"The D!et Hacking Group will soon own your hole Macintosh Computer! The D!et Hacking Group can see that you have an iMac G5 with 10.3.x panther! Delete your harddisk now! Or we will do it soon!
<br>
<br>Bye Kevin! Your DHG!"
<br>
<br>
<br>gestern erhielt ich diese e-mail in 1500-facher ausführung
<br>am selben tag, aber vor dem empfangen der mails startete mein mac nicht normal (verschwommenes bild, lautes lüftergeräusch, computer reagierte nicht, musste ausgesteckt werden) erst nach dem 4. versuch normaler start.
<br>computer:
<br>iMac G5 1,8 GHz 17" mit Superdrive
<br>10.3.9, firewall nicht aktiviert
<br>
<br>kann es sich um einen hacker-angriff handeln, der auch die startprobleme verursacht ?
<br>Oder nur zufällig ein Scherz und ein Defekt zur gleichen Zeit ?
<br>
<br>
<br>Schonmal im Voraus danke.
<br>
<br>MFG
<br>Kevin

Einen Hackerangriff halte ich nicht für wahrscheinlich. Trotzdem solltest du erstmal folgendes tun:
<br>
<br>- den Rechner vom Netz trennen
<br>- Backup machen!!!
<br>- Rechte reparieren
<br>- Hardwaretest laufen lassen
<br>- einen weiteren User OHNE Adminrechte anlegen, und mit diesem arbeiten
<br>- DropBox disablen (wenn du sie nicht unbedingt brauchst)
<br>- Firewall aktivieren
<br>- BEVOR du wieder ans Netz gehst solltest du das AdminPasswort ändern (sicheres Passwort aus Groß- und Kleinbuchstaben sowie Zahlen)!!! schreib es dir auf einen Zettel, und bewahre ihn sicher auf!
<br>

Das klingt wirklich merkwürdig:
<br>Es kann doch sein das jmd. den du kennst den Scherz mit den e-mails gemacht hat oder so, der weiß welchn Rechner du hasst und welchen _Namen??!
<br>
<br>Aber das dass gleichzeitig mit dem falschen systemastart passierte ist schon merkwürdig!
<br>
<br>Gruß,
<br>
<br>
<br>Arachnid,
<br>Nilkimas

Nein, das war kein Hack-Angriff, sondern der Versuch einer Mailbomb - offensichtlich von jemandem, der dich/deinen Rechner kennt.
<br>
<br>Wenn du die Mails noch hast, lässt sich anhand der Received-Header nachverfolgen, von wo sie kamen (sprich: welches Netzwerk, welcher Provider, welche IP-Adresse). Dann dort die Abuse-Verantwortlichen anmailen.
<br>
<br>Und was die Systemstart-Probleme angeht: Auch ein Mac macht mal Zicken. Wenn sonst nix weiter auftritt, würd ich mir da keine Sorgen machen.
<br>
<br>Es besteht allerdings tatsächlich die Möglichkeit, dass Dir jemand einen Streich spielt - auf jeden Fall solltest Du mal die Passwörter aller angelegten Accounts ändern und zusätzliche Dienste wie SSH, Remote Desktop etc. deaktivieren.

Aber dass er kurz bevor ich die mail bekommen hab
<br>nicht mehr richtig startet

mach das, was jonny dir geraten hat, dann kann dich der scherzkeks eh nur noch mit geladener schrottflinte überraschen....

Falls Du nicht hinter einem Router bist:
<br>
<br>- Firewall anschalten.
<br>- Stealth Mode der Firwall aktivieren.

Von: DHG
<br>Betreff: D!et Hacking Group
<br>Datum: 18. Mai 2005 22:25:17 GMT+02:00
<br>An: RAPMANkev@gmx.net
<br>Return-Path:
<br>X-Flags: 0000
<br>Delivered-To: GMX delivery to rapmankev@gmx.net
<br>Received: (qmail invoked by alias); 18 May 2005 20:25:22 -0000
<br>Received: from zeta.dynamic-net.ch (EHLO zeta.ibone.ch) [213.203.209.66] by mx0.gmx.net (mx058) with SMTP; 18 May 2005 22:25:22 +0200
<br>Received: by zeta.ibone.ch (zeta.ibone.ch, from userid 30) id 8639B6850B; Wed, 18 May 2005 22:25:17 +0200 (CEST)
<br>Mime-Version: 1.0
<br>Content-Type: text/plain; charset=ISO-8859-1
<br>Message-Id:
<br>X-Gmx-Antivirus: -1 (not scanned, may not use virus scanner)
<br>X-Gmx-Antispam: -2 (not scanned, spam filter disabled)
<br>X-Gmx-Uid: 5cH5YnIueSEkSMmZyHUhaXN1IGRvb8CQ
<br>
<br>
<br>
<br>
<br>Hab jetzt noch ein bischen zeugs rausgefunden
<br>
<br>
<br>danke für eure hilfe
<br>ich schau was ich machen kann

Terminal:
<br>whois 213.203.209.66
<br>
<br>OrgName: RIPE Network Coordination Centre
<br>OrgID: RIPE
<br>Address: P.O. Box 10096
<br>City: Amsterdam
<br>StateProv:
<br>PostalCode: 1001EB
<br>Country: NL
<br>
<br>ReferralServer: whois://whois.ripe.net:43
<br>
<br>NetRange: 213.0.0.0 - 213.255.255.255
<br>CIDR: 213.0.0.0/8
<br>NetName: RIPE-213
<br>NetHandle: NET-213-0-0-0-1
<br>Parent:
<br>NetType: Allocated to RIPE NCC
<br>NameServer: NS-PRI.RIPE.NET
<br>NameServer: NS3.NIC.FR
<br>NameServer: SUNIC.SUNET.SE
<br>NameServer: AUTH00.NS.UU.NET
<br>NameServer: SEC1.APNIC.NET
<br>NameServer: SEC3.APNIC.NET
<br>NameServer: TINNIE.ARIN.NET
<br>Comment: These addresses have been further assigned to users in
<br>Comment: the RIPE NCC region. Contact information can be found in
<br>Comment: the RIPE database at http://www.ripe.net/whois
<br>RegDate:
<br>Updated: 2004-03-16
<br>
<br>inetnum: 213.203.209.64 - 213.203.209.95
<br>netname: CH-DYNAMICNET
<br>descr: Dynamic NET Collectiv
<br>descr: Customer PA Space
<br>country: CH
<br>admin-c: SS3052-RIPE
<br>tech-c: BONE-RIPE
<br>status: ASSIGNED PA
<br>remarks: Send abuse reports to abuse@inetbone.net
<br>mnt-by: INET-PEOPLE-MNT
<br>mnt-by: INET-PEOPLE-IP-MNT
<br>mnt-lower: INET-PEOPLE-MNT
<br>mnt-routes: INET-PEOPLE-MNT
<br>source: RIPE # Filtered
<br>
<br>person: Sascha Sandi
<br>address: dynamic-net.ch AG -- Internet- & Network-Solutions
<br>address: TECHNOPARK LUZERN
<br>address: D4 Platz 4
<br>address: 6039 Root Laengenbold
<br>address: CH
<br>phone: +41 (0)41 450 58 58
<br>e-mail: admin@dynamic-net.ch
<br>nic-hdl: SS3052-RIPE
<br>mnt-by: INET-PEOPLE-MNT
<br>source: RIPE # Filtered
<br>
<br>person: INET-People Hostmaster
<br>address: In der Steele 37a
<br>address: 40599 Duesseldorf
<br>address: Germany
<br>phone: +49 (0) 211 749699910
<br>e-mail: hostmaster@inetbone.net
<br>mnt-by: INET-PEOPLE-MNT
<br>nic-hdl: BONE-RIPE
<br>remarks:
<br>remarks: +--------------------------------------------------------------+
<br>remarks: | in case of abuse please contact: abuse@inetbone.net |
<br>remarks: | for operational issues please contact: noc@inetbone.net |
<br>remarks: | please direct peering requests to: peering@inetbone.net |
<br>remarks: +--------------------------------------------------------------+
<br>remarks:
<br>source: RIPE # Filtered
<br>
<br>% Information related to &rsquo;213.203.209.64/27AS25074&rsquo;
<br>
<br>route: 213.203.209.64/27
<br>descr: iNet-People
<br>descr: Providerservices
<br>origin: AS25074
<br>remarks: no-export
<br>mnt-by: INET-PEOPLE-MNT
<br>source: RIPE # Filtered

macmark
<br>
<br>geht das alles mit dem netinfo-dienstprogramm? alle achtung!
<br>
<br>
<br>ich lausche weiter...

ähm nochmal,
<br>
<br>@@ macmark was ist der stealth-mode? wie wird er aktiviert und was geht nachher nicht mehr?

Den Stealth mode kannst du glaub ich nur mit Netbarrier , einer zahlpflichtigen Firewall aktivieren...

Ich korrigiere mich: In tiger gehts. Klicke mal auf Sharing, dann Firewall und dann Advanced (auf englisch). Dort kannst du es aktivieren...

Danke Matthias, der Tarn-Modus also.
<br>
<br>Ab jetzt bin ich undercover

Der "Stealth Mode" aka keine Antwort bei ICMP ist ziemlich sinnfrei.
<br>
<br>Um "unsichtbar" zu sein, müßtest Du mit der IP Adresse des vorgeschalteten Routers "ICMP - Host/Network unreachable" senden.
<br>Bei ICMP ist keine Antwort gleichbedeutend mit "ich bin hier". Wenn Du nicht da wärst, würde jemand anderes sagen "Der ist nicht da". Nämlich der vorgeschaltete Router und der steht bei deinem Provider...
<br>
<br>Hinnerk

Kann es nicht sein, dass der Mac Mini bzw. Mac OS X einen Knacks hatte, und daher die eMail nicht richtig runtergeladen werden konnte, und es daher immer wieder probiert wurde?

Z
<br>
<br>Ich glaube er hat einen iMac und keinen Mac Mini

hirnmerk
<br>
<br>der vorgeschaltete router ist nicht zufällig auch meine airportstation?
<br>ich habs wahrscheinlich nicht kapiert, egal.

sagt mal<br>
<br>Nö, deine Airportstation ist das nicht, aber für die Verballhornung meines Namens gibts einen mikrigen Trostpunkt, den kannst du dir dann auf die Airportstation kleben.
<br>

Hinnerk die logo-debatte wurde wohl nicht von allen gelesen

hinnerk
<br>
<br>lol, sorry, war keine absicht mit deinem namen -
<br>habe ich von anfang an so gelesen...
<br>
<br>8-)

RAPMANkev bist du jetzt untergetaucht?

Frage am Rande:
<br>Wie kann ich diese Sachen die RAPMANkev da noch rausgekriegt hat erfahren

sagt mal
<br>
<br>Dann gib mir den Trostpunkt zurück
<br>Hatte mich schon gewundert, den Ton ist man hier ja eigentlich nicht gewohnt.
<br>Ist mir mit z.B. Mit Kekserl anfangs auch so gegengen, da laß ich immer Kekskerl
<br>
<br>Doch zum Thema, du kannst IMHO (korrigiert mich, wenn ich falsch liege, ich habe keine AirPort-Station) bei der AirPortStation oder auf dem Mac den Tarn-Modus aktivieren (unabhängig davon, ob du die OS X-Firewall oder eine andere nutzt), doch bringt das nichts.
<br>
<br>Wenn du im Netz bist und man dich dann anpingt oder anderweitig zu erreichen versucht, wird das Packet bei aktiviertem "Tarnmodus" einfach verworfen und nicht beantwortet. Dies zeigt dem Anfragenden aber, das dort ein Rechner läuft, der das Packet aktiv verwirft.
<br>Wenn dein Rechner wirklich nicht erreichbar wäre, weil er aus ist oder keine Netzwerkverbindung hat, bekommt der Anfragende eine Antwort von der letzten erreichbaren Stelle ( im Normalfall eben einer der Router deines Providers) in der Form "ICMP - Host/Network unreachable". Erst diese Antwort zeigt dem Anfragenden, dass da wirklich niemand zu erreichen ist.
<br>
<br>Dieser Tarnmodus oder Stealthmodus oder wie auch immer die Hersteller ihn nennen ist ergo nur ein "Feature" welches ein Produkt interessanter machen soll , welches aber nix bringt.
<br>
<br>Hinnerk

Flowgrow
<br>
<br>Du kannst dir die Kopfdaten einer eMail in Mail via
<br>
<br>Menüleiste@@Darstellung@@e-Mail@@Langer Header
<br>
<br>anzeigen lassen.

Hinnerk
<br>Thanks

" firewall nicht aktiviert " schrieb RAPMANkev.
<br>
<br>Was soll man da noch sagen.
<br>Nochzumal die Firewall bei OS X standardmäßig eingeschaltet ist - wenn ich mich nicht täusche.
<br>
<br>Wer eine Firewall ausschaltet, hat einen Angriff redlich verdient.
<br>
<br>Ich hab ne Firewall im Router und unter OS X und Windows.
<br>
<br>Und außerdem besorgt man sich am besten einen eMail Provider der Spam- und Virenfilter auf dem Server laufen hat und vor allem schaltet man diese Filter auch ein.
<br>
<br>Manchen ist aber auch gar nicht zu helfen.
<br>
<br>Sorry für die harten Worte - mußte mal sein.

@JustDoIt: Die FireWall ist standartmässig in OS X aus, es sei denn Du aktivierst einen Dienst, dann wird sie für den Dienst eingeschaltet.
<br>
<br>Aber wofür brauch er eine FireWall wenn er keine Dienste am Laufen hat?

dann war das wohl nix mit geheimagent007...
<br>
<br>ich danke für die erleuchtung, hinnerk!

Hinnerk
<br>
<br>Jetzt verstehe ich gar nichts mehr.
<br>
<br>Mein Stealth Mode ist aktiviert. Ich pinge mich an - und bekomme eine Antwort. Dann pinge ich eine beliebige (offenbar nicht existente) Adresse an und bekomme zur Antwort: 100% lost.
<br>
<br>Jetzt pinge ich mich wieder selbst an, untersage aber Little Snitch die Ausgehende Verbindung zu meiner IP. Jetzt bekomme ich zur Antwort: Host is down. (Wie von dir beschrieben, falls die IP tatsächlich nicht existiert.)
<br>
<br>Kannst du da was zu sagen. Würde mich jetzt wirklich interessieren. Habe nach der Installation des neuen Routers einen kompletten Selbsttest auf allen "known ports" gemacht http://www.blackcode.com/scan/index.php. War alles okay.
<br>
<br>Zudem hat mein IPFW Protokol jede Menge Einträge in Bezug auf den Stealth Modus.

ich find das klasse, das wir hier darüber so unbefangen diskutieren können
<br>
<br>vielleicht kommt ja doch noch licht ins dunkel meiner netzwerkschächte...

@RapManKev: Mal was anderes offtopic:
<br>Wenn ich auf Deinen Homepage-Ball klicke geht Deine Homepage auf, wenn ich dann auf Intro überspringe klicke, stürzt mir Safari und Mail gleichzeitig ab. Ist das so geplant oder haben da auch die Hacker zu geschlagen.

Z<br>
<br>also bei mir gehts

RAPMANkev:
<br>Ich würde an deiner Stelle einen Gang zurück schalten.
<br>Was in der Mail steht krieg ich auch durch ein wenig social engineering raus, kann dir sogar sagen wieviel RAM in deinem iMad G5 steckt. Oder das du Landesmeister im Fechten bist.. Dafür braucht man nur in dein Profil schauen!
<br>
<br>Was nicht drin steht ist die Versions-Nummer. Dafür hat "der Angreifer" deine Kommentare verfolgt oder einfach nur in iChat geschaut oder .. da gibt es genug Möglichkeiten.
<br>
<br>Mit den RIPE-Daten kann man gerade wenig anfangen, die zeigen nur an, dass ein gehosteter Server zum Versand genutzt wurde. Da bei diesem der SMTP-Server völlig offen ist kann quasi jeder darüber versenden... Dem Hobby-Admin sollte man mal die schicken(!)
<br>
<br>Egal, ich denke jedenfalls, dass du nix zu befürchten hast - zumal ein fixes googeln nach den dollen untergewichtgen Hackern auch nix brachte.
<br>Fahr einfach die Firewall hoch und gut is - das solltest du übrigens ohnehin tun wenn du nicht hinter einem Router sitzt(!)(!)

kester
<br>
<br>Der CCC-Ulm hat eine interessante Sitzung zu Firewalls gehalten, unter anderem ging es dort um die ICMP-Geschichte. http://copton.net/ds/personalfirewalls.html
<br>
<br>Nett ist auch das Video dazu http://ulm.ccc.de/chaos-seminar/personal-firewalls/recording.html

Oops - der iMad sollte keine Anspielung auf die Startprobleme sein - war nur ein nächtlicher Tipper..

Hinnerk:
<br>Besten Dank für den CCC-Video-Link - kannte ich noch nicht!

Info&rsquo;s zum Thema Sicherheit:
<br>
<br>http://www.hirnbrauser.de/
<br>http://www.port-scan.de/
<br>
<br>Wer grad mal bei mir testen möchte: 84.139.47.51

JustDoIt:
<br>Na ja, find ich nicht sonderlich spektakulär, zumal das Ding an den entscheidenden Punkten wegen mangelnder Windows-Funktionen nicht weiterkommt.
<br>
<br>Das ich einen PPC hab und der auf OS X mit Safari läuft und den PlugIns x & y unter der IP soundso - das kriegt JEDER raus der PHP kann.
<br>
<br>Lustig fand ich, dass ich angeblich in Nürnberg statt Essen sitze - wo unsere Standleitung mal so gar nix mit Bayern zu tun hat...

Hinnerk<br>
<br>Kannst Du diese These belegen?

MacMark<br>
<br>
<br>Würde mich auch interessieren, habe ICMP nämlich auch etwas anders in Erinnerung.
<br>

MacMark:
<br>Das gelinkte Video ist nicht nur interessant, da kommt&rsquo;s auch drin vor.

derondi
<br>Das Video kann ich mir nicht ansehen, falsches Format.

MacMark:
<br>Wie jetzt - ich dachte du hast &rsquo;nen Mac?
<br>
<br>Ist doch ein ganz normales MP4 - ansonsten tut es auch das MP3..
<br>
<br>Wie auch immer, es geht darum, dass auf Netzwerkebene gemeldet werden müsste, dass die gesendeten Pakete nicht weitergeleitet werden können. Das macht üblicherweise der für das Subnet zuständige Router. Bleibt diese Antwort aus, weiß der Sender, dass die Pakete an die IP-Adresse ausgeliefert wurden und er nur keine Antwort bekommt.
<br>
<br>Der Stealth-Mode ist halt nur für Skript-Kiddies, die dem "Glaub mir, ich bin nicht da" der Firewall/des Paketfilters wirklich glauben..;-)
<br>
<br>P.S.: Daraus ließe sich dann auch ein "echter" Stealth-Mode ableiten, indem man eine Antwort mit gefälschter IP absendet, die eben jene Reaktion des Routers vortäuscht. Je nach Fähigkeiten der jeweiligen SysAdmins kommt man dann aber selber auf die Blacklist. ..

Unter 10.3.9 kann ich mir das Video in QT ansehen. Allerdings fände ich Untertitel Schwäbisch Deutsch ganz nützlich

MacMark<br>
<br>Hab ich doch oben getan, oder sind dir die Leute vom CCC nicht glaubwürdig genug?

Der Stealth-Mode macht den Rechner unsichtbar für Ping-Signale aus dem Internet. Ein Angreifer kann nicht feststellen, daß dort ein Rechner ist, da die Firewall "toter Mann" spielt.
<br>
<br>Auch für den Router des Providers ist nicht unterscheidbar, ob kein Rechner da ist oder ob eine Firewall im Stealth-Mode da ist. In beiden Fällen kommt nämlich einfach keine Reaktion zurück.
<br>
<br>Mit aktiviertem Plugin kann man das Video schauen. Dann tue ich mir mal den lahmen Serverdownload und den Vortrag an.

Der CCC-Vortrag vom 13.12.2004 behandelt eine begrenzte Auswahl verschiedener Firewalls (hauptsächlich für Windows), aber die Firewall von OS X (ipfw) ist nicht dabei.
<br>
<br>Im Detail gehen sie nur auf die Norton Personal Firewall ein.
<br>
<br>Sie reden darüber, wie schwierig es ist, Dienste unter Windows abzuschalten. (Bei OS X laufen standardmäßig keine unnötigen und sie lassen sich einfach abschalten.)
<br>
<br>Dann über die Prozeßnachrichten von Windows und wie die systembedingte Situation bei Windows ausgenutzt werden kann mit einem Trojaner.
<br>
<br>Nun endlich die Stelle über Computer verbergen und das ICMP. Der CCC-Vortrag bleibt die Erklärung schuldig, wie der Router beim Provider unterscheiden können soll, warum der Ping ins Leere geht. Keine Antwort heißt enweder da ist tatsächlich kein Rechner oder da ist eine Stealth-Firewall. Also weiß man nichts.
<br>

Ah, jetzt hab ich es: Die reden von Blocking! Das ist etwas anderes als Stealth. Beim Blocken sagt die Firewall: "Du darfst hier nicht rein". Beim Stealth sagt die Firewall nichts und läßt die Anfrage ins Leer laufen.
<br>
<br>Ich rede jedoch von Stealth in OS X Firewall. Ihr antwortet völlig am Thema vorbei mit: Blocking nützt nichts, weil man doch über die Existenz informiert wird.
<br>
<br>Unterscheidet doch bitte Stealth-Firewall von Blocking-Firewall! Danke!

Nein, die reden nicht von Blocking. Es geht um Stealth.
<br>
<br>Blocken: "Du darfst hier nicht rein"
<br>Stealth: "Mich gibt&rsquo;s hier nicht"
<br>
<br>Das dumme ist, das einer, wenn er sagt, es gäbe ihn nicht, doch da ist. Wie schon von mir ausgeführt kann nur jemand anders sagen, dass jemand nicht da ist.
<br>
<br>So ist es eben auch im Internet Protocol festgelegt. Ist eine IP nicht erreichbar gibt der Router, der für diese IP zuständig wäre, die Rückantwort "Gibbet nich". Wenn er dies nicht tut weiß man, das es die IP gibt.
<br>
<br>Und das ganze ist dann auch unabhängig davon, ob man diverse Ports zulässt und andere schließt oder generell auf gar keinen Ports antwortet - dies alles findet nämlich auf OSI-Layer 4 statt, die IP-Vergabe jedoch auf OSI-Layer 3.
<br>
<br>Einfach gesagt für Kenner: Stealth funktioniert auf OSI-Layer 4, wird aber durch OSI-Layer 3 wieder außer Kraft gesetzt.

derondi
<br>Schau Dir den Vortrag doch nochmal an Da steht ganz fett "Blocking". Die reden von einer Firewall, die behauptet "Du darfst nicht weiter, weil es da nichts gibt." Also von Blocking. Das Wort Stealth kommt überhaupt nicht vor im Vortrag. Blocking ist auch eine Art von Verstecken, aber halt kein Stealth.
<br>
<br>Stealth sagt nichts. Gar nichts. Null. Nada. Rien. Nothing. 0.