Die Büchse der Rätsel unter High Sierra auf iMAC

consulting · 02.08.21

Dreieinhalb Jahre bliebt Ihr von mit verschont.
Nun treibt mich mein iMac 27" Ende 2009 12GB macOS High Sierra 10.13.6 in Eure Arme…

Normalerweise kann ich nicht meckern.
All-in-all ist Apple das Geld wert. Und ein Dutzend Jährchen klagloser Dienst sind schon eine sehr ansehnliche Nummer.
Aber jetzt:
Plötzlich kam ich in meine zahlreichen Postfächer nicht mehr rein. Überall Time-out oder „Denied“.
Ursache unbekannt.
Ich begann zu suchen und fand in den USA jemanden mit einem ähnlichen Phänomen bei einem anderen Feature. Er suchte selbst um 10.000 Ecken herum und fand eine Lösung:

=> Systemeinstellungen => WLAN => Weitere Optionen => Proxies => SOCKS-Proxy => ABwählen

Bei mir probiert hat's funktioniert. Danach alles wieder normal.
Doch nun:
Wie von Hexenhand berührt schaltet sich SOCKET-Proxy nach einer gewissen Weile automatisch wieder aktiv. Danach komme ich wieder nicht in meine Email-Fächer. Also wieder „abwählen“...
Alle anderen Rechner hier (XEON-Workstation, Chromebook, Macbook Pro mit Catalina, Mac mini mit Big Sur) funktionieren einwandfrei. – Was „spukt“ hier herum…?

Für etwaige Bemühungen Eurerseits, mein Problem auszurotten, bedanke ich mich schon jetzt.
Mit freundlichen Grüßen, Manfred

Marcel Bresink · 02.08.21

Wenn man einen SOCKS-Proxy einrichtet, bedeutet das vereinfacht gesagt, dass man seine Internet-Verbindungen über eine Zwischenstation umleitet.

Verwendest Du einen Werbefilter, Antivirus-Software oder Firewall, die mit einer solcher Technik arbeitet?

Falls nicht, ist zu befürchten, dass es sich um einen Malware-Befall handelt, mit der Absicht, den gesamten Internet-Datenverkehr dieses Computers zu belauschen. Da gab es in der Vergangenheit z.B. das "Smart Quest Search Plugin" oder Ähnliches. Solche Plugins werden oft von unseriösen Download-Anbietern installiert (was manchmal sogar im Kleingedruckten der Nutzungsbedingungen erwähnt wird und deshalb legal ist).

Wuchtbrumme · 02.08.21

Marcel Bresink schrieb:
Wenn man einen SOCKS-Proxy einrichtet, bedeutet das vereinfacht gesagt, dass man seine Internet-Verbindungen über eine Zwischenstation umleitet.

Verwendest Du einen Werbefilter, Antivirus-Software oder Firewall, die mit einer solcher Technik arbeitet?

Falls nicht, ist zu befürchten, dass es sich um einen Malware-Befall handelt, mit der Absicht, den gesamten Internet-Datenverkehr dieses Computers zu belauschen. Da gab es in der Vergangenheit z.B. das "Smart Quest Search Plugin" oder Ähnliches. Solche Plugins werden oft von unseriösen Download-Anbietern installiert (was manchmal sogar im Kleingedruckten der Nutzungsbedingungen erwähnt wird und deshalb legal ist).

es geht eigentlich nicht klarer, aber nochmal der Hinweis: auf einem normalen Mac ist defaultmäßig unter Sockets und Proxies *NICHTS* aktiv. D.h. da muss was verändert worden sein, dass das aktiv ist.

Ich würde dem Rechner nicht mehr trauen. Jemand, der weniger paranoid ist als ich, würde zumindest nach einer Malware suchen; ich würde den Mac neu installieren. 10.13.6 ist ein gutes OS, die meisten Macs, die das können, können aber auch noch Mojave (macOS 10.14).

MACaerer · 02.08.21

Wuchtbrumme schrieb:
Ich würde dem Rechner nicht mehr trauen. Jemand, der weniger paranoid ist als ich, würde zumindest nach einer Malware suchen; ich würde den Mac neu installieren. 10.13.6 ist ein gutes OS, die meisten Macs, die das können, können aber auch noch Mojave (macOS 10.14).

Ein iMac Late 2009 kann standardmäßig zwar nur HighSierra. Aber mit Hilfe eines Patch-Programms (Dosdude Mojave-Patcher) geht auch noch Mojave ohne Probleme zu installieren und zu betrieben. Funktioniert einwandfrei, ich habe das bei einem MacBook Pro von 2011 unstalliert, bei dem ebenfalls im Normfall mit HighSierra Ende Gelände ist.

consulting · 03.08.21

Zunächst einmal haben erst alle ein Like erhalten. Das spende ich grundsätzlich dafür, dass jemand sich Mühe gibt.
Dann:

MACaerer schrieb:
Ein iMac Late 2009 kann standardmäßig zwar nur HighSierra. Aber mit Hilfe eines Patch-Programms (Dosdude Mojave-Patcher) geht auch noch Mojave...

Ein Problem mit macOS liegt hier nicht vor. – Nur mal so zur Kenntnis, was sich hier so tummelt: Der iMac mit High Sierra, ein Powerbook Pro mit High Sierra, ein Powerbook Pro mit Catalina, ein MAC mini mit High Sierra, ein MAC mini mit BIG SUR. (Nach entsprechender Ausreifung wird es hier einen M?-Mac geben.)

Probleme bisher: Keine, egal mit welchem Mac.
Nur beim iMac trat im July 2021 das Proxy-Problem auf. Bislang konnte ich noch nicht herauskriegen, nach welchen Ereignissen vielleicht.
Auffällig ist freilich (siehe Bild):
Nur beim Klicken auf "SOCKS-Proxy" wird auf der rechten Seite "localhost: 8080" angezeigt! – Da werde ich natürlich weder User noch Passwort eingeben.
Zur Kenntnis: Der iMac läuft mit SSD und ausnahmslos 24/7.
Für längere Nichtnutzung wird der Rechner lediglich in den Ruhezustand versetzt.
Es scheint so, dass die heimliche Aktivierung von "SOCKS-Proxy" vor allem dann erfolgt, wenn längere Zeit der Bildschirmschoner läuft.

FYI: Auf meine vorläufige Lösung des Problems bin ich durch diesen Link gekommen.

Herzlichen Dank noch einmal.
Mit freundlichen Grüßen

ottomane · 03.08.21

consulting schrieb:
Bislang konnte ich noch nicht herauskriegen, nach welchen Ereignissen vielleicht.

In den ersten beiden Antworten oben findest du die Lösung. Malwarebefall oder "Sicherheits"software. Der Proxy schaltet sich nicht von selbst ein.

Scotch · 03.08.21

... und ohne die lokale Installation eines solchen ist auch eine Umleitung auf localhost irritierend. Das ist wahlweise

Malware
irgendeine Anti-Malware/Paketfilter
Tatsächlich ein lokaler Proxy (das weiß man aber, wenn man den installiert hat und auf einer "normalen" Maschine macht der lokal auch nicht viel Sinn)

consulting · 03.08.21

So, Leute, ehe ich mir weiter Maulschellen einfange wie etwa von Durchlaucht ottomane, möchte ich mich bei den freundlichen Ratgebern erst einmal bedanken.
[Werbung entfernt - Apfeltalk]
Sodann:
Ich tat nun das Einfachste von der Welt. Ich verglich die SOCKS-Proxy-Einstellungen unter High Sierra, Catalina und BIG SUR und fand bei keiner macOS-Version unter "SOCKS-Proxy" irgendwelche Eintragungen. Daraufhin löschte ich "localhost : 8080" beim iMac.
Wir werden jetzt sehen…

Mit herzlichem Dank und mit freundlichen Grüßen,
Manfred Schürmann – Essen/Ruhr
aka "Key B. Hacker" aka "consulting" aka "LoiLoScope" etc.
_____________________________

ottomane · 03.08.21

Nach Hilfe fragen, die richtigen Ratschläge bekommen, diese ignorieren und dann auch noch beschweren, wenn man darauf hinweist.

Die Krönung ist dann die Werbung.

Sorry, einer solchen Verhaltensweise kann ich nicht folgen.

Ijon Tichy · 03.08.21

Ich verstehe ihn nicht. Hat er jetzt die Ratschläge befolgt und den Rechner untersucht? Offenbar nicht?

ottomane · 03.08.21

Scotch · 03.08.21

Ijon Tichy schrieb:
Ich verstehe ihn nicht. Hat er jetzt die Ratschläge befolgt und den Rechner untersucht?

Er hat festgestellt, was ihm in #3 bereits erklärt wurde. Der Rest fällt unter Beratungsresistenz. Ist aber ja seine Sache. In diesem Sinne: Ciao

consulting · 03.08.21

Ijon Tichy schrieb:
Ich verstehe ihn nicht. Hat er jetzt die Ratschläge befolgt und den Rechner untersucht? Offenbar nicht?

Ja, ich habe den Rechner systematisch und protokolliert „untersucht“ und mir auch noch anderweitig Rat besorgt.
Bei den „freundlichen Ratgebern“ hier im Thread habe ich mich sogar ausdrücklich bedankt.
Leider wurde mein Dankeschön-Geschenk als „Werbung“ diffamiert und von einer Administration gelöscht.
Nur:
Ich habe keine Neigung, das System neu aufzusetzen, zumal ich auf einer 1TB-SSD noch einen bootfähiges Klon aus einer Zeit Anfang July 2021 habe, als das Phänomen noch nicht auftrat. Von dieser Spiegelung arbeite ich z.Zt. über USB ohne Probleme.
Herausgefunden habe ich zudem, dass auf US- und GB-Seite dieses SOCKS-Proxy-Rätsel seit langem ebenfalls nervt, ohne dass eine klare Ursache und endgültige Lösung gefunden und benannt werden konnte.

Also hatte ich heute Abend einen sehr macOS-erfahrenen Informatiker einer nahegelegenen Hochschule zum Dinner, der auf seine Weise an das Problem herangegangen ist. Er hat insofern eine Spur gefunden, dass ihm der Verdacht sehr begründet erscheint, dass das größere und sehr umfangreiche Update eines „prominenten“ Programms durch eine bestimmte Eigenwilligkeit den Fehler geradezu „implementiert“ hat. Denn das Löschen von "localhost:8080" bei SOCKS-Proxy hat nichts gebracht. Nach einiger Zeit im Idle ist SOCKS-Proxy mit "localhost:8080" wieder aktiv. Also hockt die entsprechende Routine aktiv im Hintergrund. – Dagegen spricht noch, dass das Problem bei anderen Usern älter ist als das Update des verbreiteten Programms. Und falls dieses Programm der Übeltäter sein sollte, müsste der Fehler viel häufiger beklagt werden.
Das brachte den Experten auf dennoch auf eine Spur.
Er hat jetzt eine Spiegelung des ärgerlichen System mit und wird sich um das Problem kümmern.
Freundliche Grüße an die Freundlichen...
___________________________________
Den Unfreundlichen sei der Rat gegönnt, dass man wirklich lesen und im Falle, dass das gelingt, auch überdenken sollte. Masse ist nicht Klasse.

ottomane · 03.08.21

consulting schrieb:
Den Unfreundlichen sei der Rat gegönnt, dass man wirklich lesen und im Falle, dass das gelingt, auch überdenken sollte. Masse ist nicht Klasse.

Ich hoffe sehr dass du diese Weisheit auch versuchst auf dich zu beziehen. Das wäre schon einmal ein guter Anfang. Noch besser wäre es gewesen, wenn Du einfach die Hinweise der kompetenten Forenkollegen oben ernst genommen und verstanden hättest.

Ich frage mich, warum du hier eigentlich gefragt hast, wenn du die Antworten nicht zur Kenntnis nimmst.

Marcel Bresink · 04.08.21

consulting schrieb:
Bei den „freundlichen Ratgebern“ hier im Thread habe ich mich sogar ausdrücklich bedankt.

Es ist kein Dank, sondern eine arrogante Unverschämtheit, die Hilfe als vergebliche Mühe hinzustellen und dann zu ignorieren. Auf sowas können wir gerne verzichten. Der erwähnte "Experte" scheint ja nicht viel Ahnung zu haben.

Hier ist jedem klar, dass höchstwahrscheinlich ein Trojanisches Pferd heruntergeladen und installiert wurde, das auf diesem Computer einen SOCKS-Server betreibt, mit dem Ziel, die Internet-Kommunikation abzufangen und auszuwerten. Da das ein gängiger Angriffsweg ist, dessen technische Umsetzung sich aber mit Absicht andauernd ändert und auf viele Einzelprogramme mit zufälligen Namen verteilt sein kann, kann es keine allgemeine Lösung geben.

Falls die Server-Komponente im Moment noch aktiv ist, kann der derzeitige Name des zuständigen Prozesses von einem administrativen Benutzer in macOS 10.13 über den Befehl

sudo lsof -i -P | grep ":8080 (LISTEN)"

ermittelt werden. Der Name steht dann auf 9 Zeichen gekürzt am Anfang der Antwortzeile.

MacAlzenau · 04.08.21

consulting schrieb:
dass ihm der Verdacht sehr begründet erscheint, dass das größere und sehr umfangreiche Update eines „prominenten“ Programms durch eine bestimmte Eigenwilligkeit den Fehler geradezu „implementiert“ hat.

Und warum diese Geheimnistuerei?

Scotch · 04.08.21

Weil das "prominente Programm" vmtl. unter Marcels Aufzählung in #2 fällt

Die Büchse der Rätsel unter High Sierra auf iMAC

Golden Delicious

Cellini

Golden Noble

Charlamowsky

Golden Delicious

Anhänge

Golden Noble

Graue Herbstrenette

Golden Delicious

Golden Noble

Clairgeau

Golden Noble

Graue Herbstrenette

Golden Delicious

Golden Noble

Cellini

Golden Noble

Graue Herbstrenette

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)