Hallo zusammen

Ich suche ein Tool, welches mir anzeigt und protokolliert welches Software und welcher Dienst am Mac nach aussen ins Internet verbindet oder versucht zu verbinden. Wichtig dabei, ich möchte am Schluss auslesen können, welche IPs von den Apps/Diensten kontaktiert wurden.

Grund dafür, ich hab seitens meinem Router den Hinweis, dass einer unserer Macs nach dem Starten immer eine IP Adresse aufruft, welche im Google Safe Browsing potenziell "schädlich" ist. Nun möchte ich rausfinden, was auf dem Mac versucht rauszu"telefonieren" und dies dann entsprechend am Mac löschen.

Danke für den Tip

Evtl. kann dir da Little Snitch helfen.

Du kannst natürlich jeden Mac einzeln bearbeiten, oder du bleibst am Router dran und versuchst dem zu entlocken, welche Kiste dafür verantwortlich ist. Wäre es machbar, einmal alle Macs auszuschalten, die dann einzeln anzumachen und im Router zu beobachten, wann die Meldung wieder kommt? Oder läßt sich im Router ein Protokoll einsehen (oder aktivieren) das genauere Hinweise liefert?

Welcher Mac im Netz es ist weiss ich bereits. Das war easy am Router auszulesen. Was ich aber wissen möchte, was auf dem betroffenem Mac die Warnung vom Router/SafeBrowsing auslöst. Dazu muss ich am Mac selber mehr Infos sammeln können.

Der Router spuckt nur aus, von welcher IP zu welcher IP die Warnung kommt. Also von welchem Quell-Gerät und nicht von welcher Applikation/Dienst auf dem Quell-Gerät die Warnung resultiert.

Für Deinen Zweck würde ich auch Little Snitch empfehlen

Ich hab via Google Bildersuche eine App gefunden (Private Eye), welche es zwar nicht mehr gibt, aber genau ausgespuckt hat was ich suche. Eine Liste mit Apps/Diensten und deren externen Verbindungen nach IPs, welche aufgerufen wurden.

Lässt sich das mit Bordmitteln via Terminal auslesen oder gibts da etwas ähnliches?

gibt es da was ähnliches? Ja.

Ah, verstehe, ich hatte angenommen, das du im ersten Schritt rausfinden willst welcher Mac Blödsinn anstellt. Da der bekannt ist ist die kleine Petze wirklich erste Wahl. Alternativ kannst du auch deine Startobjekte durchgehen (Systemeinstellungen - Benutzer, und die diversen Ordner, die mit Launch- oder Startup anfangen, zu finden in der allgemeinen und der persönlichen Library). Vielleicht entdeckst du dort einen Hinweis.

Wäre das ev. was für Pi-Hole?

Du könntest einen Proxy Server mit Charles auf einem anderen Mac im Netzwerk eröffnen und diesen als Proxy auf dem zu überwachenden Mac einrichten*.

Charles protokolliert ab diesem Moment sämtliche Verbindungen des iMac nach außen und zeigt dir die exakten Ziele, die jeweils gesendeten Daten, Handshakes und sonstiges an.

*Prinzipiell geht dies auch direkt auf dem zu überwachenden Mac, da in deinem Fall aber möglicherweise unmittelbar nach der Anmeldung in macOS nach außen gefunkt wird, wäre die Anzeige auf einem anderen Mac einfacher (Charles starten Ziel-Mac neu starten Mitlesen).

Werd ich mir anschauen. 👍🏻

Ich kenn mich jetzt in den Protokoll-Untiefen vom Pi-Hole nicht wirklich aus. Vielleicht findet sich da tatsächlich was. Aber primär dafür eines einrichten ist arg aufwendig (damit wir uns recht verstehen, das Pi-Hole ist was feines und es lohnt sich, eines in Betrieb zu nehmen, aber dann mit einer anderen Zielsetzung). Wenn eines da ist ist es einen Versuch wert, ansonsten die bereits vorgeschlagenen Methoden durcharbeiten.

Ich versuch es heute Nachmittag mal mit Little Snitch. Der geht ja wie ich gesehen habe 30 Tage kostenlos. Wenns klappt habe ich damit rausgefunden was auf dem Mac nach draussen funkt..

Die IP hab ich bereits gegoogelt. Stammt aus Ungarn und steht im Verdacht von Spam Versand. Daher möchte ich rausfinden was hier versucht die IP aufzurufen. Der Outgoing-Aufruf an sich wird eh bereits durch meinen Router geblockt, so dass erstmal nichts passieren kann.

Wireshark kann das auch, ist zwar ziemlich voll mit möglichen Funktionen bzw. Filtern, aber gerade wenn du schon Start- und Zieladresse kennst, vielleicht sogar schneller

Z.B. mit LuLu und oder Wireshark:

Patrick Wardle (Objective-See )

• LuLu
• TaskExplorer

Wireshark Foundation

• Wireshark

Ich will den Thread hier nicht kapern, habe aber eine Frage:

Könnte es sein das LittleSnitch nicht alles mitbekommt? Ich habe hier das Phänomen das, wenn ein bestimmtes Programm (Horcrux) läuft, sofort im 30 Sekunden-Takt versucht wird eine Verbindung zu analytics.paddle.com aufzunehmen obwohl in LittleSnitch paddle.com geblockt ist. Was meint Ihr dazu?

Macwelt (14.08.2018): Kritik an Little Snitch und Co: Patrick Wardle stellt kostenlose Firewall LuLu vor
Laut dem Sicherheitsspezialisten haben Firewalls grundlegende Schwächen, auch sein neues Tool LuLu nimmt er nicht davon aus.

Threatpost (08.08.2018): Black Hat 2018: Patrick Wardle on Breaking and Bypassing MacOS Firewalls

Youtube, DEFCONConference (22.10.2018): DEF CON 26 - Patrick Wardle - Fire and Ice Making and Breaking macOS Firewalls (Präsentation, Video, 20:06 Minuten, Kurz-Briefing dazu: )

Youtube, BlackHat (04.-09.08.2018): Fire & Ice: Making and Breaking macOS Firewalls (Präsentation, Video, 25:18 Minuten, Kurz-Briefing dazu: )

Patrick Wardle: Fire & Ice: Making and Breaking macOS Firewalls (Präsentationsfolien als PDF oder auch hinterlegt bei Speakerdeck als Online-Präsentation .

Auch zu Little Snitch und dessen prinzipbedingten Schwächen einerseits und speziellen Lücken/Schwächen andererseits sagt Patrick Wardle in seiner Präsentation was, geht darin u.a. im Detail drauf ein. Sein Tool LuLu will besser sein als Little Snitch und andere Tools dieser Art, mit diesem Anspruch und Ziel hat er es entwickelt und stellt es zudem kostenfrei und als Open-Source zur Verfügung ().

sierkb
Danke für die Links.

Nachtrag: auf der Horcrux Seite fand ich was dazu:
Auch LuLu hat es nicht bemerkt. Nur der Pi-Hole hat es angezeigt.

Nein.

Man kann Pi-Hole zwar schön einsetzen, um bestimmte Verbindungen zu unterbinden. Aber welche Applikation oder welcher Prozeß die Verbindungen initiiert, läßt sich nur lokal auf dem betroffenen Rechner erkennen.

Ich kann jetzt dein Problem nicht wirklich erkennen ? Aus Interesse hab ich mir mal kurz die Trial geladen. Ca. 30 Sek. nach dem Start der App kommt die Abfrage von LS bezgl. >> "analytics.paddle.com". Also Regel erstellt >> Block für immer alle Verbindungen. Was soll ich sagen, LS macht genau das was es soll und was definiert wurde (siehe Screenshot). Wie du dort erkennen kannst wurde innerhalb von 5 Minuten 40 x versucht sich zu den gelisteten iP Adressen zu connecten >> wurde alles geblockt und keine Daten übertragen (oben im Shot).

Also nochmal >> wo ist das Problem ?



Du kannst natürlich nur die angeforderte Verbindung blocken, was du aber mit LS nicht kannst, ist der App zu sagen das sie keine Anfrage senden soll.
Dieses ist alleine Sache der App und hat mit LS rein gar nichts zu tun.

Bozol
Dann solltest du bei der Petzte Petzen gehen
Nur so erfahren die, wer es schafft, sich vor ihr zu verstecken und können versuchen, die Umgehung dichtzumachen machen. Ist aber letztendlich immer nur ein Wettlauf bis feie wieder eben ändern Weg gefunden haben

Update:
Ok, nach Promac erkennt sie es doch...

Ich kanns hier nicht nachvollziehen.Nach probeweisem löschen der App in den Firewalls und anschliessendem Neustart fragt keine FW nach dem Start von Horcrux nach "analytics.paddle.com". Kanns mir nicht erklären.
Danke für Deinen Test.

promac
bei mir siehts so aus, weit und breit kein "analytics.paddle.com" zu sehen

Hab mir auch mal eben die Demo geladen, erst kommt die Abfrage ob es sich zu Hörcrux verbinden darf, kurz darauf die nächste Frage wegen paddleapl.com.
Das ist vermutlich auch genau das, was man in den Einstellungen mit den Nutzerstatistiken abschalten kann. Kommt etwa deswegen bei dir keine Maldung mehr?

Hm, bin mir nicht sicher, auch ein komplettes löschen der Regel, auch im Inst.-Programm, zur "Neuerkennung" des Programmes brachte nichts. Und zu Nutzerstatistiken in Einstellungen finde ich nichts.

Hast du die App aus dem Appstore oder von deren Website.

Ich habe die App auf der Website gekauft. Das setzen des Hakens hat nichts gebracht.

Ist paddleapi.com geblockt? Dann gibt es keinen Verbindungsversuch zu analytics.paddle.com.

Ansonsten muss die Demo nicht mit der Version aus dem App-Store identisch sein.

Doch, die Verbindungsversuche werden ja im Log von Pi-Hole protokolliert. Dadurch fiels mir ja erst auf.

In der Demo war es bei mir so:
- Programmstart
- Verbindungsanfrage zu thehorcrux.com, bestätigt
- Verbindungsanfrage zu www.paddleapi.com, abgelehnt
- Verbindungsanfrage zu ssl.google-analytics.com, abgelehnt

keine Anfrage zu analytics.paddle.com

- dann die Verbindung zu www.paddleapi.com erlaubt.
- Verbindungsanfrage zu analytics.paddle.com, abgelehnt

alle 30 Sekunden eine Verbindungsanfrage zu analytics.paddle.com, die LS blockt

- dann wieder www.paddleapi.com geblockt

weiterhin alle 30 Sekunden eine Verbindungsanfrage zu analytics.paddle.com, die LS blockt

Pi-Hole ist ein DNS-Server. Horcrux fragt also beim Pi-Hole nach der korrekten IP-Adresse, um eine Verbindung zu analytics.paddle.com aufbauen zu können. Pi-Hole blockt selbst keine Verbindung, Pi-Hole verhindert über Blacklists das die Adresse für eine Verbindungsanfrage aufgelöst wird. Damit ist dann keine Verbindung möglich, weil die Adresse nicht bekannt ist.

Wenn die Adress von Pi-Hole aufgelöst ist, wird die Verbindung aufgebaut, oder auch nicht, wenn analytics.paddle.com von LS geblockt wird.



Das ist genau so, wie man es erwarten würde.

So war es bei mir:

- Start

- LS Verbindungsanfrage zu www.paddleapi.com, abgelehnt
- LS KEINE Verbindungsanfrage zu thehorcrux.com
- LS KEINE Verbindungsanfrage zu analytics.paddle.com

- Pi-Hole Verbindungsanfrage zu analytics.paddle.com, abgelehnt (Blacklist)
- Pi-Hole Verbindungsanfrage zu thehorcrux.com, nicht geblockt da nicht am Computer
- Pi-Hole Verbindungsanfrage zu horcrux.uservoice.com, nicht geblockt da nicht am Computer


plötzlich nach über sechs Stunden:

- LS Verbindungsanfrage zu thehorcrux.com

bis jetzt:

- LS keine Verbindungsanfrage zu horcrux.uservoice.com