DBertelsbeck
Tiefenblüte
- Registriert
- 20.04.04
- Beiträge
- 6.421
-
Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
Näheres könnt Ihr hier nachlesen: AGB-Änderung -
Das neue Jahr beginnt wie das alte - natürlich mit einem neuen Fotowettbewerb! Auch im Monat Januar freuen wir uns auf Eure Einsendungen. Wie es weitergeht, wisst Ihr ja - Hier geht es lang --> Klick
Little Snitch Helper-Thread
- Ersteller RedCloud
- Erstellt am
Das zeigt mir LS im Verbindungsverlauf. Bin die ganze Zeit am Sperren von Verbindungen.
Wenn ich meinen iMac neu aufsetzten würde, wäre das Problem wahrscheinlich noch immer bzw. bald wieder da.
Kannst Du einem Dummie wie mir helfen?
DBertelsbeck
Tiefenblüte
- Registriert
- 20.04.04
- Beiträge
- 6.421
Die von LittleSnitch gemeldeten Verbindungen.
Siehe Post #60
Inzwischen ist .pl (Polen) auch dabei.
Siehe Post #60
Inzwischen ist .pl (Polen) auch dabei.
Und ich Idiot dachte bisher, den gäbe es von obdev.at ?
Was verzweifelte Hilfeschreie des smbd in die gesamte weite Welt betrifft, sollte man sich nicht gleich in Paranoia baden. Das lässt sich bei dieser Protokollfamilie sehr einfach von aussen triggern. Einfach sämtliche Verbindungen von nmblookup auf das lokale Subnetz einschränken und die Sache hat sich.
apfelputzer
Jamba
- Registriert
- 12.05.09
- Beiträge
- 59
Keine Panik
Bevor Du deinen iMac neu aufsetzt, lohnt sich vielleicht auch eine Kontrolle der DNS. Diese
sollte die deines Routers sein. Wenn nicht, hilft eventuell die folgende Anleitung weiter.
Eine Änderung der DNS kann nicht ohne weiteres festgestellt werden, so dass der Trojaner
sein Werk ungestört fortsetzen kann. Ob man sich OSX.RSPlug.A eingefangen hat, lässt sich
am einfachsten so feststellen:
* wenn das Verzeichnis /Library/Internet Plug-Ins (das im Top Level des OSX, nicht das
Library-Verzeichnis im User-Directory) eine Datei namens plugins.settings enthält, weist
das auf eine Infektion hin. Da dieser Name natürlich ebenfalls in Zukunft geändert werden
kann, sollte man weitere Punkte prüfen:
* man öffne das Terminal (im Verzeichnis Programme/Dienstprogramme) und tippe dort ein:
sudo crontab -l. Das Administrator-Passwort wird abgefragt, und das Ergebnis dieser Suche
nach cron-Jobs gelistet.
Wenn sich darunter * * * * * “/Library/Internet Plug-Ins/plugins.settings">/dev/null 2>&1
befindet, hat man sich den Schädling eingefangen.
Sollte das System befallen sein, kann OSX.RSPlug.A wie folgt entfernt werden:
* man lösche die Datei plugins.settings im Verzeichnis /Library/Internet Plug-Ins und leere
den Papierkorb.
* man tippe sudo crontab -r ins Terminal ein und bestätige durch Angabe des Admin-Pass-
worts. Die Abfrage sudo crontab -l sollte mit crontab: no crontab for root bestätigen, dass
der cron-Job gelöscht wurde.
* man öffne die Systemeinstellungen, öffne dort »Netzwerk« und dort den Tab »DNS«. Man merke sich die dort stehende Angabe, lösche sie und tippe sie erneut ein.
* man reboote den Mac
Wie bei dem mythologischen Holzpferd, mit dem die Griechen die Trojaner überlisteten, sind
die Erfolgsaussichten von OSX.RSPlug.A gut, wenn der Angegriffene seine Neugierde nicht im
Zaum halten kann. Die schon abgegriffene Warnung gilt immer noch: niemals eine Software
aus einer unklaren Quelle installeren - besonders wenn sie als Installer-Paket erscheint und
nach dem Administrator-Passwort fragt. OSX.RSPlug.A scheint nach den vorliegenden Infor-
mationen ein echter, gefährlicher Schädling zu sein, der möglicherweise nicht nur auf Porno-
seiten auftauchen wird, sondern auch auf Videoseiten oder anderen hochfrequentierten
Plätzen des Web.
Bevor Du deinen iMac neu aufsetzt, lohnt sich vielleicht auch eine Kontrolle der DNS. Diese
sollte die deines Routers sein. Wenn nicht, hilft eventuell die folgende Anleitung weiter.
Eine Änderung der DNS kann nicht ohne weiteres festgestellt werden, so dass der Trojaner
sein Werk ungestört fortsetzen kann. Ob man sich OSX.RSPlug.A eingefangen hat, lässt sich
am einfachsten so feststellen:
* wenn das Verzeichnis /Library/Internet Plug-Ins (das im Top Level des OSX, nicht das
Library-Verzeichnis im User-Directory) eine Datei namens plugins.settings enthält, weist
das auf eine Infektion hin. Da dieser Name natürlich ebenfalls in Zukunft geändert werden
kann, sollte man weitere Punkte prüfen:
* man öffne das Terminal (im Verzeichnis Programme/Dienstprogramme) und tippe dort ein:
sudo crontab -l. Das Administrator-Passwort wird abgefragt, und das Ergebnis dieser Suche
nach cron-Jobs gelistet.
Wenn sich darunter * * * * * “/Library/Internet Plug-Ins/plugins.settings">/dev/null 2>&1
befindet, hat man sich den Schädling eingefangen.
Sollte das System befallen sein, kann OSX.RSPlug.A wie folgt entfernt werden:
* man lösche die Datei plugins.settings im Verzeichnis /Library/Internet Plug-Ins und leere
den Papierkorb.
* man tippe sudo crontab -r ins Terminal ein und bestätige durch Angabe des Admin-Pass-
worts. Die Abfrage sudo crontab -l sollte mit crontab: no crontab for root bestätigen, dass
der cron-Job gelöscht wurde.
* man öffne die Systemeinstellungen, öffne dort »Netzwerk« und dort den Tab »DNS«. Man merke sich die dort stehende Angabe, lösche sie und tippe sie erneut ein.
* man reboote den Mac
Wie bei dem mythologischen Holzpferd, mit dem die Griechen die Trojaner überlisteten, sind
die Erfolgsaussichten von OSX.RSPlug.A gut, wenn der Angegriffene seine Neugierde nicht im
Zaum halten kann. Die schon abgegriffene Warnung gilt immer noch: niemals eine Software
aus einer unklaren Quelle installeren - besonders wenn sie als Installer-Paket erscheint und
nach dem Administrator-Passwort fragt. OSX.RSPlug.A scheint nach den vorliegenden Infor-
mationen ein echter, gefährlicher Schädling zu sein, der möglicherweise nicht nur auf Porno-
seiten auftauchen wird, sondern auch auf Videoseiten oder anderen hochfrequentierten
Plätzen des Web.
Der Download-Link ist aber sogar identisch. Danke für den Hinweis!
nmblookup? Habe ich nicht gefunden. *schäm*
Mac OS X Kernel "telefoniert" weiter.
Ist es ratsam dort alle Verbindungen zu untersagen?
Kein Router, nur DSL-Modem.
crontab hat nichts gefunden.
Und:
Anhang anzeigen 48230
Anhang anzeigen 48231
Zuletzt bearbeitet:
Gehört zum vorgegebenen Standardregelsatz von LS.
Ist fürs ganze Inet freigegeben, aber das braucht doch
(Genauer gesagt: Wer das auch nur im eigenen LAN braucht, ist doch schon bloss noch zur Hälfte Mensch...
)
MacMark
Jakob Lebel
- Registriert
- 01.01.05
- Beiträge
- 4.874
Am Eintrag
sieht man, daß Du Windows File Sharing an hast.
Sharing > File Sharing > Options > Share files and folders using SMB
Wenn das aktiv ist, dann läuft der nmbd, sonst nicht.
Code:
nmbd 492 root 6u IPv4 0x70ce298 0t0 UDP *:netbios-ns
nmbd 492 root 7u IPv4 0x70cfb10 0t0 UDP *:netbios-dgmSharing > File Sharing > Options > Share files and folders using SMB
Wenn das aktiv ist, dann läuft der nmbd, sonst nicht.
Zeisel
Spätblühender Taffetapfe
- Registriert
- 07.08.07
- Beiträge
- 2.809
Ich habe FileSharing nicht aktiv (für keinen Benutzer) und dennoch folgende Einträge:
nmbd 151 root 6u IPv4 0x5f252a0 0t0 UDP *:netbios-ns
nmbd 151 root 7u IPv4 0x5f25be8 0t0 UDP *:netbios-dgm
nmbd 151 root 8u IPv4 0x5f25960 0t0 UDP ThosMacBook:netbios-ns
nmbd 151 root 9u IPv4 0x5f261d0 0t0 UDP ThosMacBook:netbios-dgm
Vielleicht parallels? Das kann ich zur Zeit (um das zu testen) nur nicht abschalten, da eine Anwendung (mit Netzzugriff) läuft...
Zeisel
Spätblühender Taffetapfe
- Registriert
- 07.08.07
- Beiträge
- 2.809
Ich habe das Programm nicht getestet, nur davon gehört, und einige Trojaner sollen u.a. von der Software erkannt werden, auch der Trojan.OSX.RSPlug.A, der weiter oben schon genannt wurde:
http://www.iantivirus.com/threats/index/query/T/
Das Programm solltest Du vielleicht mal über Deinen Mac schauen lassen...
Zeisel
Spätblühender Taffetapfe
- Registriert
- 07.08.07
- Beiträge
- 2.809
2003-2024 Apfeltalk | Made on a Mac