Ik heb het vermoeden dat iemand zich wederrechtelijk tot mijn computer toegang verschaft en deze ook daadwerkelijk over kan nemen (iemand met heel veel vestand).

Tijdens het signaleren van de praktijken was de computer beveiligd door middel van een firewall ingebouwd in een speedtouch 510 multi-user modem. Standaard staan alle poorten dicht alleen heb ik zelf in de NAPT settings drie poorten open gezet i.v.m. de bestandsoverdracht voor aMSN.

Twee dagen terug voor de zekerheid de firewall van 10.3 ook zo hoog mogelijk geactiveerd, zelfde problemen.

Tot mijn grote verbazing blijken er in de NAPT settings van de router plots twee nieuwe poorten open te zijn gezet (dit is iets wat handmatig gebeurt!). Niemand anders in huis heeft de kennis dat te doen, en niemand heeft het zonder wachtwoord ook kunnen wijzigen (wachtwoord is alleen bij mij in m'n hoofd bekend, nergens opgeschreven).

De gesignaleerde praktijken:
• Plotseling afsluiten van programma's en deze net zo plotseling weer opstarten
• Schermen die van volgorde wisselen terwijl ik aan het werk ben. (verschillende snelheden, lijkt alsof iemand ze handmatig wisselt)
• Plotseling intensief gebruik van de hd terwijl er geen andere computers aangesloten zijn/absoluut geen taken worden uitgevoerd.
• Nog een paar vreemde dingen die ik niet thuis kan brengen.

Activiteitenweergave wordt nu elke 5 minuten door me gecheckt (paranoia gworden), maar die geeft geen vreemde processen weer.

Inmiddels filevault aangezet, compleet nieuw wachtwoord ingesteld (terwijl de mac losgekoppeld was van de router). Wat kan ik nog meer doen om dit te voorkomen en eventueel te achterhalen wie deze inbreuk maakt?

Als ik je verhaal zo lees, heb ik niet echt het idee dat het een hackers is. Het is namelijk vreemd dat een programma afsluit, en later weer opstart. Dit lijkt me meer een software (of misschien zelfs wel hardware-) matig probleem. Bovendien, vreemd dat iemand een mac zou hacken. Windows pc's zijn er veel meer, en vaak slechter beveiligd.

Op mn win*** pc is het me overigens wel 1 maal overkomen. Daar kon ik het zien doordat bij sommige bestande de 'voor-het-laatst-gelezen-tijd' niet correspondeerde met wanneer ik het geopend had.

toch een beetje para?

Heb je niet ergens op de achtergrond VNC of Remote Desktop draaien ?  

Heb je niet ergens op de achtergrond VNC of Remote Desktop draaien ?  

Dat is dus het eerste waar ik zelf aan dacht. Draaien niet op de achtergrond, De firewaal staat tevens zo ingesteld dat de poorten die daarvoor benodigd zijn gesloten zijn

Zie je ook geen andere gebruikers als je "who" intypt in terminal ?

Zie je ook geen andere gebruikers als je "who" intypt in terminal ?

Dit zijn de gebruikers die ik te zien krijg (volgens mij alleen mezelf):
wilco    console  Oct 27 20:49
wilco    ttyp1    Oct 27 22:48  

Als je password bekend is bij de hacker (zoals je geloof ik veronderstelt) logt hij gewoon onder jouw naam in, dus dat klopt dan wel. Ik ben echter geen kenner op dit gebied...

De eerste Wilco is omdat je op je mac bent ingelogd, de tweede omdat je een terminal venster open hebt staan.

Vraagje, welke poorten zijn er door de 'hacker' opengezet?

onlangs op intermactivity gelezen dat iemand een trojan (undername) binnengekregen had.

hier

misschien vreemde vraag:

maar heb je hier ook last van als je computer NIET op het Internet hebt aangesloten? Dus de netwerkkabel uit je computer hebt getrokken? Dan weten we meteen of het een hacker is of een soort van virusje.

Da's geen vreemde maar juist een heel goede vraag!

Ik verwed er 10 iTunes music store certifiacten om dat er niemand in je computer zit noch dat je een trojan hebt: je bent gewoon een tikkeltje paranoide.

je schreef:

Tijdens het signaleren van de praktijken was de computer beveiligd door middel van een firewall ingebouwd in een speedtouch 510 multi-user modem. Standaard staan alle poorten dicht alleen heb ik zelf in de NAPT settings drie poorten open gezet i.v.m. de bestandsoverdracht voor aMSN.

Dan is het al niet meer mogelijk om via SSH, telnet of wat voor protocol zomaar binnen te komen. De machine is immers afgescermd van het internet.

Twee dagen terug voor de zekerheid de firewall van 10.3 ook zo hoog mogelijk geactiveerd, zelfde problemen.

Dit maakt het nog onwaarschijnlijker...

Tot mijn grote verbazing blijken er in de NAPT settings van de router plots twee nieuwe poorten open te zijn gezet (dit is iets wat handmatig gebeurt!). Niemand anders in huis heeft de kennis dat te doen, en niemand heeft het zonder wachtwoord ook kunnen wijzigen (wachtwoord is alleen bij mij in m'n hoofd bekend, nergens opgeschreven).

Software op je computer kan wel degelijk een verbinding aangaan met de buitenwereld waarbij een tijdelijke portmap word gebruikt. Start maar eens wat software zoals limewire, msn, bittorrent en kijk dan in je modem.

De gesignaleerde praktijken:
• Plotseling afsluiten van programma's en deze net zo plotseling weer opstarten

Crashen heet dat. Sommige software start zichzelf opnieuw na een crash, andere starten een hulpprogramma ... kan allemaal

• Schermen die van volgorde wisselen terwijl ik aan het werk ben. (verschillende snelheden, lijkt alsof iemand ze handmatig wisselt)

Misschien een beetje onhandig in de bediening? Expose ontdekt?

• Plotseling intensief gebruik van de hd terwijl er geen andere computers aangesloten zijn/absoluut geen taken worden uitgevoerd.

Dat kan gewoon in Mac OS X. Onder andere de daily, weekly en monthly cron scripts draaien automatisch, je HD word geindexeerd, werkgeheugen word naar de swapfile gezet als het een tijdje inactief is...

• Nog een paar vreemde dingen die ik niet thuis kan brengen.

Kan natuurlijk vanalles zijn, maar een hacker is de minst waarschijnlijke

Inmiddels filevault aangezet, compleet nieuw wachtwoord ingesteld (terwijl de mac losgekoppeld was van de router).

Dan kan een eventuele hacker iig niet zomaar bij je gegevens. Als je de root gebruiker actief hebt zou je ook daar het wachtwoord van kunnen veranderen maar mijns inziens kan je beter iets leuks gaan doen.

Succes ermee!
Thomas  

Ik denk dat Thomas wel eens een beetje heel erg veel gelijk kan hebben.
Ik zou ook iets leuks gaan doen als ik jou was.

Ok ik kan begrijpen dat veel mensen denken dat het probleem bij mijzelf ligt, logisch... tot een paar dagen geleden dacht ik ook dat het zo zou zijn. Het probleem deed zich echter niet voor als de netwerkkabel van de mac afwas.

En wat betreft die onhandige bediening: lijkt me erg sterk..... misschien werk ik al vanaf 1994 met Mac's (en Panther vanavf de eerste week)?

Sinds ik het nieuwe password heb ingesteld heb ik nergens meer last van (ongeveer 14 uur uptime).

Na 3 jaar van een bijna continue openstaande ADSl verbinding nooit problemen gehad, maar net nu ik een nieuwe baan heb waarbij vertrouwelijke info op m'n computer staat heb ik hier plots last van.... toeval???

Er zit trouwens geen pc in het netwerk, netwerk bestaat uit twee mac's op router

maar dan nog een keer de vraag - die functioneel bleek te zijn - heb je dit ook als je je comp loskoppelt van je netwerk?!

Dat beantwoordt Piwi de Pinguin hierboven: Het probleem deed zich echter niet voor als de netwerkkabel van de mac afwas.

Bij mij worden ook de volgende poorten opengezet:

4 Temp xxxx:7152 unspecified:28177 udp NONE
5 Temp xxxx:11532 unspecified:37415 tcp NONE

Volgens mij doet Medal of Honor dit, maar dat
weet ik niet zeker.

Btw. Als het bij mij toch een hacker zou zijn, wat
kan diegene via deze poorten?

poorten zeggen niet erg veel, behalve als je bijv. de FTP poort e.d open ziet staan.
Oja: de firewall van de 510 multiuser modem stelt niet veel voor (heb hem hier ook) het is maar een simpele en opervlakigge firewall.

TIP: zet je vertrouwelijke documenten op een usb staick en gebruik die alleen als je hem nodig hebt.

(Bewerkt door daankragt om 19:48, 28-10-2004)

een long shot:
Volgens mij staat "Delen" bij "voorzieningen" in systeemvoorkeuren Apple remote desktop aangevinkt..
hierdoor zou iemand eventueel op uw computer kunnen, mischien een vriend die u een loer wil lappen?

Heb je al geprobeerd met Snort (bijv. HenWen) de verbinding te monitoren ?
Daar moet je volgens mij als je een beetje begrip hebt voor netwerken wel een eind mee komen om je twijfels te staven.

Tja de andere optie is om op een ISDN of modem verbinding te gaan zitten, staat niet altijd aan en je merkt direct dat er iemand meelift ...

Als het je gerust zou stellen - ik kan, wanneer je me je IP adres zou mailen, eens kijken of ik via een portscan meer kan achterhalen over je systeem. Ik blijf erbij dat de kans miniem is dat er iets aan de hand is ... ( Er is veel FUD gezaaid de laatste tijd) maar dan weet je het meteen zeker....

Thomas

hier kan je online je poorten scannen.
http://www.helpd.nl/documentatie/Online%20Scan.php
misschien heb je er wat aan.
zijn er meer van, even met google zoeken.

Je kunt ook je eigen (en andermans) poorten scannen via "Network Utility" in je applications folder-> utilities-folder.