[PeO]

WItam Przed 10 minutami miałem taką sytuację ze po 15 minutach wracam do kompa a tu kursor sam zasuwa... Na początku pomyślaem ze źle odłożyłem purko od tabletu ale patrzę a tu celowe działanie!:roll: zmiana głośności w itunse przejście do Bridga - zmiana ustawiń segregacji celowe przełączanie między programami przekopiowanie pliku na pulpit wtf? czy może ktoś mi podpowiedzieć jak sprawdzić kto i z jakiego ip się włamał? i oprócz zmiany hasła - jak się zabezpieczyć?

[Pluto27887]

Jaki komp? Jaki system? Komputer od nowości twój ?

[PeO]

System 10.8.4 Macbook pro końcówka 2008 UB Kom od zawsze w moich rękach

[Pluto27887]

Wyłącz zdalne logowanie w ust udostępniania Powinno pomóc No chyba zd profesjonalny atak to już nie wiem co dalej

[equinoxe]

Wejdź w Utilities -> Activity Monitor -> i sprawdź, jakie podejrzane procesy masz odpalone. Po kliknięciu na dany proces uaktywni się w górnym menu opcja "Inpect".

- - - Połączono posty - - -

Jeszcze jedno przyszło mi do głowy, bo u mnie w pracy to dość częsty "dowcip" - może ktoś w Twoim otoczeniu ma bezprzewodową myszkę?

[Loti]

U mnie podobnie, dlatego już tylko jedna osoba ma AMM

[PeO]

Akcja miała miejsce o 3:50 rano! jak zrobiłem sobie przerwę na kawkę. Mam wyłączone udostępnianie i włączone szyfrowanie kompa z zaporą po mimo to ktoś sie wbił. Zmieniłem hasło administratora i pytanie do ~equinoxe ....a które procesy są podejrzane? bo ja to ich nie śledzę codziennie i nie mam pojęcia który jest ok a który nie. Dodam jeszcze że całe oprogramowanie jakie mam jest licencjonowane. To co mi przychodzi do głowy to wczoraj albo przedwczoraj wyskoczyło mi okno z javą z najnowsza aktualizacją i to zrobiłem ale też dzisiaj rano od razu po tej akcji odinstalowałem Jave. Macie jakieś pomysły jak sprawdzić czy mam jakieś syf na kompie które umożliwia dostęp z zewnątrz?

[equinoxe]

pytanie do ~equinoxe ....a które procesy są podejrzane?

Żebym to ja wiedziała. Zobacz, co najbardziej Ci zżera CPU i ewentualnie jaki to jest użytkownik.
Poczekajmy na ftpd, może on coś doradzi.

Póki co, poczytaj to: https://discussions....tart=0&tstart=0

[PeO]

...poczytam

[ftpd]

Ciężko wytłumaczyć osobie, która nie jest 'obyta' z nazwami procesów, jak wyłapać coś, co potencjalnie może być atakiem. W teorii możesz liczyć, że włamywacz uruchomi program HAKERSKISOFTWARE.APP, ale raczej aż takim skrajnym idiotą nie jest ;-) Tak w ogóle, to nie sądzę, żeby Ci się ktoś 'włamał' ;-) Raczej ktoś z bezprzewodową myszką albo touchpadem rzeczywiście - sprawdź, jakie masz sparowane urządzenia. Ewentualnie jeśli sytuacja się powtórzy, sprawdź, kto jest wtedy zalogowany (komenda 'w' lub 'who' w terminalu). Ewentualnie zobacz sobie historię logowań (komenda 'last') z czasu, kiedy to się wydarzyło.

[PeO]

muchos gracias nic i pustka ale przyda się jak akcja się powtórzy a jeżeli masz chwilkę czasu to moje procesy: [ATTACH=CONFIG]15653[/ATTACH][ATTACH=CONFIG]15654[/ATTACH][ATTACH=CONFIG]15655[/ATTACH] .... jedyne wyjście to odpalić kopie z TM

[ftpd]

Nic nie widać na tych obrazkach. A procesy z teraz niewiele powiedzą, przydałyby się z 'wtedy', czego raczej się zrobić nie da ;-)

[NoneZ]

Z terminala wydaj polecenie: netstat -p tcp i wklej tu rezultat. Polecenie to pokaże wszystkie połączenia, jakie Twój komputer realizuje w danej chwili. Dla uproszczenia wyłącz wcześniej przeglądarkę, klienta poczty itp. Jeśli rzeczywiście złapałeś "jakieś paskudztwo" być może uda się za pomocą wyniku powyższego polecenia wyśledzić z czym się Twój komputer tak naprawdę łączy.

[pol]

a może vnc jakieś , zdalne zarządzanie ? raczej czymś takim mi to pachnie..

[Sim1]

Teraz to już musztarda po obiedzie, jeśli nie ma żadnych śladów w logach to nie ma co roztrząsać tematu.

[pol]

ale może mieć dalej takie udostępnianie włączone..

[Sim1]

'sudo lsof -i4 -P -N' powinno wypisać w zasadzie wszystkie aktualne połączenia i nasłuchy IPv4. Można dla wszelkiego spokoju przeglądnąć listę.

[PeO]

Kurcze super dzięki za pomoc nie sądziłem ze się tak wczujecie w temat. Teraz to ja nic nie widzę w terminalu tylko swoje dane możne jest jakieś magiczne "abarakadabra" do przeglądnięcia historii w terminalu?

[elita]

Tak działa atop, ale na linuxie. Nie wiem czy da się postawić na macu. Loguje w zadanych interwałach ps i zapisuje w /var/log/* z obciążeniem cpu, iorate itd. Dobre np jak widzisz że o 3:00 coś pożerało io dysku i nie wiadomo co to było a to się backup zapętlił

[ftpd]

Nie no, szukanie tego po ~10 dniach nie ma sensu. Teoretycznie masz logi, ale - z całym szacunkiem - przy obecnej znajomości tematu nie dasz rady z nich wyciągnąć nic sensownego, a uczenie Cię od podstaw grzebania w czymś takim zajmie jeszcze więcej ;-)

[PeO]

Jasne że bez sensu dzięki za pomoc jeżeli sytuacja się powtórzy to już wiem jak sprawdzić na szybko w terminalu co jest grane - jeszcze raz wszystkim dziękuje za zaangażowanie pozdrawiam

[PeO]

Jeszcze pytanie czy taki zapis z terminala jest normalny że mam 2 razy użytkownika jako console i jako ttys000: MacBook-Pro-Przemek-Olczak:~ przemekolczak$ last przemekolczak ttys000 Thu Jul 11 13:03 still logged in przemekolczak console Thu Jul 11 09:19 still logged in

[ftpd]

Tak: ~❯ w 13:33 up 1 day, 2:30, 2 users, load averages: 1.06 0.80 0.83 USER TTY FROM LOGIN@ IDLE WHAT ftpd console - Wed11 26:29 - ftpd s000 - 13:33 - w

[PeO]

Ok dzięki

[Sru]

Witam mam podobny problem że dzieją sie cud na moim maczku czy ktoś jest w stanie zinterpretować - bać się czy się nie bać: tcp4 0 0 192.168.0.13.65491 192.168.0.11.http-alt ESTABLISHED tcp4 0 0 192.168.0.13.65488 ec2-54-77-122-22.https ESTABLISHED tcp4 0 0 192.168.0.13.65482 185.31.17.192.http LAST_ACK tcp4 0 0 192.168.0.13.65481 ex.xan.pl.http LAST_ACK tcp4 0 0 192.168.0.13.65423 17.172.116.8.https ESTABLISHED tcp4 0 0 192.168.0.13.65063 ea-in-f109.1e100.imaps ESTABLISHED tcp4 0 0 192.168.0.13.65059 ea-in-f109.1e100.imaps ESTABLISHED tcp4 0 0 192.168.0.13.65049 17.172.232.150.5223 ESTABLISHED tcp4 0 0 192.168.0.13.64106 ec2-54-204-10-10.https ESTABLISHED tcp4 0 0 localhost.adobeserver- localhost.60743 ESTABLISHED tcp4 0 0 localhost.60743 localhost.adobeserver- ESTABLISHED tcp4 0 0 localhost.adobeserver- localhost.60742 ESTABLISHED tcp4 0 0 localhost.60742 localhost.adobeserver- ESTABLISHED tcp4 0 0 localhost.52136 localhost.52137 ESTABLISHED tcp4 0 0 localhost.52137 localhost.52136 ESTABLISHED tcp4 0 0 localhost.52134 localhost.52135 ESTABLISHED tcp4 0 0 localhost.52135 localhost.52134 ESTABLISHMENT