Fremdsteuerung möglich auf einem Intel-Mini?

Hallo,

mit meinen bisherigen Mac-Kenntnissen komme ich nicht weiter. Auf der Suche nach Hilfe auf euer Forum gestoßen und mich gleich mal angemeldet.

Seit ca. 5 Wochen tritt auf meinem 2-monate-altem Mini beim Surfen im Netz ein merkwürdiges, nicht gezielt hervorrufbares Phänomen auf. Ich werde weitergeleitet auf eine Site, immer die gleiche. Manchmal liegt hinter der Site eine weitere, andere, in der der Name der ersten verdoppelt ist. In der Zeile im Browser steht die korrekte URL, also die, die ich angewählt habe, doch dargestellt wird die o.g.

Dies geschieht nicht immer, nicht einmal oft, vielleicht so zweimal in der Woche und ich surfe viel. Es tritt unabhängig vom Browser auf (ich verwende Safari und Firefox, jeweils die neuesten Versionen) und meistens kommt nach ein paar Klicks die gewünschte Site auch wieder.

Ratsuchend, hat man mir gesagt, dieses Symptom würde sich nach Fremdsteuerung anhören, Browser-Hijacking würde es genannt in der Windows-Welt. Ich weiß, dass es sowas für Macs eigentlich nicht gibt, Versiontracker bietet da nicht viel Auswahl an entsprechenden tools.

Hab den MacScan runtergeladen, einen Full-Scan gemacht, dieser hat nichts gefunden. Ich hab mit Onyx das System aufgeräumt und meine Download-Logs gecheckt. Ich hab alle Caches gelöscht an die Onyxs drankommt und ich habe mir Adblocker für Safari und Firefox installiert.

Vor dem Auftreten war ClamXav schon installiert, jeden Download lasse ich von ihm checken, kein Alarm.

Mein Mac ist über einen Router in einem Netzwerk mit 2 anderen PCs (Microsoft) verbunden.

Einer meiner Freunde hat auf der Suche nach Ursachen jetzt einen Hinweis gefunden auf die Site, auf die ich umgeleitet werde, den hier: IIS .ida exploit involving worm.com / 181.com / 216.99.52.100.
Der Hinweis betrifft 2004 und wenn ich ihn recht verstehe, trat das auf einem Windows-Betriebssystem auf.

Nun wurde ich sehr hellhörig. Auf Nachfragen sagte mir einer der PC-Nutzer in meinem Netzwerk, auch er hätte diese o.g. 181er site schon mehrmals gehabt, sie als Fehler-Site einfach immer weggeklickt und nicht weiter beachtet.

Und jetzt meine Frage: Ist es theoretisch möglich, dass ein Windows-Wurm oder was auch immer, über das Netzwerk überspringt auf einen Mac? Und falls ja, was kann ich tun dagegen?

Der Post ist lang, ich wollte möglichst viele Fragen schon im Vorfeld beantworten. Sicher hab ich den ein oder anderen Hinweis noch vergessen zu erwähnen. Wenn jemand eine Idee hat, fragt mich einfach weiter aus :wink:

Kaleema

Wow. Gruslig, was Du da beschreibst. Aber erst mal: Willkommen im Forum! :smiley:

Leider habe ich noch kein klares Bild, was es genau sein könnte, nur einen Haufen Hypothesen. Ich fange jetzt einfach mal an, Dich mit Fragen zu löchern.

  • Arbeitest Du unter Mac OS X mit einem Administrator- oder User-Account?

  • Tritt das eventuell auch unter einem anderen Account auf dem Mac auf?

  • Was ist das für ein Router? Ist da die neueste Firmware drauf?

  • Tritt das Problem auch auf, wenn die Windows-PCs aus sind? Oder nur, wenn die auch laufen?

  • Wo hängt der Router dran? Direkt an der Dose von einem Provider? Oder an einem weiteren “Hausnetz” (Wohnheim, Uni etc)?

Ich stochere gerade in die folgende Richtung: ich halte es für ausgesprochen unwahrscheinlich, dass das Problem an Deinem Mac liegt. Von einem derartigen Wurm/Trojaner hätte man schon gehört, unterstelle ich jetzt mal. Außerdem würden dann die DOSen nicht genau die gleichen Symptome zeigen. Ein “Befall” des Macs mit einem alten Win-Wurm schließe ich aus. Szenarien, die dieses Phänomen produzieren könnten, reichen von einem befallenen Windows-PC in Deinem Netz, der einen Webserver (IIS) hat, über einen “gekaperten” Router, der eine falsche DNS-Auflösung macht, bis zu einem Upstream-Router, der das gleiche Problem hat.

Das worm.com/181.com-Teil ist ja doch schon recht alt (Code Red, das war 2001 oder so). Trotzdem kann es natürlich sein, dass über diese Lücke mittlerweile ganz andere Fernsteuer-Mechanismen laufen, die dann die Netzwerkfunktionen so beeinträchtigen könnten, wie Du es schilderst…

Hallo,

danke erst mal für die schnelle Antwort, ich habe auch Neuigkeiten, aber dazu später. Erstmal Antworten auf deine Fragen :smile:

[quote=“Joerg”]
*]Tritt das eventuell auch unter einem anderen Account auf dem Mac auf?[/quote]

das weiß ich nicht, der andere Acc. wird selten benutzt, meiner ist ein Admin-Acc.

Der Router ist von CNET, CNIG 914, Broadband. Ich habe ihn ca. 1 Jahr und noch nie n Firmware-Update gemacht.

Hier bin ich mir nicht hundertprozentig sicher, aber ich glaube, es tritt nur auf, wenn die Windows-PCs an sind.

Er hängt direkt an der Dose vom Provider.

Mit “Befall” meinst du, dass mein Mac direkt verseucht sein könnte, nehme ich an. Das denke ich auch nicht. Trotzdem wurde er in irgendeiner Form manipuliert.

Auf dem zweiten Windows-Rechner in meinem Netzwerk trat diese Umleitung bisher nicht auf, er hat nur auffallend langsame Verbindungszeiten (wir haben DSL 6000). Auf diesem PC läuft ein Xampp local host server, zum testen von Web-Sites.

Eine Manipulation vom Name-Server ist auszuschliessen, das hat mir jemand versichert, der davon mehr versteht als ich, die Nummer wurde nicht verändert.

Was ein upstream-Router ist, weiß ich nicht, deswegen nehme ich mal an, wir haben sowas nicht :wink:

Ich verstehe nichts von der Netzwerktechnik, die hinter dem allem liegt, auch nichts von der Terminologie :wink: Deswegen in meinen eigenen Worten: Ich habe es geschafft, grade vorhin, dieses Phänomen zu reproduzieren auf dem Windows-Rechner und auf dem Mac. Per Zufall vertippt bei der Eingabe einer URL und die 181.com hat sich aufgebaut. Sie tut das jedesmal, wenn man sich auf die gleiche Art vertippt. Bisher schien es mir willkürlich, scheint aber nicht so zu sein.

Jedenfalls habe ich aufgrund dessen Adaware über den Windows-PC laufen lassen und er hat was gefunden, und zwar (das ist die Info von der Lavasoft-Site, Thread Assessment Chart:

*EverAd

TAC-Level: 6
Removal: 1
Provides no uninstaller
Integration: 0
Distribution: 2
Bundled install that is undisclosed
Behavior: 3
Opens unsolicited advertisement
Privacy: 0

Trojan Ad*

Ich habe auf dem Windows-Rechner das Ding also entfernt, überprüft mit dem Vertipper und ich bekam eine normale Fehlermeldung, dass die Site nicht existiert, keine Umleitung. Ich interpretiere das so, daß es auf diesem PC wirklich verschwunden ist.

Bei der Überprüfung auf dem Mac ist die Umleitung aber immer noch da. Bedeutet das, dass der Router das Teil in sich trägt, da ein Befall vom Mac ja auszuschliessen ist? Wenn ja, wie kann ich den Router cleanen? Eine Software wie Adaware für Windows gibt es nicht für Mac, oder? Was kann ich tun jetzt?

Kaleema

Mal aus Interesse: wie ist denn der Vertipper? Manchmal ist es so, dass Domains absichtlich delegiert werden, um Leute, die sich im Browser vertippen, auf dubiose Seiten zu leiten. Das kann man im Terminal mit einem dig domainmittippfehler.com
herausfinden, ob es die tatsächlich “gibt” oder nicht (dann kommt da eine Answer-Section).

Der Vertipper ist statt stadteben.de. Die erste gibt es wirklich und ist nichts dubioses, die zweite URL gibt es nicht.

Kaleema

Was spuckt denn dann das Terminal auf dem Mac (der nach wie vor auf 181.com geht, wenn Du das eingibst?) aus, wenn Du eintippst

dig www.stadteben.de

:question:

[quote=“Kaleema”]Hallo,

Bei der Überprüfung auf dem Mac ist die Umleitung aber immer noch da. Bedeutet das, dass der Router das Teil in sich trägt, da ein Befall vom Mac ja auszuschliessen ist? Wenn ja, wie kann ich den Router cleanen? Eine Software wie Adaware für Windows gibt es nicht für Mac, oder? Was kann ich tun jetzt?

Kaleema[/quote]

Sag mal, hast Du eventuell irgendwo einen Software-Proxy am laufen?

@Jörg
Nun erwischst du mich ziemlich eiskalt *g
Ich habe den Mini seit ca. 2 Monaten. Mit den Veränderung vom 9er OS auf OS X klarzukommen, hat mich bisher davon abgehalten, irgendwas mit dem Terminal zu machen. Ich wollte da langsam rangehn und mir erst mal n Buch kaufen dazu. Ich kann deine Frage also nicht beantworten, außer du könntest mir hier auf low-level-Niveau erklären, was ich da genau machen muss.

@lemming71
Ich habe keinen Proxy am laufen

Kaleema

  1. Finder Starten.

  2. Ordner Programme öffnen

  3. Ordner Dienstprogramme klickifizieren

  4. Programm “Terminal” mit Doppelbeklickerung anwerfen

  5. Dort “dig stadteben.de” eingeben (oder per Apfel-V reinkleben) und Enter drücken.

  6. Ergebnis hier ins Forum pasten… :wink:

sooo einfach? *lach

hier isses, auch wenn ich kein Wort davon verstehe :smile:

; <<>> DiG 9.2.2 <<>> stadteben.de
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 13619
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;www.stadteben.de. IN A

;; AUTHORITY SECTION:
de. 8541 IN SOA z.nic.de. ops.denic.de. 2006052653 10800 7200 3600000 10800

;; Query time: 66 msec
;; SERVER: 62.72.64.237#53(62.72.64.237)
;; WHEN: Fri May 26 15:39:11 2006
;; MSG SIZE rcvd: 86

:open_mouth:

komisch. Nach diesen Angaben dürfte Safari da nur eine Fehlermeldung ausspucken… schaust Du Dir mal die Safari-Einstellungen nach “Auffälligkeiten” durch?

Ich sehe keine, du meinst wohl die, die die Sicherheit betreffen?

Ich hab alles mit Java angehakt, ebenso popups unterdrücken und akzeptiere cookies nur von web-sites, die ich besuche.

Aber dieses Java erinnert mich grade an was. Ich hatte mir das neueste update geladen, mit gemischten Gefühlen, weil ich gelesen hatte, dass Apple selbst von evtl. auftretenden Problemen sprach. Weil diese wohl selten auftreten und es einfach gewesen wäre, die alte Version wieder herzustellen, hab ichs mir eben geholt und dann aufgepasst, auf Fehler.

Und ich meine, die Umleitung trat danach auf, niemals vorher, wie gesagt, ich meine. Bin mir nicht vollkommen sicher, diese Umleitung trat extrem selten auf, erst in den letzten drei Tagen wird es häufiger. Heute hatte ich es schon zweimal.

Aber beim ersten mal hatte ich jemanden gefragt, ob Java was mit falschen Web-Sites zu tun haben könnte, und man sagte mir “nein”. Deswegen hab ich das wohl vergessen. Könnte die Info falsch gewesen sein oder ist der Zusammehang nu völlig absurd?

Kaleema

Hi, hast Du schon mal versucht bei beiden Systemen, also Windows und OS X den DNS Cache zu leeren :question:

Eventuell wirft Dir der Windows Rechner falsche DNS Werte ins Heimnetz.

Unter Windows geht das mit:

ipconfig /flushdns

Unter OS X:

lookupd -flushcache

baba André

Nein, hab ich nicht. Zum einen, weil mir jemand sagte, dass es nichts mit Name-Server zu tun hat und zum anderen weiß ich nicht, wo ich das eingeben muss :wink:

Wenn alle Computer über den Router gehn, dann haben doch auch alle den gleichen DNS, die Kennung, die mir mein Provider gegeben hat?

Ich hab nach der Firmware gesucht für den Router, die vorhandene ist die neueste, die es gibt.

Ich habe den Router resettet und einen URL-Filter auf die Site gelegt. Wenn ich sie nun gezielt aufrufe, wird Fehler angezeigt auf allen drei Computern, auch mit dem oben erwähnten Vertipper wird die Site jetzt geblockt.

Diese ganzen Maßnahmen sind nur rumdoktern an den Symptomen, wenn ich das recht verstehe. Die Ursache ist immer noch da. Kann dieses Ding möglicherweise noch mehr Unfug machen, oder kann ich es mit diesem Trick nun einfach gut sein lassen?

Ich danke euch übrigens für soviel Resonanz, damit hatte ich nicht gerechnet. Gefällt mir gut, dieses Forum :smile:

Kaleema

Sorry, hab ich vergessen zu erwähnen :smile: Auf der Konsole, bei Windows in der Eingabeaufforderung, wird der Befehl eingegeben.

Folgendes zum DNS Cache:

Wenn Du auf eine Internetseite zugreifst löst der Rechner den Namen der Seite auf. Windows legt diese Informationen im DNS Cache ab damit es nicht jedesmal darauf zugreifen muss. Solltest Du einen Trojaner am Windows-Rechner haben, kann es sein dass dieser den DNS Cache mit falschen Informationen füttert. Ein Seitenaufruf per URL-Eingabe kann so leicht zu einem anderen Server bzw. zu einer anderen Seite umgeleitet werden. Und da die Rechner untereinander im Heimnetzwerk miteinander “reden” kann es ja sein dass der Mac auf diese falschen Informationen zurückgreift.

Ich sag extra es kann sein, weil ich mich mit OS X noch nicht lange beschäftige.

Übrigens unter Windows kannst Du auch in der Eingabeaufforderung den DNS Cache anzeigen lassen:

ipconfig /displaydns

Schau Dir dort mal die IP Adresse des Server an, der stadtleben.de hostet und such mal nach der IP bei Google. Bei mir fängt die IP mit 62.216.169.xxx an.

[quote]Wenn alle Computer über den Router gehn, dann haben doch auch alle den gleichen DNS, die Kennung, die mir mein Provider gegeben
hat?[/quote]

Alle Rechner haben den gleichen Eintrag für einen DNS Server aber jeder Rechner für sich speichert die abgerufenen DNS Daten lokal im Cache damit er nicht immer auf den DNS Server zugreifen muss. Deshalb DNS - Cache :smile:

Ich hoffe Du kannst damit etwas mehr anfangen :smile:

Moin,
statt im Terminal rum zumachen, könnte man auch das Netzwerk Dienstprogramm benutzen (/Programme/Dienstpromme/Netz…)

Stadteben gibt’s nicht, da bei dir aber ne Seite kommt, “tickt” dein DNS falsch. Entweder falsche Einträge im Cache, ist aber unwahrscheinlich bei Tippfehlern. Eher haben “die” deinem Router 'nen Fake-DNS untergeschoben. Trag einfach im Netzwerk ne feste DNS-IP ein - fertig.
(Apfel-Umgebung-Systemeinstellung “Netzwerk”, da unter TCP-IP bei unter DNS-Server “194.25.2.129 (T-Online) oder 145.253.2.11 (Acor)” eintragen)

Hallo,

ich habs mittlerweile geschafft, den DNS-cache zu löschen, ich hab den Quelltext der 181.com-site gelesen und die URLs die dort erwähnt sind über den URL-Filter im Router geblockt.

Die DNS-Nummer, die im Netzwerk-Dienstprogramm steht, ist die gleiche die mir vom Provider gegeben wurde, ich hab sie manuell eingegeben gehabt, schon bevor der Wurm, oder was es ist, aktiv wurde.

Trotzdem tritt es immer noch auf, regelmässig bei manchen sites, unregelmässig bei anderen. Manchmal wird geblockt, dann wieder nicht. Sogar meine Lesezeichen werden umgeleitet, nicht alle, aber viele. Manche mit Safari-Fehler-Meldung, andere haben nur ne weiße Seite, bei allen steht aber oben im URL-Eingabefenster: 181.com.

Wenn man davon ausgeht, dass ein gelöschter DNS-cache das Problem nicht behebt, welche Möglichkeiten gibt es sonst noch? Neuen Router kaufen? Das Netzwerk abhängen?

Ich bin mittlerweile ziemlich abgenervt, wär ich mit einem Windows-Pc unter Umständen besser bedient gewesen, da gibts immerhin tools für sowas.

Kaleema

Langsam finde ich das ziemlich merkwürdig… Kannst Du mal zu Testzwecken einen zweiten Benutzer anlegen und mit dem weiter arbeiten? Ob das dann a) von Anfang an die gleichen Symptome zeigt oder b) erst im Laufe der Zeit? Hast Du ggf. die Möglichkeit, dass sich jemand mit einem Rechner, der sonst “clean” ist, in Euer Netz hängt, um zu sehen, ob die Symptome dort dann auch auftauchen? :open_mouth:

wie siehts eigentlich aus wenn Du einen der Rechner direkt ans Kabel-DSL-Modem hängst ohne den Rouer dazwischen?

Oder versuch mal mit einer Linux-Live-CD z.B. Knoppix auf dem Windows Rechner zu booten und schau ob Du dort die gleichen Symptome hast.

Das erste kann ich machen, aber jemanden mit einem anderen Rechner da reinhängen, das wäre sehr aufwendig. Hier gibt es keine “cleanen” Rechner mehr. Auch die Windows-PCs haben trotz Adaware und einem Online-Scan noch immer die gleichen Probleme. Es tauchen auch immer neue “Vertipper” auf, bei denen es auftritt.

Ich werd das mal machen mit einem anderen Account und bisschen abwarten, bevor ich hier wieder poste.

Danke für die Idee :smile:

Kaleema