Hi Leute,
ich brauche dringend eure Hilfe. Soeben gehe ich an meinem Mac und sehe, wie sich der Cursor fröhlich bewegt. Zuerst dachte ich, dass es vielleicht ein Grafikfehler ist, aber dann müsste ich zusehen, wie auf meine Festplatte zugegriffen wurde und sich im Finder öffnete!!!
Ich habe sofort mein MacBook Air ausgemacht.

Was mache ich nun als nächstes?

Was nicht heisst, dass derjenige in dem Moment keinen Zugriff auf das Gerät hatte...
ich hab hier mehrere Books, die ich auch zuklappen kann und dann weiter über remote bedienen kann...

War das Passwort leer? Also musstest du sozusagen als Passwort schlichtweg "nichts" eingeben , nur bestätigen?

um das Passwort zu ändern musst du ja eigentlich das alte kennen...

Ich musste nichts eingeben. Vorher musste ich natürlich immer mein Passwort eingeben. Insofern ist mir schon klar, dass man, um es zu verändern oder komplett rauszunehmen, mein eigentliches Passwort braucht?!
Irgendwie ist das echt spooky :'(

wenn das Passwort leer war, würde ich nicht auf Login via SSH tippen, oder root...
das würde nicht funktionieren...

Gibts eigentlich so etwas wie ein Router Protocol? Kannst du sehen wer sich zu dem Zeitpunkt bei dir im Netzwerk befunden hat?

Ich tippe ja darauf dass sich jemand mit deinem Passwort und deinem Usernamen aus deinem Netzwerk via Screensharing eingelogged hat. Das würde theoretisch schon mit einem iPhone mit Jailbreak funktionieren. Ist aber wirklich nur eine Vermutung...

Nicht, dass du mich falsch verstanden hast: Vorher musste ich immer mein Passwort eingeben. Erst nach diesem Zwischenfall und dem Runterfahren und erneuten Hochfahren, musste ich kein Passwort mehr eingeben. Als ob "der" das gelöscht hätte.

Die Anmeldeoption zum direkten Einloggen (ohne Anmeldebildschirm) lässt sich jedenfalls nicht ohne Usernamen und (Administrator-)Anmeldekennwort ändern. Deswegen solltest du auf jeden Fall BEIDES ändern, um vorerst auf der sicheren Seite zu sein.

Dann würde ich auch mal nachsehen, ob du vielleicht irgendwo einen Keylogger sitzen hast, der eventuell "nach Hause funkt", wenn du Passwörter eingibst.
Was es da "für" den Mac gibt, kann ich dir allerdings nicht sagen. Aber hier sind ja die ganzen Experten. Und dann war da noch die "Google"-Suche....

Zur Not erstmal alle ausgehenden Verbindungen mit "Little Snitch" blockieren, wenn Passwörter an der Reihe sind. - Und alle Orte auf der Festplatte checken, wo Passwörter gespeichert sind.

Kaspersky for mac hat (leider?) nix gefunden. Mir wäre es lieber, ich wüsste wo ich dran bin.

Zumindest zeigt der Vorfall, das man als erstes einen Administratoraccount anlegen sollte und für die normale Arbeit einen Account ohne Adminrechte. Beide Accounts sollten Paßwörter haben, idealerweise unterschiedliche

Läßt sich zu 200% ausschließen das sich in der näheren und mittleren Umgebung eine Bluetoothmaus befunden hat. Denn viele haben doch das Festplattensymbol oben rechts liegen sofern eingeblendet. Sollte sich eine BT Maus am falschen Rechner angemeldet haben dann kann es schon mal passieren das man die HD eines anderen öffnet. Welch BT Geräte dem Rechner bekannt sind kann man in den BT Einstellungen nach sehen. Idealerweise ist das nur die eigene BT Maus.

Nur das gelöschte Passwort ist wirklich seltsam. Gibt's da nicht eine Logdatei in der man die Zeitpunkte der Paßwortänderungen einsehen kann.

Nebenbei: Für die Freigabe des Bildschirm und die Steuerung über FaceTime muß beides getrennt und nacheinander vom Benutzer bestätigt werden.

Also in OS X 10.10.3 lässt sich der Schlüsselbund hacken (siehe: ) , daher im Fall des Falls hast du echt ein Problem.
Irgendwie muss der Angreifer auf dein System gekommen sein, von selbst ändert sich das PW nicht und öffnet sich auch kein Fenster.
Lässt der Angreifer aber zu das du ihn entdeckst, kann er kein erfahrener Profi sein. Denn der würde lieber unentdeckt arbeiten um sein Risiko zu minimieren und das PW zu ändern, sowie auf die grafische Oberfläche zuzugreifen ist ja offensichtlich (über das Terminal hätte er auch alles machen können).

Der Angreifer hat jetzt auf jeden Fall dein PW, daher solltest du mit diesem Rechner nicht mehr online gehen. Erwähnt wurde bereits das du deine Zugangsdaten ändern musst. Genauso die Apple-ID.

Als nächstes musst du deinen Mac säubern. Ganz ehrlich, ich habe keine Ahnung wie das passiert ist. Vielleicht per Drive-by bei einer bestimmten Internetseite, die Installation einer Software oder per E-Mail. Das wäre aber wichtig zu wissen, damit man weiß wo man suchen muss.
Da du es auch nicht weißt, wäre die einzige Option die mir einfällt den Mac zu formatieren und aus einem sauberen Backup wiederherzustellen.

Du könntest noch hier weiterfragen und Rat holen:
- Apple Support Forum (siehe Apple Seite)
- Einen guten Freund das Gerät analysieren lassen
- In eine Uni / FH gehen und in der Informatiker Fachschaft nach Hilfe fragen bzw dir einen guten Studenten empfehlen lassen, der gegen € bereit ist das zu tun
- Ein Unternehmen beauftragen deinen Rechner zu säubern

Surfen per Firefox mit Adblocker und vor allem noScript wären empfehlenswert für die Zukunft, weil:


Bzw uMatrix in Chrome:

MikeMuc: Wer, wo, wie eine BT-Mouse benutzt weiß ich nicht. Die Nachbarn oben drüber kenne ich nicht. Ob eine Kollegin eine BT-Mouse benutzt weiß ich auch nicht. Da müssten aber schon einige Meter überbrückt werden. Und unter Systemeinstellungen > Bluetooth ist unter "Geräte" nur mein Trackpad und meine Tastatur zu sehen (da ich das MBA oft zusammengeklappt via Thunderbolt-Display benutze). Also kein weiteres bekanntes (somit mir unbekanntes) Gerät.

Matic: Ich benutze immer die aktuellste Software, sowohl beim Betriebssystem (also nicht 10.10.3), als auch bei den Programmen.

Zudem:
Das MBA ist eigentlich beim Hochfahren passwortgeschützt
Das MBA steht nie alleine irgendwo rum
Ich benutze nicht Apples Schlüsselbund oder "Zugang zu meinem Mac"
Ich benutze keine öffentlichen Hotspots
Ich treibe mich nicht auf den am häufigsten virenverseuchten Seiten (religiöse und pornographische) rum (natürlich ist dadurch nicht ausgeschlossen, dass auch andere Seiten etwas haben können)
Ich bin eher zurückhaltend beim "auf links klicken"
Ich lösche viele Emails, die komisch sind

=>Also eigentlich mache ich das Meiste doch richtig?!

Ich tippe auf Blähakku.

Es kommt darauf an. Möglicherweise findet man etwas, aber das Nichtauffinden ist keinerlei Garantie, daß das nicht etwas auf dem Rechner ist.

Der auch das Benutzerpasswort auf null setzt?

Auf jeden Fall. Sorry mehr weiß ich zu den Thema erstmal auch nicht.

Wenn ein Mac nicht nach Bluetooth-Geräten sucht, weil keine angeschlossen sind oder man ihn darum gebeten hat, verbindet er sich nicht einfach so mit "fremden" Geräten. Das fällt also aus.

Das mit dem Benutzerpasswort ist mir ebenso absolut schleierhaft. Diesen Fall habe ich in Jahrzehnten der ausgedehnten Apple-Administration bei hunderten von Rechnern weder erlebt noch davon gehört. Korrupte Passwörter: Ja – Gänzlich verschwundene Passwörter: Nein. Selbst, wenn ein Hacker sich Admin-Rechte auf deinem Computer verschafft hätte, würde dein Schlüsselbund bei einem Passwort-Reset meckern und müsste wieder synchronisiert werden. Wenn diese Meldung niemals auftauchte, kann der Passwort-Reset nur mit Kenntnis des alten Passwortes erfolgt sein.

Der von Matic angesprochene Hack hat meines Erachtens damit auch erstmal nichts zu tun. Dabei geht es um Apps, die unter Vorspiegelung falscher Tatsachen gegenüber dem System Passworte aus dem Schlüsselbund holen, aber eben nicht das Anmeldepasswort zurücksetzen.

Ungewollte Mausbewegungen kenne ich nur aus den oben angesprochenen Gründen (Bluetooth, Kollegenscherze, VNC, Akku kaputt, Trackpad kaputt, Flüssigkeitsschäden).

Zu deiner Beruhigung: Ich habe schon so einige Hacks erlebt, bisher aber keinen einzigen, bei dem sich ein Mauszeiger bewegt hätte.

the-r: Anbei einige Fragen, die noch zu klären wären:

1) Ist bei Dir ein EFI-Kennwort gesetzt?
2) Nutzt Du FileVault für die Festplattenverschlüsselung unter OS X?
3) Arbeitest Du mit einem Standard-Account mit sicheren Kennwort?
4) Ist der Admin-Account also getrennt von Deinem Standard-Account und nutzt ein eigenes, sicheres Kennwort?
5) Nutzt Du für alle Dienste, Services etc. unterschiedliche, lange und sichere Kennwörter?

bzgl. 1) Wenn kein EFI-Kennwort gesetzt ist, konnte man den Mac problemlos ohne Kennwort-Abfrage (also ohne die EFI-Kennwort-Abfrage) im "RecoveryMode" starten. Von dort aus kann ein Angreifer dann problemlos (vorausgesetzt, Punkt 2 ist nicht erfüllt):

- sämtliche User-Kennwörter ändern (per resetpassword im Terminal)
- den root-Benutzer aktivieren

u.v.m.

Mit Hilfe des root-Benutzers könnte man sich dann mit Leichtigkeit einen weiteren User anlegen (standardmäßig "unsichtbar" wenn User-ID < 501) und diesem weitreichende Rechte einräumen, u.a. SSH-Zugriff.

All das funktioniert natürlich normalerweise nur direkt am Rechner (zum starten des Recovery-Modus muss man beispielsweise die Tastenkombination cmd+R beim einschalten des Rechners gedrückt halten).

bzgl. 2) Ohne Festplattenverschlüsselung ist der Rechner auch auf weitere Arten angreifbar, beispielsweise im "SingleUserMode", per extern gestarteten Systemen usw.

bzgl. 3 & 4) Diese Trennung der Nutzerkonten würde ich grundsätzlich empfehlen, es hat verschiedene Vorteile und so gut wie keine Nachteile für den Arbeitsalltag.

Allerdings muss man einschränkend dazu sagen, dass diesen Sommer auch eine bash-Shell Lücke aufgedeckt wurde, durch die man per Terminal nur mit Hilfe einer einzigen Befehlszeile eine root-Shell öffnen konnte – und das funktionierte sogar bei einem Standard-Account ohne administrative Rechte!



Die Lücke ist zwar mittlerweile geschlossen, aber man sollte sich natürlich darüber im klaren sein, dass nach wie vor ähnliche Lücken im System schlummern könnten (Apple ist ja leider auch bekannt dafür, Sicherheitslücken unter Umständen nur halbherzig abzudichten).

bzgl. 5) Auch 'social engineering' sollte man als Ursache nicht ausschließen. Also unsichere Kennwörter, die man sich leicht herleiten kann, wenn man Dich als Person kennt. Oder auch beliebt (Beispiel): Dein E-Mail-Kennwort Deines privaten Mail-Accounts lautet z.B. Raica89 (Name der Tochter + Geburtsjahr). Da es Dir schwer fällt, viele unterschiedliche und vor allem auch lange und sichere Kennwörter im Kopf zu behalten, hat der User-Account Deines Macs eben das selbe Kennwort oder nur ein leicht abgewandeltes.

Wie gesagt, das soll nur ein Beispiel sein. Aber Du verstehst, was ich meine: Wenn Du bei Online-Diensten immer die selben (oder auch einfache, ähnliche) Kennwörter nutzt, und einer der Online-Dienste erfolgreich angegriffen wurde (User-Kennwörter in der Datenbank ausgelesen wurden), ist eine gewisse Gefahr da, dass so auch andere persönliche Kennwörter als "nicht mehr sicher" einzustufen sind, im schlimmsten Fall inkl. Deines User-Kennwortes.

Und abgesehen davon könnte man das ganze auch noch weiter spinnen und Punkt 6, 7, 8, 9 usw. ins Spiel bringen:

6) Mittlerweile gibt es einige Apps, die Fernsteuerungen ermöglichen, dazu zählen u.a. Skype, Facetime und Google Chrome. Oder auch einfach nur spezielle Browser-Erweiterungen. Muss man zwar im Normalfall noch extra erlauben, aber wollte dies nicht unerwähnt lassen.

7) Stichwort "EFI-rootkit". Wurde ja weiter oben schon erwähnt: (Thunderstrike 2)

Und so weiter …

PS: Wenn jemand Dein User-Kennwort per Recovery-Mode entfernt haben sollte, kommt beim nächsten normalen Start ein Hinweis der Schlüsselbundverwaltung. Wenn Du dann dort Dein bisheriges Kennwort eingetippt hast und die Änderung somit bestätigt hast, würde der Angreifer auf diesem Wege sogar an die Daten Deines login-keychains kommen! Nur wenn man an der Stelle abbricht, bleibt das originale login-keychain-Kennwort bestehen. Alternativ hat man die Möglichkeit, einen komplett neuen login-keychain anzulegen, dann wird der bisherige allerdings überschrieben.

Hm, einzige was ich "verdächtig" fand in dem Log den du gepostet hast war, dass der Safari abgeschmiert ist (meine Lesart: wegen fehlerhaftem oder manipuliertem Video) und du dir darüber ggf. per drive-by-Infection was eingefangen hast. Ich halte es zwar auch am wahrscheinlichsten, dass du irgendwo ein "offenes Scheunentor" über eine Remote-Desktop-Lösung oder Screen sharing hast, aber trotzdem die Frage: Kannst du dich an den Safari-Absturz erinnern? Kannst du das ggf. mit einer Seite/einem Video in Verbindung bringen?

Ansonsten würde ich auch erstmal im Router-Log nachsehen und ggf. freigegebene Dienste erst einmal blocken. Little Snitch ist auch ein guter Tipp. Bitte auch folgende Frage beantworten: Ist dein Passwort einfach zu erraten gewesen und/oder benutzt du dies noch an anderen Stellen?

Marcel_75@work:
1) Kein EFI, da ja niemand physischen Zugang zum MBA hat (dafür braucht man es doch, oder?)
2) Leider auch nein.
3) Administratoraccount mit sicherem Kennwort
4) Also dann leider auch nein. Keine zwei Accounts auf meinem MBA (interessant, für was das wichtig sein kann).
5) Definitiv verschiedene und sichere / sehr lange Passwörter mit teilweise 20-40 Zeichen.

Es gab kein Hinweis der Schlüsselbundverwaltung. Ich musste nur auf meinen Benutzer klicken und schon ging es weiter ohne Passworteingabe.

Chiplet: Ich habe so wenig Zeit, um mich privat auf dem MBA zu tummeln, dass mir da keine Safari-Abstürze in Erinnerung sind.
Mein Passwort benutzte ich nicht an anderer Stelle und es ist mehr als schwer zu erraten.

Da bleibt mir ja fast nur zu hoffen, dass mein MBA einen sehr komischen Hardwaredefekt hat, der diese Phänomene entstehen ließ (was ich persönlich kaum glauben kann).
Aber bevor ich das gute Stück platt mache, somit eventuell Spuren verwische und alles wieder händisch eintrage, würde ich schon gerne wissen, was sich da am Donnerstag zugetragen hat.

So. Eben war noch n Freund da, der sich deutlich besser als ich sich mit dem ganzen Thema auskennt. Zunächst mal ein dickes Lob und Dankeschön an die vielen sehr hochwertigen Antworten (die auch der Freund sehr aufmerksam gelesen hat: "Da sind viele wirklich mit sehr fundiertem Wissen."). Wirklich toll, dass sich so viele hier sehr bemühen und jede Menge Zeit investieren und Text reinschreiben. Fazit: Ich werde nun das MBA platt machen und alles sauber wieder drauf spielen, um bestmöglich auf der sichereren Seite zu sein. Bei der Gelegenheit wird auch gleich entmistet und aufgeräumt. Dann werde ich noch die vielen Tipps von euch befolgen (Stichwort EFI, zwei Accounts, etc.), um für die Zukunft bestmöglich gerüstet zu sein. An dieser Stelle nochmals ein dickes DANKE!

Außerdem: Ich bin zudem vorhin nochmal meine Emails durchgegangen und habe festgestellt, dass ich am Mittwoch Abend kurz hintereinander drei Emails eines Vertrauten bekommen hatte (die zweite Email kam an, da er mir vergessen hatte eine weitere Datei zu schicken). Die dritte Email enthielt auch einen Anhang, den ich öffnen wollte, da ich auch hier dachte, er hätte vergessen mir etwas zu schicken. Nach dem "Öffnen" des Anhangs, der nur 04,KB groß ist, passierte aber nichts. Ich habe dann heute nachgefragt und er sagte, dass er mir nur zwei geschickt hätte. Bei 1und1 gibt es die Möglichkeit den Anhang zu untersuchen aber die HTML-Datei brachte mir und meinem Kumpel heute auch keine weitere Info.
Frage an den Admin: Wäre es erlaubt, diesen HTML-Text hier zu posten oder mache ich dann den Bock zum Gärtner? Vielleicht wäre das des Rätsels Lösung, vielleicht ist es aber auch etwas ganz Banales?!

Also: Die ominöse dritte Mail mit ominösen Anhang war nur eine reine Status Information des Email-Systems und somit völlig harmlos.
Naja. Das MBA ist übers WE frisch aufgesetzt worden und die von euch genannten Tipps wurden befolgt. Mehr kann ich wohl nicht machen.
Entsprechend nochmal ein dickes DANKE an euch alle, frohe Festtage und ein tolles Neues Jahr!