iStefan
Ribston Pepping
- Registriert
- 19.11.07
- Beiträge
- 294
Jetzt verstehe ich garnichts mehr ...
http://www.apfeltalk.de/forum/zus-tzliche-firewall-t224524.html
Dann lies doch einmal den Thread. Fragen werden gerne beantwortet.
Stefan
-
Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
Näheres könnt Ihr hier nachlesen: AGB-Änderung -
Das neue Jahr beginnt wie das alte - natürlich mit einem neuen Fotowettbewerb! Auch im Monat Januar freuen wir uns auf Eure Einsendungen. Wie es weitergeht, wisst Ihr ja - Hier geht es lang --> Klick
Little Snitch Helper-Thread
- Ersteller RedCloud
- Erstellt am
Dann lies doch einmal den Thread. Fragen werden gerne beantwortet.
Stefan
iStefan
Ribston Pepping
- Registriert
- 19.11.07
- Beiträge
- 294
Die Hinweise sind als Hilfestellung gedacht und nicht als Angriff zu verstehen. Wer LS einsetzen möchte solle dies tun.
Es besteht nur auch die Möglichkeit auf Bordmittel zurückzugreifen.
sudo tcpdump -i en0 oder en1 für Airport liefert Hinweise, ohne dass eine Investition getätigt werden muß (für die Funktionalität ein manuell gestartetes Programm beim "Telefonieren" zu beobachten).
little snitch
Ich habe ein Problem mit little snitch, ich finde das programm nicht auf meiner platte und ich kann aus dem programm heraus nicht auf einstellungen oder sontiges zugreifen es ist einfach da und verweigert mir internetverbindung von bestimmten programmen und das kann ich schlecht ändern wenn ich nicht an die einstellungen von diesem programm komme oder es nicht finde und nicht löschen kann.
Weiß jemand wie ich aus dieser Situation herauskomme ?
Vielen dank schonmal im vorraus!
Ich habe ein Problem mit little snitch, ich finde das programm nicht auf meiner platte und ich kann aus dem programm heraus nicht auf einstellungen oder sontiges zugreifen es ist einfach da und verweigert mir internetverbindung von bestimmten programmen und das kann ich schlecht ändern wenn ich nicht an die einstellungen von diesem programm komme oder es nicht finde und nicht löschen kann.
Weiß jemand wie ich aus dieser Situation herauskomme ?
Vielen dank schonmal im vorraus!
Ich finde per spotlight rein gar nichts was little snitch heißt ist das normal? wenn ich in der oberen Leiste auf das kleine logo klicke und da einstellungen usw. steht und ich drauf klicke passiert nichts. ist das normal?
Wo ist bitte das Problem? :
Genau der Eintrag "Little Snitch Regeln..." startet die "Litle Snitch Konfiguration.app" ...
Bei mir ist kein Admin-Kennwort nötig.
Edit:
Wenns nicht geht, LittleSnitch mit dem mitgeliefertem Installationsprogramm! im Image (der dmg-datei) deinstallieren und erneut installieren.
Anhänge
Johannes.mac
Horneburger Pfannkuchenapfel
- Registriert
- 12.04.09
- Beiträge
- 1.407
Gibt es eigentlich ein (bevorzugt kostenloses) Programm, dass ähnlich Little Snitch, die ausgehenden Verbindungen anzeigt? (bzw. den Traffic grafisch darstellt?)
iStefan
Ribston Pepping
- Registriert
- 19.11.07
- Beiträge
- 294
Langt Dir vielleicht die Aktivitätenanzeige von OS X ergänzt um die Spalten Ports, Ges.-,Empf.-Nachrichten. Ein Balkendiagramm bekommst Du nicht aber einen Live-Überblick.
Stefan
Anhänge
MacMark
Jakob Lebel
- Registriert
- 01.01.05
- Beiträge
- 4.874
iStefan
Ribston Pepping
- Registriert
- 19.11.07
- Beiträge
- 294
Damit man alles sieht mit su <Admin-Account> als Admin einloggen (im Terminal).
Anschließend den Befehl mit sudo lsof -i ausführen. Damit werden alle Prozesse mit einer Verbindung ins Netzwerk angezeigt.
iStefan
Ribston Pepping
- Registriert
- 19.11.07
- Beiträge
- 294
Bist Du auch so lieb und sagst mir was ich hier sperren kann oder sollte?
Leider wird bei mir der Screenshot nicht mehr angezeigt. Erster Hinweis ist folgende Liste von Apple:
http://support.apple.com/kb/TS1629?viewlocale=de_DE
welcher die typischen UDP- und TCP-Ports listet.
Dann habe ich gesehen das iChat geblockt wird. Warum? Dieses Programm wird in der Regel aktiv vom Nutzer gestartet, d.h. eine Kommunikation ist erwünscht. Warum als dafür eine Regel erstellen?
Leider konnte ich mir nicht mehr merken. Das meiste sah aber aus wie normale Programme wie z.B. Mail, Safarie etc. Auch hier ist Kommunikation erwünscht. Die entsprechenden Ports findest Du in der Übersicht. Ein Sperren derselbigen würde z.B. auch die Kommunikation von Mail stören/einschränken. Inwieweit nun eine Regel dafür sinnvoll ist mußt Du entscheiden.
Wenn das Bild noch mal auftaucht kann ich mehr sagen.
salome
Golden Noble
- Registriert
- 20.08.06
- Beiträge
- 23.750
@iStefan: Das Termnal ist mir terra incognita und die Befehle kann ich auch nicht deuten, mit meinem little engish sind die Abkürzungen nicht zu dechiffrieren. Da ist der LS schon etwas klarer und einfacher, und das Feine finde ich ja, dass er fragt, und ich mich entscheiden kann. Obwohl mich meistens ohnehin nur Programme frage, die nach einem Update suchen wollen.
Ich kann auch mit der Tabelle auf der von dir angegeben Apple-Supportseite nichts anfangen. Wer böser hat mich allerdings noch nicht gefragt, ober er irgendwelce Ports öffnen darf.
Also ist, wie ich schon gesagt habe, LS eher eine Spielerei (für mich zumindest).
Angst dass ein Gespenst durch irgendwelche Türen oder Fenster kommt, hab ich eigentlich auch nicht.
Aber viele andere werden mit deinen Tipps schon etwas anfangen können.
salome
Ich kann auch mit der Tabelle auf der von dir angegeben Apple-Supportseite nichts anfangen. Wer böser hat mich allerdings noch nicht gefragt, ober er irgendwelce Ports öffnen darf.
Also ist, wie ich schon gesagt habe, LS eher eine Spielerei (für mich zumindest).
Angst dass ein Gespenst durch irgendwelche Türen oder Fenster kommt, hab ich eigentlich auch nicht.
Aber viele andere werden mit deinen Tipps schon etwas anfangen können.
salome
iStefan
Ribston Pepping
- Registriert
- 19.11.07
- Beiträge
- 294
@salome: Jetzt sehe ich das Bild wieder.
1. Dein Rechner bietet die Möglichkeit, das Windows-Rechner Verzeichnisse oder Drucker mittels Samba (smdb) verbinden können. Wurde wahrscheinlich bei Sharing -> File Sharing -> Optionen angewählt. Falls nicht benötigt würde ich dieses deaktivieren. Was Samba mit dem ...it Server macht bzw.woher die Verbindung kommt kann ich nicht sagen. Ähnliches gilt für den .ru Sever.
Ansonsten schaut es sehr normal aus bzw. würde ich keine Verbindung sperren.
Wenn Du die Port-Nummern mit der Apple-Liste vergleichst siehst Du viele Gemeinsamkeiten.
Wie bereits gesagt, wenn Dir LS gefällt dann nutze es.
1. Dein Rechner bietet die Möglichkeit, das Windows-Rechner Verzeichnisse oder Drucker mittels Samba (smdb) verbinden können. Wurde wahrscheinlich bei Sharing -> File Sharing -> Optionen angewählt. Falls nicht benötigt würde ich dieses deaktivieren. Was Samba mit dem ...it Server macht bzw.woher die Verbindung kommt kann ich nicht sagen. Ähnliches gilt für den .ru Sever.
Ansonsten schaut es sehr normal aus bzw. würde ich keine Verbindung sperren.
Wenn Du die Port-Nummern mit der Apple-Liste vergleichst siehst Du viele Gemeinsamkeiten.
Wie bereits gesagt, wenn Dir LS gefällt dann nutze es.
salome
Golden Noble
- Registriert
- 20.08.06
- Beiträge
- 23.750
meinst du wirklich mich? Welches Bild siehst du. ich hab kein Windows und will mich auch mit denen nicht verbünden und mein Drucker läuft über Airport. Also wozu soll ich SMB aktivieren (oder aktiviert haben).
Entweder du oder ich verwechseln da etwas.
salome
Entweder du oder ich verwechseln da etwas.
salome
MacMark
Jakob Lebel
- Registriert
- 01.01.05
- Beiträge
- 4.874
Bist Du auch so lieb und sagst mir was ich hier sperren kann oder sollte?
...
Wie kam es, daß der Kernel eine Verbindung nach Rußland hatte? Trojanisches Pferd?
Und warum wollte Samba nach Italien? Filesharing mit Deinem Windows-Pizza-Bäcker?
1. Das wüsste ich auch gerne!
2. Woher?
3. Was ist Samba?
4. Windows ist das letzte was ich meinem iMac antun würde!
Hier noch einmal der vermisste Screenshot.
Installierte Programme:
GrahicConverter (von MacLife-CD)
OpenOffice (von openoffice.org)
GIMP (von gimp.org)
VLC-Player (von videolan.org)
ClamXAV (von clamxav.com) ja ich habe ein Herz für Windows-User
LittleSnitch (von softonic.de)
Und noch einmal zur Info: Ich habe keinen Zugang zu icq, twitter und wie die alle heißen!
MacMark
Jakob Lebel
- Registriert
- 01.01.05
- Beiträge
- 4.874
Smbd ist der Samba-Server, dem Du Verbindungen nach Italien verboten hast. Du mußt Windows-Sharing (File Sharing -> SMB) für einen Account aktiv haben.
Warum der Kernel eine Verbindung zu einer dynamischen IP in Rußland wollte, ist echt komisch. Die IP wird an DSL-Kunden in Moskau vergeben. Könnte der DNSChanger sein. Zu dem hatte ich mal folgendes für jemand anderen geschrieben, der ihn sich installiert hatte und wissen wollte, was dann passiert:
Dein Trojaner ist tatsächlich eine neue Version des DNS-Changers, der unter den Namen "DNSChanger Trojan", "OSX.RSPlug.A" und "OSX/Puper for OS X" bekannt ist.
Das Neue an dieser Version ist, daß die Shell-Skripte verschlüsselt sind und bei der Ausführung decodiert werden. Es ist allerdings einfach zu entschlüsseln, da die Skripte das in ihren ersten zwei Zeilen auch selbst mit dem Rest tun. Ich habe sie heute Morgen (19. Juli 2008) entschlüsselt und mit dem originalen Trojaner von Ende 2007 verglichen. Sie sind bis auf die Verschlüsselung nahezu identisch.
Der Trojaner fügt zwei ukrainische DNS-Server in die Liste der DNS-Server des Systems hinzu. Damit können die netten Jungs, die den Server betreiben, Dich dann nach sonst-wohin schicken, wenn Du beispielsweise ebay.de im Browser eingibst. Bei Leopard sieht man die DNS-Einträge unter Network > advanced > DNS, falls der Trojaner seinen Job geschafft hat. Die Host-IPs sind in den Skripten auch verschüsselt gewesen: Sie lauteten diesmal 85.255.113.115 und 85.255.112.19.
Mit whois <ip> kann man sich anzeigen lassen, wer sagen will, wo es langgeht
Mit host <eine url> <ip> kann man schauen, wohin man geschickt würde für url von dem DNS auf ip. Mein Test ergab, daß sie ebay.com korrekt handhaben, aber das kann sich jederzeit ändern.
Der Trojaner installiert außerdem einen cronjob, der regelmäßig dafür sorgt, daß die DNS drinstehen. Ob der crontab-Eintrag da ist, kann man mit
crontab -l
und sicherheitshalber auch noch
sudo crontab -l
feststellen. Beide sollten leer sein, weil Leopard keine eigenen Cronjobs mehr verwendet. Sollte bei der Ausgabe jedoch "plugins.settings" auftauchen, dann ist der Trojaner-Cronjob vorhanden.
Der Trojaner schickt direkt nach der Installation den Namen vom Betriebssystem und noch ein paar andere ähnliche Daten zu einem Server in die USA (64.28.188.220). Zumindest die Version des Trojaners, die Du gestern verlinkt hattest und die ich mir dann ansah.
Der Trojaner legt es also wohl darauf an, User auf gefälschte Seiten zu lenken und dann Paßworte abzugreifen. Er verschickt keine persönlichen Daten und er beschädigt nichts und er ermöglicht auch keinen Fernzugriff.
Warum der Kernel eine Verbindung zu einer dynamischen IP in Rußland wollte, ist echt komisch. Die IP wird an DSL-Kunden in Moskau vergeben. Könnte der DNSChanger sein. Zu dem hatte ich mal folgendes für jemand anderen geschrieben, der ihn sich installiert hatte und wissen wollte, was dann passiert:
Dein Trojaner ist tatsächlich eine neue Version des DNS-Changers, der unter den Namen "DNSChanger Trojan", "OSX.RSPlug.A" und "OSX/Puper for OS X" bekannt ist.
Das Neue an dieser Version ist, daß die Shell-Skripte verschlüsselt sind und bei der Ausführung decodiert werden. Es ist allerdings einfach zu entschlüsseln, da die Skripte das in ihren ersten zwei Zeilen auch selbst mit dem Rest tun. Ich habe sie heute Morgen (19. Juli 2008) entschlüsselt und mit dem originalen Trojaner von Ende 2007 verglichen. Sie sind bis auf die Verschlüsselung nahezu identisch.
Der Trojaner fügt zwei ukrainische DNS-Server in die Liste der DNS-Server des Systems hinzu. Damit können die netten Jungs, die den Server betreiben, Dich dann nach sonst-wohin schicken, wenn Du beispielsweise ebay.de im Browser eingibst. Bei Leopard sieht man die DNS-Einträge unter Network > advanced > DNS, falls der Trojaner seinen Job geschafft hat. Die Host-IPs sind in den Skripten auch verschüsselt gewesen: Sie lauteten diesmal 85.255.113.115 und 85.255.112.19.
Mit whois <ip> kann man sich anzeigen lassen, wer sagen will, wo es langgeht
Mit host <eine url> <ip> kann man schauen, wohin man geschickt würde für url von dem DNS auf ip. Mein Test ergab, daß sie ebay.com korrekt handhaben, aber das kann sich jederzeit ändern.
Der Trojaner installiert außerdem einen cronjob, der regelmäßig dafür sorgt, daß die DNS drinstehen. Ob der crontab-Eintrag da ist, kann man mit
crontab -l
und sicherheitshalber auch noch
sudo crontab -l
feststellen. Beide sollten leer sein, weil Leopard keine eigenen Cronjobs mehr verwendet. Sollte bei der Ausgabe jedoch "plugins.settings" auftauchen, dann ist der Trojaner-Cronjob vorhanden.
Der Trojaner schickt direkt nach der Installation den Namen vom Betriebssystem und noch ein paar andere ähnliche Daten zu einem Server in die USA (64.28.188.220). Zumindest die Version des Trojaners, die Du gestern verlinkt hattest und die ich mir dann ansah.
Der Trojaner legt es also wohl darauf an, User auf gefälschte Seiten zu lenken und dann Paßworte abzugreifen. Er verschickt keine persönlichen Daten und er beschädigt nichts und er ermöglicht auch keinen Fernzugriff.
Liebe AT-Gemeinde,
es sieht so aus als ob ich meinen iMac "plattmachen" muss! :-c
Irgendein Trojaner hat sich bei mir eingenistet.
Little Snitch meldet Verbindungen nach:
.net
.ru (Russland)
.bg (Bulgarien?)
.es (Spanien)
.it (Italien)
.tr (Türkei)
Was habe ich gemacht?
Programme installiert:
GrahicConverter (von MacLife-CD)
OpenOffice (von openoffice.org)
GIMP (von gimp.org)
VLC-Player (von videolan.org)
ClamXAV (von clamxav.com) ja ich habe ein Herz für Windows-User
LittleSnitch (von softonic.de)
Internetseiten besucht:
Apfeltalk
Wikipedia
Google (zwangsläufig)
Amazon
Aus der Kategorie Lisa Lustich:
Microsoft-Dateien angesehen (mit OpenOffice)
Clips angesehen (bei fehlenden Video-Codecs auf das Ansehen verzichtet)
Unter OS X 10.4 hatte ich übrigens nur zwei Ports geöffnet:
80 und
110 (oder 25?)
Bei 10.5 habe ich diese Funktion bisher nicht gefunden.
Vielleicht hat noch jemand einen Tip für mich ...
es sieht so aus als ob ich meinen iMac "plattmachen" muss! :-c
Irgendein Trojaner hat sich bei mir eingenistet.
Little Snitch meldet Verbindungen nach:
.net
.ru (Russland)
.bg (Bulgarien?)
.es (Spanien)
.it (Italien)
.tr (Türkei)
Was habe ich gemacht?
Programme installiert:
GrahicConverter (von MacLife-CD)
OpenOffice (von openoffice.org)
GIMP (von gimp.org)
VLC-Player (von videolan.org)
ClamXAV (von clamxav.com) ja ich habe ein Herz für Windows-User
LittleSnitch (von softonic.de)
Internetseiten besucht:
Apfeltalk
Wikipedia
Google (zwangsläufig)
Amazon
Aus der Kategorie Lisa Lustich:
Microsoft-Dateien angesehen (mit OpenOffice)
Clips angesehen (bei fehlenden Video-Codecs auf das Ansehen verzichtet)
Unter OS X 10.4 hatte ich übrigens nur zwei Ports geöffnet:
80 und
110 (oder 25?)
Bei 10.5 habe ich diese Funktion bisher nicht gefunden.
Vielleicht hat noch jemand einen Tip für mich ...
2003-2024 Apfeltalk | Made on a Mac