Credo di aver subito un attacco...

Wollando · 18-04-2006, 13:46

Scusate il tono drammatico, ma ci sono rimasto davvero male. Non mi era mai successo prima una cosa simile e non so di preciso quello che mi è capitato. A quanto ne so i segnali eranp proprio quelli della presenza di un hacker.
Vi racconto. Ieri sera stavo tranquillamente navigando in un forum (ndr. ho iniziato da qualche giorno ad usare firefox) quando il cursore del mouse ha iniziato a fare capricci. Mi compariva il cerchietto con le frecce per lo scorrimento automatico (come quando si preme la rotellina centrale), ma io non lo premevo affatto. la prima cosa che ho pensato è che il mouse stesse dando segnali d'usura; niente di grave è un mouse da 5 €... ma poi i segnali sono diventati più strani. Quardando la barra in alto ho visto che la stessa pagina che stavo leggendo si era riprodotta decine di volte senza che io avessi fatto nulla per generarle. Ho chiuso tutte le pagine in eccesso agevolmente e ho continuato la navigazione un pò più preoccupato di prima. A quel punto il mio nuovo capro espiatorio era Firefox che dava in ciampanelle. Dopo qualche secondo le pagine si sono riprodotte come prima e ho pensato bene di uscire dal browser e vedere un pò quello che stava succedendo. Solo allora ho avuto la certezza di quello che stava sucecdendo, magicamente il cursore del mouse ha iniziato a muoversi da solo sul desktop in direzione della barra di menù in alto. Ho reagito d'istinti cercando di portarmi sull'icona di connessione che tengo fissa sul Dock, e un con pò di fatica (io tiravo da una parte, lui dall'altra) ci sono riuscito. Mi sono scollegato e tutto è tornato come prima.
Ora mi chiedo: cos'è stato? A me pare un attacco, per voi?
Spero che voi abbiate spiegazioni meno preoccupanti, purtroppo io col mac ci lavoro e anche se non ho materiale di valore, comunque la sua perita o danneggiamento mi provocherebbe dei problemi seri.
Nel caso i miei sospetti fossero confermati, come mi posso difendere? E ancora meglio, posso scoprire chi cappero era a farmi lo scherzetto?

Vi ringrazio anticipatamente, e mi scuso per la lunghezza del post.

ik.Link · 18-04-2006, 14:11

Cavolo, a me una cosa del genere era successa solo dopo aver fatto partire un eseguibile che mi aveva mandato un amico, per poi scorpire che era un trojan... Insomma uno scherzo di cattivo gusto che durò anche abbastanza a lungo, e mi ricordo che mi aveva fatto venire un angoscia di "violazione" non da poco.
Ma soprattutto... era un exe, ed era win.

Lascio la parola a qualche guru, a me non viene niente in mente apparte dirti di installare Little Snitch (che funge da firewall addizionale chiedendoti il permesso ogni volta che un'applicazione tenta di accedere a internet...)

In bocca all'hacker

kalebbo · 18-04-2006, 14:13

Vai in Preferenze di sistema -> Condivisione e guarda se hai spuntata la casella relativa alla voce Apple Remote Desktop. Se sì, togli la spunta. Apple Remote Desktop attiva il servizio VNC Server, che serve per controllare da remoto un pc. Poi vai nell'etichetta Firewall e controlla se il firewall è attivo. Se no, attivalo.
Facci sapere.

Wollando · 18-04-2006, 14:23

Apple remote Desktop non era spuntata e il firewall era Attivo...

Stamani ho provato a fare anche una scansione antivirus con ClamXav (vecchia abitudine da utente Win) ma chiaramente non rileva nulla.

Non credo sia successo nulla, ma non sono più tranquillo. Prima ho omesso una cosa, non so se è importante: la mia connessione è Gprs.

kalebbo · 18-04-2006, 14:31

Fai una cosa allora, controlla il log del Firewall. Lo puoi controllare cliccando su Avanzate nel menù dove si configura il firewall. Da lì clicca su resoconto firewall e guarda se vedi qualche numero strano relativo a ieri sera.

Wollando · 18-04-2006, 14:42

Scusa kalebbo, non riesco a individuare il menù di configurazione del Firewall. Nella finestra che ho consultato prima per verificare il Firewall la voce Avanzate non c'è...

kalebbo · 18-04-2006, 14:52

Preferenze di sistema -> Condivisione -> Firewall -> in basso a destra c'è un pulsante chiamato Avanzate -> Apri resoconto.

Io uso OS X 10.4.6 , ma son sicuro che c'era anche prima questo pulsante.

Wollando · 18-04-2006, 14:56

Non c'è...io ho il 10.3.9, l'icona più in basso a destra che ho è l'help...

kalebbo · 18-04-2006, 15:05

Allora fallo manualmente: apri il terminale e scrivi

Codice:

$ cd /var/log/
$ open -a TextEdit ipfw.log

Vedi se riesci a districarti, non è proprio semplicissimo.

Wollando · 18-04-2006, 15:22

Ho fatto come mi hai detto (mi è sembrato di tornare al DOS) ma mi si apre una finestrella bianca intitolata ipfw.log, ma dentro non c'è nulla...

kalebbo · 18-04-2006, 15:29

Forse hai disabilitato il demone di logging. A sto punto non so più che dirti

Wollando · 18-04-2006, 15:34

In che senso? Posso rimediare?

Ah, forse ho capito. Vuoi dire che ho cancellato le tracce delle precedenti attività di navigazione?

Mi pare strano...

Una domada: il carattere iniziale prima di cd /var/log ecc... è il dollaro di fine promt o no?

kalebbo · 18-04-2006, 15:41

Il demone di logging è quello responsabile di creare appunto i log di alcune componenti del sistema, come ad esempio il server grafico, il firewall ecc.
Comunque, vai di nuovo in /var/log e poi scrivi $ ls .
Vedi se hai qualche file di log che comincia per ipfw

Wollando · 18-04-2006, 15:43

Mi pare di sì:

CDIS.custom lpr.log system.log.2.gz
OSInstall.custom mail.log system.log.3.gz
cups monthly.out system.log.4.gz
daily.out netinfo.log system.log.5.gz
fax ppp system.log.6.gz
ftp.log ppp.log system.log.7.gz
httpd sa windowserver.log
install.log samba windowserver_last.log
install.log.0.gz secure.log wtmp
ipfw.log system.log wtmp.0.gz
lastlog system.log.0.gz
lookupd.log system.log.1.gz

kalebbo · 18-04-2006, 15:52

e aprendo di nuovo quel ipfw.log te lo dà comunque vuoto?

Wollando · 18-04-2006, 15:55

Si...!

Massimo87 · 18-04-2006, 16:14

Quote:

Originariamente inviato da Wollando

Si...!

vedo che hai un vecchio log zippato
fai sto comando "ls -la"
ed incollaci il risultato, così vediamo l'ultima modifica di quel file

Wollando · 18-04-2006, 16:25

Dunque, dalla sottodirectiry vr/log il risultato è questo:

drwxr-xr-x 36 root wheel 1224 17 Apr 03:15 .
drwxr-xr-x 20 root wheel 680 18 Apr 13:24 ..
-rw-r--r-- 1 root wheel 17 24 Jun 2005 CDIS.custom
-rw-r--r-- 1 root wheel 52 24 Jun 2005 OSInstall.custom
drwxr-xr-x 5 root wheel 170 27 Mar 00:02 cups
-rw-r--r-- 1 root wheel 15310 17 Apr 03:15 daily.out
drwxr-xr-x 2 root wheel 68 13 May 2004 fax
-rw-r----- 1 root admin 0 9 Dec 2003 ftp.log
drwxr-xr-x 2 root wheel 68 14 Jun 2004 httpd
-rw-r----- 1 root admin 1253 4 Mar 13:53 install.log
-rw-r--r-- 1 root admin 19351 18 Feb 20:19 install.log.0.gz
-rw-r----- 1 root admin 0 9 Dec 2003 ipfw.log
-rw-r----- 1 root admin 14056 18 Apr 16:21 lastlog
-rw-r----- 1 root admin 0 9 Dec 2003 lookupd.log
-rw-r----- 1 root admin 0 9 Dec 2003 lpr.log
-rw-r----- 1 root admin 1197 17 Apr 03:15 mail.log
-rw-r--r-- 1 root wheel 5204 1 Mar 05:30 monthly.out
-rw-r----- 1 root admin 837 15 Apr 16:28 netinfo.log
drwxr-xr-x 2 root wheel 68 14 Jun 2004 ppp
-rw-rw-rw- 1 root wheel 276614 18 Apr 15:06 ppp.log
drwxr-xr-x 2 root wheel 68 14 Jun 2004 sa
drwxr-xr-x 2 root wheel 68 14 Jun 2004 samba
-rw------- 1 root admin 426690 18 Apr 15:34 secure.log
-rw-r----- 1 root admin 75304 18 Apr 15:06 system.log
-rw-r----- 1 root admin 23593 17 Apr 03:15 system.log.0.gz
-rw-r----- 1 root admin 3628 11 Apr 03:15 system.log.1.gz
-rw-r----- 1 root admin 49805 10 Apr 03:15 system.log.2.gz
-rw-r----- 1 root admin 12257 30 Mar 03:15 system.log.3.gz
-rw-r----- 1 root admin 52683 27 Mar 03:15 system.log.4.gz
-rw-r----- 1 root admin 19759 10 Mar 03:15 system.log.5.gz
-rw-r----- 1 root admin 1809 1 Mar 03:15 system.log.6.gz
-rw-r----- 1 root admin 156767 28 Feb 03:15 system.log.7.gz
-rw-r----- 1 root wheel 22287 18 Apr 15:54 windowserver.log
-rw-r----- 1 root wheel 287470 16 Apr 20:04 windowserver_last.log
-rw-r----- 1 root admin 14832 18 Apr 16:21 wtmp
-rw-r--r-- 1 root admin 4946 27 Feb 14:31 wtmp.0.gz

Spero vivamente sia leggibile.

Massimo87 · 18-04-2006, 17:22

-rw-r----- 1 root admin 0 9 Dec 2003 ipfw.log

è vuoto e non è mai stati usato a quanto pare..
sicuro di aver il logging attivo nel fw?
mi sembra moooolto strano

xgear91 · 18-04-2006, 17:30

Non vorrei sparare delle panzane... ma.... per loggarsi con Remote Desktop non si deve sapere nome utente e password dell'user abilitato?
E comunque per potersi loggare al Mac ( per esempio via ssh, sempre se lui l'avessa lasciata per sbaglio abilitata ) non si deve lo stesso sapere nome utente e password dell'utente?
Per di piu' avendo una connessione Gprs, non dovrebbe avere un software sul suo Mac che comunichi ogni cambio di Ip pubblico al malintenzionato?

18-04-2006, 13:46	#1
Wollando Member Iscritto dal: Jun 2005 Messaggi: 53	Credo di aver subito un attacco... Scusate il tono drammatico, ma ci sono rimasto davvero male. Non mi era mai successo prima una cosa simile e non so di preciso quello che mi è capitato. A quanto ne so i segnali eranp proprio quelli della presenza di un hacker. Vi racconto. Ieri sera stavo tranquillamente navigando in un forum (ndr. ho iniziato da qualche giorno ad usare firefox) quando il cursore del mouse ha iniziato a fare capricci. Mi compariva il cerchietto con le frecce per lo scorrimento automatico (come quando si preme la rotellina centrale), ma io non lo premevo affatto. la prima cosa che ho pensato è che il mouse stesse dando segnali d'usura; niente di grave è un mouse da 5 €... ma poi i segnali sono diventati più strani. Quardando la barra in alto ho visto che la stessa pagina che stavo leggendo si era riprodotta decine di volte senza che io avessi fatto nulla per generarle. Ho chiuso tutte le pagine in eccesso agevolmente e ho continuato la navigazione un pò più preoccupato di prima. A quel punto il mio nuovo capro espiatorio era Firefox che dava in ciampanelle. Dopo qualche secondo le pagine si sono riprodotte come prima e ho pensato bene di uscire dal browser e vedere un pò quello che stava succedendo. Solo allora ho avuto la certezza di quello che stava sucecdendo, magicamente il cursore del mouse ha iniziato a muoversi da solo sul desktop in direzione della barra di menù in alto. Ho reagito d'istinti cercando di portarmi sull'icona di connessione che tengo fissa sul Dock, e un con pò di fatica (io tiravo da una parte, lui dall'altra) ci sono riuscito. Mi sono scollegato e tutto è tornato come prima. Ora mi chiedo: cos'è stato? A me pare un attacco, per voi? Spero che voi abbiate spiegazioni meno preoccupanti, purtroppo io col mac ci lavoro e anche se non ho materiale di valore, comunque la sua perita o danneggiamento mi provocherebbe dei problemi seri. Nel caso i miei sospetti fossero confermati, come mi posso difendere? E ancora meglio, posso scoprire chi cappero era a farmi lo scherzetto? Vi ringrazio anticipatamente, e mi scuso per la lunghezza del post.

18-04-2006, 14:11	#2
ik.Link Member Iscritto dal: Sep 2002 Città: Roma Messaggi: 82	Cavolo, a me una cosa del genere era successa solo dopo aver fatto partire un eseguibile che mi aveva mandato un amico, per poi scorpire che era un trojan... Insomma uno scherzo di cattivo gusto che durò anche abbastanza a lungo, e mi ricordo che mi aveva fatto venire un angoscia di "violazione" non da poco. Ma soprattutto... era un exe, ed era win. Lascio la parola a qualche guru, a me non viene niente in mente apparte dirti di installare Little Snitch (che funge da firewall addizionale chiedendoti il permesso ogni volta che un'applicazione tenta di accedere a internet...) In bocca all'hacker __________________ "Frase ad effetto a piacere". "Caratteristiche del mio computer" Gh!

18-04-2006, 15:05	#9
kalebbo Senior Member Iscritto dal: Jan 2005 Città: Roma Messaggi: 481	Allora fallo manualmente: apri il terminale e scrivi Codice: $ cd /var/log/ $ open -a TextEdit ipfw.log Vedi se riesci a districarti, non è proprio semplicissimo.

18-04-2006, 15:34	#12
Wollando Member Iscritto dal: Jun 2005 Messaggi: 53	In che senso? Posso rimediare? Ah, forse ho capito. Vuoi dire che ho cancellato le tracce delle precedenti attività di navigazione? Mi pare strano... Una domada: il carattere iniziale prima di cd /var/log ecc... è il dollaro di fine promt o no? Ultima modifica di Wollando : 18-04-2006 alle 15:41.

18-04-2006, 17:22	#19
Massimo87 Senior Member Iscritto dal: Aug 2002 Città: Roma Messaggi: 8667	-rw-r----- 1 root admin 0 9 Dec 2003 ipfw.log è vuoto e non è mai stati usato a quanto pare.. sicuro di aver il logging attivo nel fw? mi sembra moooolto strano __________________ *Powered by: ~ Surface Pro 4 ~ MacBook Pro 16” 2019 ~ iPhone 11 Pro Max ~ PS4 Pro*

18-04-2006, 14:13	#3
kalebbo Senior Member Iscritto dal: Jan 2005 Città: Roma Messaggi: 481	Vai in Preferenze di sistema -> Condivisione e guarda se hai spuntata la casella relativa alla voce Apple Remote Desktop. Se sì, togli la spunta. Apple Remote Desktop attiva il servizio VNC Server, che serve per controllare da remoto un pc. Poi vai nell'etichetta Firewall e controlla se il firewall è attivo. Se no, attivalo. Facci sapere.

18-04-2006, 14:23	#4
Wollando Member Iscritto dal: Jun 2005 Messaggi: 53	Apple remote Desktop non era spuntata e il firewall era Attivo... Stamani ho provato a fare anche una scansione antivirus con ClamXav (vecchia abitudine da utente Win) ma chiaramente non rileva nulla. Non credo sia successo nulla, ma non sono più tranquillo. Prima ho omesso una cosa, non so se è importante: la mia connessione è Gprs.

18-04-2006, 14:31	#5
kalebbo Senior Member Iscritto dal: Jan 2005 Città: Roma Messaggi: 481	Fai una cosa allora, controlla il log del Firewall. Lo puoi controllare cliccando su Avanzate nel menù dove si configura il firewall. Da lì clicca su resoconto firewall e guarda se vedi qualche numero strano relativo a ieri sera.

18-04-2006, 14:42	#6
Wollando Member Iscritto dal: Jun 2005 Messaggi: 53	Scusa kalebbo, non riesco a individuare il menù di configurazione del Firewall. Nella finestra che ho consultato prima per verificare il Firewall la voce Avanzate non c'è...

18-04-2006, 14:52	#7
kalebbo Senior Member Iscritto dal: Jan 2005 Città: Roma Messaggi: 481	Preferenze di sistema -> Condivisione -> Firewall -> in basso a destra c'è un pulsante chiamato Avanzate -> Apri resoconto. Io uso OS X 10.4.6 , ma son sicuro che c'era anche prima questo pulsante.

18-04-2006, 14:56	#8
Wollando Member Iscritto dal: Jun 2005 Messaggi: 53	Non c'è...io ho il 10.3.9, l'icona più in basso a destra che ho è l'help...

18-04-2006, 15:22	#10
Wollando Member Iscritto dal: Jun 2005 Messaggi: 53	Ho fatto come mi hai detto (mi è sembrato di tornare al DOS) ma mi si apre una finestrella bianca intitolata ipfw.log, ma dentro non c'è nulla...

18-04-2006, 15:29	#11
kalebbo Senior Member Iscritto dal: Jan 2005 Città: Roma Messaggi: 481	Forse hai disabilitato il demone di logging. A sto punto non so più che dirti

18-04-2006, 15:41	#13
kalebbo Senior Member Iscritto dal: Jan 2005 Città: Roma Messaggi: 481	Il demone di logging è quello responsabile di creare appunto i log di alcune componenti del sistema, come ad esempio il server grafico, il firewall ecc. Comunque, vai di nuovo in /var/log e poi scrivi $ ls . Vedi se hai qualche file di log che comincia per ipfw

18-04-2006, 15:43	#14
Wollando Member Iscritto dal: Jun 2005 Messaggi: 53	Mi pare di sì: CDIS.custom lpr.log system.log.2.gz OSInstall.custom mail.log system.log.3.gz cups monthly.out system.log.4.gz daily.out netinfo.log system.log.5.gz fax ppp system.log.6.gz ftp.log ppp.log system.log.7.gz httpd sa windowserver.log install.log samba windowserver_last.log install.log.0.gz secure.log wtmp ipfw.log system.log wtmp.0.gz lastlog system.log.0.gz lookupd.log system.log.1.gz

18-04-2006, 15:52	#15
kalebbo Senior Member Iscritto dal: Jan 2005 Città: Roma Messaggi: 481	e aprendo di nuovo quel ipfw.log te lo dà comunque vuoto?

18-04-2006, 15:55	#16
Wollando Member Iscritto dal: Jun 2005 Messaggi: 53	Si...!

18-04-2006, 16:25	#18
Wollando Member Iscritto dal: Jun 2005 Messaggi: 53	Dunque, dalla sottodirectiry vr/log il risultato è questo: drwxr-xr-x 36 root wheel 1224 17 Apr 03:15 . drwxr-xr-x 20 root wheel 680 18 Apr 13:24 .. -rw-r--r-- 1 root wheel 17 24 Jun 2005 CDIS.custom -rw-r--r-- 1 root wheel 52 24 Jun 2005 OSInstall.custom drwxr-xr-x 5 root wheel 170 27 Mar 00:02 cups -rw-r--r-- 1 root wheel 15310 17 Apr 03:15 daily.out drwxr-xr-x 2 root wheel 68 13 May 2004 fax -rw-r----- 1 root admin 0 9 Dec 2003 ftp.log drwxr-xr-x 2 root wheel 68 14 Jun 2004 httpd -rw-r----- 1 root admin 1253 4 Mar 13:53 install.log -rw-r--r-- 1 root admin 19351 18 Feb 20:19 install.log.0.gz -rw-r----- 1 root admin 0 9 Dec 2003 ipfw.log -rw-r----- 1 root admin 14056 18 Apr 16:21 lastlog -rw-r----- 1 root admin 0 9 Dec 2003 lookupd.log -rw-r----- 1 root admin 0 9 Dec 2003 lpr.log -rw-r----- 1 root admin 1197 17 Apr 03:15 mail.log -rw-r--r-- 1 root wheel 5204 1 Mar 05:30 monthly.out -rw-r----- 1 root admin 837 15 Apr 16:28 netinfo.log drwxr-xr-x 2 root wheel 68 14 Jun 2004 ppp -rw-rw-rw- 1 root wheel 276614 18 Apr 15:06 ppp.log drwxr-xr-x 2 root wheel 68 14 Jun 2004 sa drwxr-xr-x 2 root wheel 68 14 Jun 2004 samba -rw------- 1 root admin 426690 18 Apr 15:34 secure.log -rw-r----- 1 root admin 75304 18 Apr 15:06 system.log -rw-r----- 1 root admin 23593 17 Apr 03:15 system.log.0.gz -rw-r----- 1 root admin 3628 11 Apr 03:15 system.log.1.gz -rw-r----- 1 root admin 49805 10 Apr 03:15 system.log.2.gz -rw-r----- 1 root admin 12257 30 Mar 03:15 system.log.3.gz -rw-r----- 1 root admin 52683 27 Mar 03:15 system.log.4.gz -rw-r----- 1 root admin 19759 10 Mar 03:15 system.log.5.gz -rw-r----- 1 root admin 1809 1 Mar 03:15 system.log.6.gz -rw-r----- 1 root admin 156767 28 Feb 03:15 system.log.7.gz -rw-r----- 1 root wheel 22287 18 Apr 15:54 windowserver.log -rw-r----- 1 root wheel 287470 16 Apr 20:04 windowserver_last.log -rw-r----- 1 root admin 14832 18 Apr 16:21 wtmp -rw-r--r-- 1 root admin 4946 27 Feb 14:31 wtmp.0.gz Spero vivamente sia leggibile.

18-04-2006, 17:30	#20
xgear91 Senior Member Iscritto dal: Dec 2000 Città: Le Prese (Svizzera) Messaggi: 2990	Non vorrei sparare delle panzane... ma.... per loggarsi con Remote Desktop non si deve sapere nome utente e password dell'user abilitato? E comunque per potersi loggare al Mac ( per esempio via ssh, sempre se lui l'avessa lasciata per sbaglio abilitata ) non si deve lo stesso sapere nome utente e password dell'utente? Per di piu' avendo una connessione Gprs, non dovrebbe avere un software sul suo Mac che comunichi ogni cambio di Ip pubblico al malintenzionato? __________________ Mbpr 15 "late 2013", iPhone 5S 64Gb, Galaxy S5, Nexus 5, iPad Mini Retina 128Gb

Strumenti
Mostra una versione stampabile Invia questa pagina per email