Bereiche
News
Rewind
Tipps & Berichte
Forum
Galerie
Journals
Events
Umfragen
Themenwoche
Kleinanzeigen
Interaktiv
Anmelden
Registrierung
Zu allen empfangenen Nachrichten
Suche...
Zur erweiterten Suche
Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum
>
Apple
>
Angriffe auf RemoteManagement?
Angriffe auf RemoteManagement?
ssb
06.08.04
19:55
Seit kurzer Zeit habe ich auf meinem Rechner in der Console.log (das ich mit GeekTool auf dem 2 Monitor immer sehe), Einträge, dass sich irgendjemand auf console einloggt ("281 on console") und dann auf "/var/RemoteManagement/RMDB/rmdb.data/PG_VERSION" zugreifen will.
Inzwischen habe ich alle Serverdienste abgeschaltet.
Das sieht aber so aus, als wollte sich jemand auf meinem Rechner breitmachen und dazu ARD via AppleVNC benutzen.
Gibt es da einen Exploit, dass so einen Angriff möglich macht?
Hilfreich?
0
Kommentare
JackyK
07.08.04
01:47
hmm .. also ich bin mir nicht sicher ob "281 on console" bedeutet, dass sich jemand von aussen eingeloggt hat .. (wenn Du das gemeint hast)
Bei mir erscheint ab und zu "257 on console".
Das erscheint aber nur, wenn ich Terminal lokal starte, und wenn
ich per
+ n ein neues Terminal fenster oeffne erscheint dies nicht
obwohl ich kein remote login eingeschalten habe.
SSH logins werden uebringens nicht im console.log aufgelistet.
hoechstens fehlerhafte ssh logouts ..
" error: BSM audit: solaris_audit_record failed to write "sshd logout " record: Operation not supported "
Du kannst im Terminal mit dem Befehl "last | less" schauen wer sich wann
eingeloggt hat.
Ich glaube nicht, dass bei Dir ein Fremdzugriff vorhanden war/ist ..
Was die Zahl vor "on console" bedeutet ist mir ein raetsel.
Uebrigens was macht PG_VERSION ? die Versionsnummer ausgeben?
Gruss
JackyK
Hilfreich?
0
derondi
07.08.04
12:16
Die Zahl vor "on console" ist die UserID!
Ich bin jetzt noch nicht der UNIX-Geek
aber ich denke eine UID in der Region weist auf die Tätigkeit eines Daemons hin. UserIDs von "normalen" Benutzern fangen bei
bei 500 an, so sollte deine UID 501 sein wenn du der erste eingerichtete User auf dem Rechner bist.
Ich denke das ist nur der ARD-Daemon, der von Zeit zu Zeit checkt ob neue Einträge in der "erlaubte-User-Datenbank" stehen.
In der Aktivitäts-Anzeige aus Dienstprogramme kannst du übrigens sehen welche gerade aktive UID welchen Prozess laufen lässt (Achtung PID != UID), damit kannst du zumindest schon mal feststellen ob was anderes läuft als das was von dir gewollt ist! Im Info-Fenster zum Prozess steht dann auch von welcher UID der Prozess gestartet wurde...
Hilfreich?
0
Kommentieren
Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.