Scusate il tono drammatico, ma ci sono rimasto davvero male. Non mi era mai successo prima una cosa simile e non so di preciso quello che mi è capitato. A quanto ne so i segnali eranp proprio quelli della presenza di un hacker.
Vi racconto. Ieri sera stavo tranquillamente navigando in un forum (ndr. ho iniziato da qualche giorno ad usare firefox) quando il cursore del mouse ha iniziato a fare capricci. Mi compariva il cerchietto con le frecce per lo scorrimento automatico (come quando si preme la rotellina centrale), ma io non lo premevo affatto. la prima cosa che ho pensato è che il mouse stesse dando segnali d'usura; niente di grave è un mouse da 5 €... ma poi i segnali sono diventati più strani. Quardando la barra in alto ho visto che la stessa pagina che stavo leggendo si era riprodotta decine di volte senza che io avessi fatto nulla per generarle. Ho chiuso tutte le pagine in eccesso agevolmente e ho continuato la navigazione un pò più preoccupato di prima. A quel punto il mio nuovo capro espiatorio era Firefox che dava in ciampanelle. Dopo qualche secondo le pagine si sono riprodotte come prima e ho pensato bene di uscire dal browser e vedere un pò quello che stava succedendo. Solo allora ho avuto la certezza di quello che stava sucecdendo, magicamente il cursore del mouse ha iniziato a muoversi da solo sul desktop in direzione della barra di menù in alto. Ho reagito d'istinti cercando di portarmi sull'icona di connessione che tengo fissa sul Dock, e un con pò di fatica (io tiravo da una parte, lui dall'altra) ci sono riuscito. Mi sono scollegato e tutto è tornato come prima.
Ora mi chiedo: cos'è stato? A me pare un attacco, per voi?
Spero che voi abbiate spiegazioni meno preoccupanti, purtroppo io col mac ci lavoro e anche se non ho materiale di valore, comunque la sua perita o danneggiamento mi provocherebbe dei problemi seri.
Nel caso i miei sospetti fossero confermati, come mi posso difendere? E ancora meglio, posso scoprire chi cappero era a farmi lo scherzetto?

Vi ringrazio anticipatamente, e mi scuso per la lunghezza del post.

Cavolo, a me una cosa del genere era successa solo dopo aver fatto partire un eseguibile che mi aveva mandato un amico, per poi scorpire che era un trojan... Insomma uno scherzo di cattivo gusto che durò anche abbastanza a lungo, e mi ricordo che mi aveva fatto venire un angoscia di "violazione" non da poco.
Ma soprattutto... era un exe, ed era win.

Lascio la parola a qualche guru, a me non viene niente in mente apparte dirti di installare Little Snitch (che funge da firewall addizionale chiedendoti il permesso ogni volta che un'applicazione tenta di accedere a internet...)

In bocca all'hacker

Vai in Preferenze di sistema -> Condivisione e guarda se hai spuntata la casella relativa alla voce Apple Remote Desktop. Se sì, togli la spunta. Apple Remote Desktop attiva il servizio VNC Server, che serve per controllare da remoto un pc. Poi vai nell'etichetta Firewall e controlla se il firewall è attivo. Se no, attivalo.
Facci sapere.

Apple remote Desktop non era spuntata e il firewall era Attivo...

Stamani ho provato a fare anche una scansione antivirus con ClamXav (vecchia abitudine da utente Win) ma chiaramente non rileva nulla.

Non credo sia successo nulla, ma non sono più tranquillo. Prima ho omesso una cosa, non so se è importante: la mia connessione è Gprs.

Fai una cosa allora, controlla il log del Firewall. Lo puoi controllare cliccando su Avanzate nel menù dove si configura il firewall. Da lì clicca su resoconto firewall e guarda se vedi qualche numero strano relativo a ieri sera.

Scusa kalebbo, non riesco a individuare il menù di configurazione del Firewall. Nella finestra che ho consultato prima per verificare il Firewall la voce Avanzate non c'è...

Preferenze di sistema -> Condivisione -> Firewall -> in basso a destra c'è un pulsante chiamato Avanzate -> Apri resoconto.

Io uso OS X 10.4.6 , ma son sicuro che c'era anche prima questo pulsante.

Non c'è...io ho il 10.3.9, l'icona più in basso a destra che ho è l'help...

Allora fallo manualmente: apri il terminale e scrivi

$ cd /var/log/
$ open -a TextEdit ipfw.log


Vedi se riesci a districarti, non è proprio semplicissimo.

Ho fatto come mi hai detto (mi è sembrato di tornare al DOS) ma mi si apre una finestrella bianca intitolata ipfw.log, ma dentro non c'è nulla...

Forse hai disabilitato il demone di logging. A sto punto non so più che dirti :muro:

In che senso? Posso rimediare? :confused:


Ah, forse ho capito. Vuoi dire che ho cancellato le tracce delle precedenti attività di navigazione?

Mi pare strano...

Una domada: il carattere iniziale prima di cd /var/log ecc... è il dollaro di fine promt o no?

Il demone di logging è quello responsabile di creare appunto i log di alcune componenti del sistema, come ad esempio il server grafico, il firewall ecc.
Comunque, vai di nuovo in /var/log e poi scrivi $ ls .
Vedi se hai qualche file di log che comincia per ipfw

Mi pare di sì:

CDIS.custom lpr.log system.log.2.gz
OSInstall.custom mail.log system.log.3.gz
cups monthly.out system.log.4.gz
daily.out netinfo.log system.log.5.gz
fax ppp system.log.6.gz
ftp.log ppp.log system.log.7.gz
httpd sa windowserver.log
install.log samba windowserver_last.log
install.log.0.gz secure.log wtmp
ipfw.log system.log wtmp.0.gz
lastlog system.log.0.gz
lookupd.log system.log.1.gz

e aprendo di nuovo quel ipfw.log te lo dà comunque vuoto?

Si...! :confused:

Si...! :confused:
vedo che hai un vecchio log zippato
fai sto comando "ls -la"
ed incollaci il risultato, così vediamo l'ultima modifica di quel file :)

Dunque, dalla sottodirectiry vr/log il risultato è questo:


drwxr-xr-x 36 root wheel 1224 17 Apr 03:15 .
drwxr-xr-x 20 root wheel 680 18 Apr 13:24 ..
-rw-r--r-- 1 root wheel 17 24 Jun 2005 CDIS.custom
-rw-r--r-- 1 root wheel 52 24 Jun 2005 OSInstall.custom
drwxr-xr-x 5 root wheel 170 27 Mar 00:02 cups
-rw-r--r-- 1 root wheel 15310 17 Apr 03:15 daily.out
drwxr-xr-x 2 root wheel 68 13 May 2004 fax
-rw-r----- 1 root admin 0 9 Dec 2003 ftp.log
drwxr-xr-x 2 root wheel 68 14 Jun 2004 httpd
-rw-r----- 1 root admin 1253 4 Mar 13:53 install.log
-rw-r--r-- 1 root admin 19351 18 Feb 20:19 install.log.0.gz
-rw-r----- 1 root admin 0 9 Dec 2003 ipfw.log
-rw-r----- 1 root admin 14056 18 Apr 16:21 lastlog
-rw-r----- 1 root admin 0 9 Dec 2003 lookupd.log
-rw-r----- 1 root admin 0 9 Dec 2003 lpr.log
-rw-r----- 1 root admin 1197 17 Apr 03:15 mail.log
-rw-r--r-- 1 root wheel 5204 1 Mar 05:30 monthly.out
-rw-r----- 1 root admin 837 15 Apr 16:28 netinfo.log
drwxr-xr-x 2 root wheel 68 14 Jun 2004 ppp
-rw-rw-rw- 1 root wheel 276614 18 Apr 15:06 ppp.log
drwxr-xr-x 2 root wheel 68 14 Jun 2004 sa
drwxr-xr-x 2 root wheel 68 14 Jun 2004 samba
-rw------- 1 root admin 426690 18 Apr 15:34 secure.log
-rw-r----- 1 root admin 75304 18 Apr 15:06 system.log
-rw-r----- 1 root admin 23593 17 Apr 03:15 system.log.0.gz
-rw-r----- 1 root admin 3628 11 Apr 03:15 system.log.1.gz
-rw-r----- 1 root admin 49805 10 Apr 03:15 system.log.2.gz
-rw-r----- 1 root admin 12257 30 Mar 03:15 system.log.3.gz
-rw-r----- 1 root admin 52683 27 Mar 03:15 system.log.4.gz
-rw-r----- 1 root admin 19759 10 Mar 03:15 system.log.5.gz
-rw-r----- 1 root admin 1809 1 Mar 03:15 system.log.6.gz
-rw-r----- 1 root admin 156767 28 Feb 03:15 system.log.7.gz
-rw-r----- 1 root wheel 22287 18 Apr 15:54 windowserver.log
-rw-r----- 1 root wheel 287470 16 Apr 20:04 windowserver_last.log
-rw-r----- 1 root admin 14832 18 Apr 16:21 wtmp
-rw-r--r-- 1 root admin 4946 27 Feb 14:31 wtmp.0.gz

Spero vivamente sia leggibile.

-rw-r----- 1 root admin 0 9 Dec 2003 ipfw.log

è vuoto e non è mai stati usato a quanto pare..
sicuro di aver il logging attivo nel fw?
mi sembra moooolto strano :confused:

Non vorrei sparare delle panzane... ma.... per loggarsi con Remote Desktop non si deve sapere nome utente e password dell'user abilitato?
E comunque per potersi loggare al Mac ( per esempio via ssh, sempre se lui l'avessa lasciata per sbaglio abilitata ) non si deve lo stesso sapere nome utente e password dell'utente?
Per di piu' avendo una connessione Gprs, non dovrebbe avere un software sul suo Mac che comunichi ogni cambio di Ip pubblico al malintenzionato?

Mi permetto di aggiungere un'altra possibile causa: hai mica una tavoletta grafica attaccata?
Perché a volte io per sbaglio sposto il pennino dalla sua posizione di "riposo", finisce con la punta sulla tavoletta e mi "trascina" la freccia in una direzione anche se tengo il mouse fermo :p Le prime volte non capivo cosa diavolo succedesse al computer, poi me ne sono accorto e ora semplicemente sto' più attento.

Altra possibilità: eri in un posto dove c'era altra gente (nell'arco di 50-100m, per capirci)? Potrebbero aver sfruttato la connessione bluetooth (sempre che fosse attiva) con un cellulare/palmare/laptop per usarli come dispositivi di input. Io lo faccio col mio cellulare quando devo fare delle presentazioni.

A parte questo, restano le possibilità di Remote Desktop o di VNC, ma che da quello che hai detto non sono attive (controlla anche nelle preferenze di sistema, sezione utenti, che non ci sia qualche app che non conosci fra quelle in esecuzione automatica all'avvio del computer).

Come trojan che faceva una roba simile ci sarebbe il vetusto sub7, che avevano sviluppato anche per mac (ma è talmente vecchio che mi pare fosse per os9, non per osx).

Passando alla connessione, hai detto che hai un GPRS. Quindi fai connessioni relativamente corte, e hai IP dinamico. L'unico modo che avrebbero di rintracciarti è se tu avessi un programma che gli invia ad ogni tua connessione il nuovo IP che ti è stato assegnato (dai un'occhiata alla posta inviata, per controllare che non ci sia nulla del genere). Oppure il programmino potrebbe inviarla direttamente, ma allora con Little Snitch te ne accorgeresti facilmente.

oltretutto il gprs invia ad 1,2KB al secondo. come potrebbe gestire il pc aspettando per ore lo screen? è più probabile si tratti di uno scherzetto via bluetooth o wifi.

Allora, ricapitolando: non sono sicuro di capire tutto quello che mi avete detto, ma ci provo :p

Partiamo dalle cose sicure: non ho una tavoletta grafica, quindi depenniamo questa possibilità :)

Per quanto riguarda il Bluetooth, non ho trovato nessuna altra sincronizzazione con il mio powerbook se non il mio cellulare. Mi chiedo, ma per poterlo gestire via bluetooth non sarebbe necessario che io prima accettasi la sincronizzazione con quella periferica? Tra l'altro il poblema è scomparso quando mi sono sconnesso, quindi la via d'accessp doveva essere quella.

La mia connesione è una semiflat, per cui le mie connessioni sono abbastanza lunghe; per di più la velocità di connessione non è male (ca. 6-7 Kb/s).

@ MacNeo Non ho capito dove devo guardare: inche senso preferenze -> sezione utenti?

@Massimo87 E' possibile (molto possibile) che mentre smanettavo per capire come funzionasse abbia disabilitato il firewall. Forse è per quello che non ti risulta dal resoconto. Ma prima del fattaccio era attivo ne sono sicuro.

Riguardo alla posta elettronica forse qualcosa potrebbe esserci. Da un pò di tempo mi arrivano mail spazzatura con pubblicità assurde (Rolex, pillole miracolose ecc..) con cotenuto simile ma da utenti diversi. La cosa strana è che alcune di queste mi giungono come risposte (Re [10], Re [23]), ma io mi sono sempre guardato bene dal rispondere. Perchè?
Potrebbero essere dei trojan? Come faccio a scoprirlo?

si ma è 1,2k in UP. quindi per vedere uno screen del tuo desktop passano mesi.


quanto al firewall abilita il log (mi pare si chiami "resoconto")

bluetooth è un protocollo molto comodo, ma lungi dall'essere sicuro.
è pieno di hack e hackini in giro che permettono di farci tante cose, non mi stupirei se avessero trovato il modo di evitare che sia necessario abbinare un dispositivo per poterlo usare.
basta vedere le cavolate che si fanno coi cellulari (vedi sbirciare nelle rubriche altrui, come la famosa storia della Paris Hilton).

Per l'avvio dei programmi, intendevo che quando apri Preferenze di Sistema, dovresti avere una sezione degli Utenti, nei quali poi selezioni il tuo e vedi se gli sono stati abbinati in esecuzione automatica dei programmi.

Riguardo alla posta, io avevo detto "Posta inviata da te", non posta ricevuta. Nella posta ricevuta è normale trovare ogni genere di vaccata esistente: un po' è puro spam, un po' sono virus (ma di altra gente con win che magari ha te in rubrica quindi viene pescato pure il tuo indirizzo, non sei tu il reale mittente).

quanto al firewall abilita il log (mi pare si chiami "resoconto")Mi pare abbia detto che lui non usa ancora 10.4, il firewall su 10.3 non era così facile da controllare se ricordo bene.

quanto al firewall abilita il log (mi pare si chiami "resoconto")


Come faccio ad abilitare il log del firewall? Tra l'altro sembra che io abbia una versione molto diversa della finsetra del Firewall rispetto a quella presente sul Tiger.
Pensa che non ho neanche il pulsante "Avanzate"...

No, non mi pare di non vedere nessuna sezione Utenti. Semmai c'è Account.. è quella?

Se intendi quella in "Avvia con" è abbinato IcallAlarmScheduler.

sì intendevo quello, e iCallAlarmScheduler è totalmente innoquo :)

Ragazzi vi ringrazio dell'aiuto. Spero che una cosa simile non mi riaccada. La possibilità che sia stato un BT la vedo poco probabile perchè vivo in un condominio di due appartamenti (sopra/sotto) e non credo che i miei vicini siano Hacker. A meno che la portata del BT non sia superore ai 15 metri. Grazie ancora. ;)

Ragazzi vi ringrazio dell'aiuto. Spero che una cosa simile non mi riaccada. La possibilità che sia stato un BT la vedo poco probabile perchè vivo in un condominio di due appartamenti (sopra/sotto) e non credo che i miei vicini siano Hacker. A meno che la portata del BT non sia superore ai 15 metri. Grazie ancora. ;)


il 2.0 EDR dei powerbook fa minimo 20mt mi pare.

bluetooth1 non supera i 10-15m
bluetooth2 adovrebbe arrivare anche a 50m mi pare

comunque stai sereno: se un hacker vero volesse entrare in un computer, la possibilità di muovere il mouse è l'ultima cosa che gli interessa.