Vigor Router en Mac OS X-firewall :mrgreen:

[quote:3fa8eaa2e3] Volgens mij wordt er gebruik gemaakt van een sinds semptember vorig jaar bij Apple bekend!! systeemlek. Ik heb er eens iets over gelezen...(zonder echt goed te begrijpen waar het over gaat) maar het komt er ongeveer op neer dat via dit lek een externe gebruiker 'root acces' kan krijgen in je systeem via het UID(0) (elke gebruiker heeft een UID nummer) [/quote:3fa8eaa2e3]

Dit is toch het lek dat met de 19/12 security patch gedicht zou moeten zijn?

Klacht indienen bij de ISP en bij Justitie want hier is duidelijk een misdrijf gepleegd!

Vertrouw je ons wel zoveel [i:9423e7daca]mac-intimiteiten[/i:9423e7daca] te openbaren? Ik zou na dit weekend de gehele threat wissen zodat ie niet jaren blijft hangen.

Om maar meteen TonE's vraag te beantwoorden. Het lek is niet dicht! De security patch doet niet anders dan "LDAPv3" default op "uit" schakelen waardoor het onmogelijk zou moeten zijn om het beveiligingslek te benutten. Echter blijkbaar heeft deze hacker een andere methode gevonden!!!

Ik heb/had de laatste security patch dus wél geinstalleerd!!! Ik heb net (vier dagen) een nieuwe eMac met daarop de laatste Panther. Meteen na installatie heb ik alle systeemupdates geinstalleerd. Ik heb vrijwel alle poorten op mijn router gesloten. En ik heb de Apple firewall “aan” staan.

Op mijn router had ik echter wel DHCP “aan” en mijn lokale netwerk ontving zijn IP adressen via DHCP. Ik lees hier:
http://www.carrel.org/dhcp-vuln.html dat dát niet erg verstandig is.

Het lijkt er op dat ongeveer het daar beschreve op mijn systeem heeft plaatsgevonden.

En vanmiddag gebeurde het weer!!! Ik heb nu net alles wéér opnieuw ingesteld.

Ik heb nu, na deze laatste aanval, DHCP uit staan en hoop dat dat nu afdoende is. Intussen heeft “de Braziliaan” wel root-toegang tot mijn systeem gehad en misschien het één en ander veranderd… ik weet het niet.

Hoe kan ik daar achter komen? Het systeemlog is voor mij een hoop abracadabra. Misschien dat iemand van jullie daar iets van kan maken?

[quote:032673a1c4="haka"]hier kun je ook de kwetsbaarheid van je computer testen: [url=http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=ie&venid=sym]Symantec security check[/url][/quote:032673a1c4]

Ooh jee… Haddocks iMac is ‘At Risk’. Bij ‘Hacker Exposure Check’ stat een rood kruis. Ik ga gelijk even kijken of ik wat kan sleutelen om dit euvel te verhelpen. Brrr… wat een enge thread is dit. :oops:

[quote:db8e5c8adc="Josh"]Vertrouw je ons wel zoveel [i:db8e5c8adc]mac-intimiteiten[/i:db8e5c8adc] te openbaren? Ik zou na dit weekend de gehele threat wissen zodat ie niet jaren blijft hangen.[/quote:db8e5c8adc]

Ik heb toch nog niet te veel intimiteiten geopenbaard dacht ik… de genoemde lokale IP adressen zijn inmiddels al weer anders ingesteld. En mijn internet IP adres heb ik niet vermeld…?

Of heb ik wel te veel verteld…? Ik ben ook maar een leek op dit gebied…

[quote:6866bcde68="Haddock"][quote:6866bcde68="haka"]hier kun je ook de kwetsbaarheid van je computer testen: [url=http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=ie&venid=sym]Symantec security check[/url][/quote:6866bcde68]

Ooh jee… Haddocks iMac is ‘At Risk’. Bij ‘Hacker Exposure Check’ stat een rood kruis. Ik ga gelijk even kijken of ik wat kan sleutelen om dit euvel te verhelpen. Brrr… wat een enge thread is dit. :oops:[/quote:6866bcde68]
Met de ingebouwde OS X firewall aan staat enkel de Ping poort open de andere zijn Stealth.

Is er op het internet ook een plaats waar je aangifte kunt doen van hackpogingen?

Net zoiets als waar je spam kunt melden?

[quote:7357c30aad="RonnieG4"]...Intussen heeft "de Braziliaan" wel root-toegang tot mijn systeem gehad en misschien het één en ander veranderd.... ik weet het niet.

Hoe kan ik daar achter komen? Het systeemlog is voor mij een hoop abracadabra. Misschien dat iemand van jullie daar iets van kan maken?[/quote:7357c30aad]
Open de HD
stel Lijstweergave in en klik Bewerkingsdatum en het driehoekje met punt omlaag
Controleer vooral de Systeemmap en vergelijk ze met het system.log

[quote:72dfafedbe="RonnieG4"]Is er op het internet ook een plaats waar je aangifte kunt doen van hackpogingen?

Net zoiets als waar je spam kunt melden?[/quote:72dfafedbe]Dien een klacht in via je provider en meld het bij de politie of Justitie want inbreken in computers is een strafrechterlijk misdrijf.

En toch zou ik ook 's naar een andere firewall kijken, financieel kost het je kop niet. Zodra er ongeoorloofde netwerk activiteiten worden bespeurd, direct een waarschuwing en hopla het gewraakte ip adres staat in de stoplist en wordt geblokt. Wat ook wel prettig vind de mogelijkheid alle programma's, behalve die je voor communictie nodig hebt natuurlijk, te blokkeren voor netwerktraffic. Niet alleen een prima bescherming tegen spyware, maar ook steeds meer reguliere programma's "are phoning home" zonder dat je daar zelf weet van hebt.