---

Kan en mac os x server komme til at fungere som en "zombie i et BOT
kontrolleret netværk ?

(der er nogen der siger vores server har mærkelig aktivitet på port
135:(

--
Michael Holm - ichat: kiaikido [at] mac.com
http://toitsu.dk - http://alexanderteknik.tk
Hus er tilsalg! se mere:
http://plushandel.dk/vis_annonce.php?sagsnr=10059

---

Michael Holm <macsoup@toitsu.dk> wrote:

> Kan en mac os x server komme til at fungere som en "zombie i et BOT
> kontrolleret netværk ?

I teorien ja, men jeg kender ikek nogle programmer eller rootkits der
gør din Mac til en "udød".

>
> (der er nogen der siger vores server har mærkelig aktivitet på port
> 135:(

Få fat i en packetgrabber og aflyt trafikken, evt. via et Ethernet hub.

--
regards , Peter B. P.
http://titancity.com/blog , http://macplanet.dk

---

Peter B. P. <peter@DIESPAMMERSCUM.dk> wrote:

> Michael Holm <macsoup@toitsu.dk> wrote:
>
> > Kan en mac os x server komme til at fungere som en "zombie i et BOT
> > kontrolleret netværk ?
>
> I teorien ja, men jeg kender ikek nogle programmer eller rootkits der
> gør din Mac til en "udød".
>

godt at hører!

> >
> > (der er nogen der siger vores server har mærkelig aktivitet på port
> > 135:(
>
> Få fat i en packetgrabber og aflyt trafikken, evt. via et Ethernet hub.


--
Michael Holm - ichat: kiaikido [at] mac.com
http://toitsu.dk - http://alexanderteknik.tk
Hus er tilsalg! se mere:
http://plushandel.dk/vis_annonce.php?sagsnr=10059

---

Michael Holm <macsoup@toitsu.dk> wrote:

> Kan en mac os x server komme til at fungere som en "zombie i et BOT
> kontrolleret netværk ?
>
> (der er nogen der siger vores server har mærkelig aktivitet på port
> 135:(

Hvilken aktivitet ? .. 135 burde ikke bruges til noget på en OS X Server
... ikke iflg. <http://docs.info.apple.com/article.html?artnum=106439>
men da det er en Microsoft port så måske samba tror den skal gøre et
eller andet ?

/thomas




--
Thomas
Blog & Stuff: http://www.elements.dk/

---

thomas_lists@elements.dk (Thomas von Hassel) writes:

> Hvilken aktivitet ? .. 135 burde ikke bruges til noget på en OS X Server
> .. ikke iflg. <http://docs.info.apple.com/article.html?artnum=106439>
> men da det er en Microsoft port så måske samba tror den skal gøre et
> eller andet ?

Der blev jo ikke sagt at trafikken startede på maskinen. Jeg tror
bare der bliver tævet på den.

Maskinen burde uanset hvad stå bag en firewall. En almindelig
NAT-router kan sagtens gøre det.

--
Thorbjørn Ravn Andersen "... plus ... Tubular iMacs!"

---

Thorbjørn Ravn Andersen <nospam0000@gmail.com> wrote:

> thomas_lists@elements.dk (Thomas von Hassel) writes:
>
> > Hvilken aktivitet ? .. 135 burde ikke bruges til noget på en OS X Server
> > .. ikke iflg. <http://docs.info.apple.com/article.html?artnum=106439>
> > men da det er en Microsoft port så måske samba tror den skal gøre et
> > eller andet ?
>
> Der blev jo ikke sagt at trafikken startede på maskinen. Jeg tror
> bare der bliver tævet på den.
>
> Maskinen burde uanset hvad stå bag en firewall. En almindelig
> NAT-router kan sagtens gøre det.

"mærkelig aktivitet på port 135" læser jeg som om det kommer fra nævnte
maskine ... selvom det lyder usandsynligt ...


--
Thomas
Blog & Stuff: http://www.elements.dk/

---

Thomas von Hassel <thomas_lists@elements.dk> wrote:

> Thorbjørn Ravn Andersen <nospam0000@gmail.com> wrote:
>
> > thomas_lists@elements.dk (Thomas von Hassel) writes:
> >
> > > Hvilken aktivitet ? .. 135 burde ikke bruges til noget på en OS X Server
> > > .. ikke iflg. <http://docs.info.apple.com/article.html?artnum=106439>
> > > men da det er en Microsoft port så måske samba tror den skal gøre et
> > > eller andet ?
> >
> > Der blev jo ikke sagt at trafikken startede på maskinen. Jeg tror
> > bare der bliver tævet på den.
> >
> > Maskinen burde uanset hvad stå bag en firewall. En almindelig
> > NAT-router kan sagtens gøre det.
>
> "mærkelig aktivitet på port 135" læser jeg som om det kommer fra nævnte
> maskine ... selvom det lyder usandsynligt ...

Det var også min reaktion
har foreslået at vi får lidt mere info fra "anmelderen" :)

--
Michael Holm - ichat: kiaikido [at] mac.com
http://toitsu.dk - http://alexanderteknik.tk
Hus er tilsalg! se mere:
http://plushandel.dk/vis_annonce.php?sagsnr=10059

---

Michael Holm <macsoup@toitsu.dk> wrote:

> Thomas von Hassel <thomas_lists@elements.dk> wrote:
>
> > Thorbjørn Ravn Andersen <nospam0000@gmail.com> wrote:
> >
> > > thomas_lists@elements.dk (Thomas von Hassel) writes:
> > >
> > > > Hvilken aktivitet ? .. 135 burde ikke bruges til noget på en OS X Server
> > > > .. ikke iflg. <http://docs.info.apple.com/article.html?artnum=106439>
> > > > men da det er en Microsoft port så måske samba tror den skal gøre et
> > > > eller andet ?
> > >
> > > Der blev jo ikke sagt at trafikken startede på maskinen. Jeg tror
> > > bare der bliver tævet på den.
> > >
> > > Maskinen burde uanset hvad stå bag en firewall. En almindelig
> > > NAT-router kan sagtens gøre det.
> >
> > "mærkelig aktivitet på port 135" læser jeg som om det kommer fra nævnte
> > maskine ... selvom det lyder usandsynligt ...
>
> Det var også min reaktion
> har foreslået at vi får lidt mere info fra "anmelderen" :)

iflg. en irc operator skulle der være installeret en "EnergiMech (emech)
på min maskine...
har kigget på
http://www.energymech.net/features.html
kan ikke helt gennemskue om det skulle være muligt at installere på en
mac server...
--
Michael Holm - ichat: kiaikido [at] mac.com
http://toitsu.dk - http://alexanderteknik.tk
Hus er tilsalg! se mere:
http://plushandel.dk/vis_annonce.php?sagsnr=10059

---

Michael Holm wrote:
> Michael Holm <macsoup@toitsu.dk> wrote:
>
>> Thomas von Hassel <thomas_lists@elements.dk> wrote:
>>
>>> Thorbjørn Ravn Andersen <nospam0000@gmail.com> wrote:
>>>
>>>> thomas_lists@elements.dk (Thomas von Hassel) writes:
>>>>
>>>>> Hvilken aktivitet ? .. 135 burde ikke bruges til noget på en OS X Server
>>>>> .. ikke iflg. <http://docs.info.apple.com/article.html?artnum=106439>
>>>>> men da det er en Microsoft port så måske samba tror den skal gøre et
>>>>> eller andet ?
>>>> Der blev jo ikke sagt at trafikken startede på maskinen. Jeg tror
>>>> bare der bliver tævet på den.
>>>>
>>>> Maskinen burde uanset hvad stå bag en firewall. En almindelig
>>>> NAT-router kan sagtens gøre det.
>>> "mærkelig aktivitet på port 135" læser jeg som om det kommer fra nævnte
>>> maskine ... selvom det lyder usandsynligt ...
>> Det var også min reaktion
>> har foreslået at vi får lidt mere info fra "anmelderen" :)
>
> iflg. en irc operator skulle der være installeret en "EnergiMech (emech)
> på min maskine...
> har kigget på
> http://www.energymech.net/features.html
> kan ikke helt gennemskue om det skulle være muligt at installere på en
> mac server...

Ja, den kan nok godt installeres på en mac.

---

Jon Bendtsen <noone@example.com> wrote:

>
> > iflg. en irc operator skulle der være installeret en "EnergiMech (emech)
> > på min maskine...
> > har kigget på
> > http://www.energymech.net/features.html
> > kan ikke helt gennemskue om det skulle være muligt at installere på en
> > mac server...
>
> Ja, den kan nok godt installeres på en mac.

kan du sige noget om hvordan man finder den ?
har ikke kunne finde noget via spotlight....

--
Michael Holm - ichat: kiaikido [at] mac.com
http://toitsu.dk - http://alexanderteknik.tk
Hus er tilsalg! se mere:
http://plushandel.dk/vis_annonce.php?sagsnr=10059

---

Michael Holm wrote:
> Jon Bendtsen <noone@example.com> wrote:
>
>>
>>> iflg. en irc operator skulle der være installeret en "EnergiMech (emech)
>>> på min maskine...
>>> har kigget på
>>> http://www.energymech.net/features.html
>>> kan ikke helt gennemskue om det skulle være muligt at installere på en
>>> mac server...
>> Ja, den kan nok godt installeres på en mac.
>
> kan du sige noget om hvordan man finder den ?
> har ikke kunne finde noget via spotlight....

jeg kender ikke programmet, du må selv finde det. Men du kunne jo bare
formatere din harddisk og installere det hele igen.



JonB

---

Jon Bendtsen <noone@example.com> wrote:

> Michael Holm wrote:
> > Jon Bendtsen <noone@example.com> wrote:
> >
> >>
> >>> iflg. en irc operator skulle der være installeret en "EnergiMech (emech)
> >>> på min maskine...
> >>> har kigget på
> >>> http://www.energymech.net/features.html
> >>> kan ikke helt gennemskue om det skulle være muligt at installere på en
> >>> mac server...
> >> Ja, den kan nok godt installeres på en mac.
> >
> > kan du sige noget om hvordan man finder den ?
> > har ikke kunne finde noget via spotlight....
>
> jeg kender ikke programmet, du må selv finde det. Men du kunne jo bare
> formatere din harddisk og installere det hele igen.

ok troede du kendte det - hvor kunne du se at det kunne installeres på
en mac, på deres hjemmeside?

Det er ikke en option at reformatere

--
Michael Holm - ichat: kiaikido [at] mac.com
http://toitsu.dk - http://alexanderteknik.tk
Hus er tilsalg! se mere:
http://plushandel.dk/vis_annonce.php?sagsnr=10059

---

Michael Holm <macsoup@toitsu.dk> wrote:

> ok troede du kendte det - hvor kunne du se at det kunne installeres på
> en mac, på deres hjemmeside?

hvis det kan compiles på alt muligt andet så kan det også på OS X med
lidt tweaks. Hvorfor nogen skulle gøre det er et andet spm.

Er der adgang til denne server udefra ? (web, ssh ftp etc. ?)

/thomas


--
Thomas
Blog & Stuff: http://www.elements.dk/

---

Thomas von Hassel <thomas_lists@elements.dk> wrote:

> Michael Holm <macsoup@toitsu.dk> wrote:
>
> > ok troede du kendte det - hvor kunne du se at det kunne installeres på
> > en mac, på deres hjemmeside?
>
> hvis det kan compiles på alt muligt andet så kan det også på OS X med
> lidt tweaks. Hvorfor nogen skulle gøre det er et andet spm.
>
> Er der adgang til denne server udefra ? (web, ssh ftp etc. ?)

ja via ssh og afp (også kører den webmail + lidt server for lidt
websider)

en foreslog at det var en anden maskine der havde "maskeret" sig med
vores IP nr. .... ved ikke hvor svært det er (i film er det vist nemt :)

Dem der sendte problemet skrev at man kunne søge efter nogle filer med
flg. komando, hvad jeg har prøvet via terminal, uden at finde noget...
som root: find / -name .set

har sat en firewall op foran vores net nu (det var noget vi skulle havde
gjort alligevel, selvom jeg syntes det er lidt paranoid :)

Den stopper ikke noget lige nu, men logger og den kunne ikke se noget
aktivitet på port 135 nu...

anmeldelsen skrev at det var reg. 18/4 kl 02:33...

det er lidt underligt, og det kunne være meget sjovt at finde ud af hvad
det var..

--
Michael Holm - ichat: kiaikido [at] mac.com
http://toitsu.dk - http://alexanderteknik.tk
Hus er tilsalg! se mere:
http://plushandel.dk/vis_annonce.php?sagsnr=10059

---

Michael Holm <macsoup@toitsu.dk> wrote:

> Thomas von Hassel <thomas_lists@elements.dk> wrote:
>
> > Michael Holm <macsoup@toitsu.dk> wrote:
> >
> > > ok troede du kendte det - hvor kunne du se at det kunne installeres på
> > > en mac, på deres hjemmeside?
> >
> > hvis det kan compiles på alt muligt andet så kan det også på OS X med
> > lidt tweaks. Hvorfor nogen skulle gøre det er et andet spm.
> >
> > Er der adgang til denne server udefra ? (web, ssh ftp etc. ?)
>
> ja via ssh og afp (også kører den webmail + lidt server for lidt
> websider)
>
> en foreslog at det var en anden maskine der havde "maskeret" sig med
> vores IP nr. .... ved ikke hvor svært det er (i film er det vist nemt :)


UDP er nemt, en rigtig TCP forbindelse kan derimod ikke spoofes ...


>
> Dem der sendte problemet skrev at man kunne søge efter nogle filer med
> flg. komando, hvad jeg har prøvet via terminal, uden at finde noget...
> som root: find / -name .set
>
> har sat en firewall op foran vores net nu (det var noget vi skulle havde
> gjort alligevel, selvom jeg syntes det er lidt paranoid :)


Nej, det er ikke paranoid, det er bare en god idé ...

>
> Den stopper ikke noget lige nu, men logger og den kunne ikke se noget
> aktivitet på port 135 nu...
>
> anmeldelsen skrev at det var reg. 18/4 kl 02:33...
>
> det er lidt underligt, og det kunne være meget sjovt at finde ud af hvad
> det var..

sjov ... og ret vigtigt hvis der er nogen der har kompromiteret jeres
netværk ...

/thomas

--
Thomas
Blog & Stuff: http://www.elements.dk/

---

Michael Holm wrote:
> Jon Bendtsen <noone@example.com> wrote:
>
>> Michael Holm wrote:
>>> Jon Bendtsen <noone@example.com> wrote:
>>>
>>>>
>>>>> iflg. en irc operator skulle der være installeret en "EnergiMech (emech)
>>>>> på min maskine...
>>>>> har kigget på
>>>>> http://www.energymech.net/features.html
>>>>> kan ikke helt gennemskue om det skulle være muligt at installere på en
>>>>> mac server...
>>>> Ja, den kan nok godt installeres på en mac.
>>> kan du sige noget om hvordan man finder den ?
>>> har ikke kunne finde noget via spotlight....
>> jeg kender ikke programmet, du må selv finde det. Men du kunne jo bare
>> formatere din harddisk og installere det hele igen.
>
> ok troede du kendte det - hvor kunne du se at det kunne installeres på
> en mac, på deres hjemmeside?

Der står at det virker på de fleste unix'er, så virker det som regel
også på en mac.


> Det er ikke en option at reformatere

Hvis du er hacket kan det være at du ikke har andre muligheder.

---

Jon Bendtsen <noone@example.com> writes:

> > Det er ikke en option at reformatere
>
> Hvis du er hacket kan det være at du ikke har andre muligheder.

Det er meget enkelt - hvordan kan man være sikker på at alt skramlet
er væk?

Det kan man ikke uden at reformmatere.
--
Thorbjørn Ravn Andersen "... plus ... Tubular iMacs!"

---

Thorbjørn Ravn Andersen <nospam0000@gmail.com> wrote:

> Jon Bendtsen <noone@example.com> writes:
>
> > > Det er ikke en option at reformatere
> >
> > Hvis du er hacket kan det være at du ikke har andre muligheder.
>
> Det er meget enkelt - hvordan kan man være sikker på at alt skramlet
> er væk?
>
> Det kan man ikke uden at reformmatere.

Jeg ville ikke stole på en maskine ... heller ikke hvis det bare var en
kraftig mistanke om kompromitering.

/thomas

--
Thomas
Blog & Stuff: http://www.elements.dk/

---

Thomas von Hassel <thomas_lists@elements.dk> wrote:

> Thorbjørn Ravn Andersen <nospam0000@gmail.com> wrote:
>
> > Jon Bendtsen <noone@example.com> writes:
> >
> > > > Det er ikke en option at reformatere
> > >
> > > Hvis du er hacket kan det være at du ikke har andre muligheder.
> >
> > Det er meget enkelt - hvordan kan man være sikker på at alt skramlet
> > er væk?
> >
> > Det kan man ikke uden at reformmatere.
>
> Jeg ville ikke stole på en maskine ... heller ikke hvis det bare var en
> kraftig mistanke om kompromitering.
>
Det kan du godt havde ret i, jeg syntes blot aldrig at jeg har hørt om
nogen mac os x server der har været udsat for kompromitering, man hører
jo om det med de andre platforme, men kan I henvise til et eneste link
på nettet, hvor folk skriver at der Mac os x server er blevet
kompromiteret ??
(siger ikke det ikke kan ske, men blot at jeg ikke har læst om det)

--
Michael Holm - ichat: kiaikido [at] mac.com
http://toitsu.dk - http://alexanderteknik.tk
Hus er tilsalg! se mere:
http://plushandel.dk/vis_annonce.php?sagsnr=10059

---

Michael Holm wrote:
> Thomas von Hassel <thomas_lists@elements.dk> wrote:
>
>> Thorbjørn Ravn Andersen <nospam0000@gmail.com> wrote:
>>
>>> Jon Bendtsen <noone@example.com> writes:
>>>
>>>>> Det er ikke en option at reformatere
>>>> Hvis du er hacket kan det være at du ikke har andre muligheder.
>>> Det er meget enkelt - hvordan kan man være sikker på at alt skramlet
>>> er væk?
>>>
>>> Det kan man ikke uden at reformmatere.
>> Jeg ville ikke stole på en maskine ... heller ikke hvis det bare var en
>> kraftig mistanke om kompromitering.
>>
> Det kan du godt havde ret i, jeg syntes blot aldrig at jeg har hørt om
> nogen mac os x server der har været udsat for kompromitering, man hører
> jo om det med de andre platforme, men kan I henvise til et eneste link
> på nettet, hvor folk skriver at der Mac os x server er blevet
> kompromiteret ??
> (siger ikke det ikke kan ske, men blot at jeg ikke har læst om det)

Det kan være et eller andet 3. party software som har givet adgangen.

---

Jeg har faktisk haft det samme problem med en linux boks en gang, der
blev sløv fordi den blev udsat for konstante angreb på port 135.
Angrebene var naturligvis ufarlige, da de gik efter win.exe filen, men
det sløvede maskine gevaldigt.

/Allan

On 25 Apr., 21:59, thomas_li...@elements.dk (Thomas von Hassel) wrote:
> Thorbjørn Ravn Andersen <nospam0...@gmail.com> wrote:
>
> > Jon Bendtsen <n...@example.com> writes:
>
> > > > Det er ikke en option at reformatere
>
> > > Hvis du er hacket kan det være at du ikke har andre muligheder.
>
> > Det er meget enkelt - hvordan kan man være sikker på at alt skramlet
> > er væk?
>
> > Det kan man ikke uden at reformmatere.
>
> Jeg ville ikke stole på en maskine ... heller ikke hvis det bare var en
> kraftig mistanke om kompromitering.
>
> /thomas
>
> --
> Thomas
> Blog & Stuff:http://www.elements.dk/

---

Allan <minkonto@gmail.com> wrote:

> Jeg har faktisk haft det samme problem med en linux boks en gang, der
> blev sløv fordi den blev udsat for konstante angreb på port 135.
> Angrebene var naturligvis ufarlige, da de gik efter win.exe filen, men
> det sløvede maskine gevaldigt.
>

Der er også forskel på at være udsat for et flood angreb og så have en
box der _måske_ er hacket ..

/thomas


--
Thomas
Blog & Stuff: http://www.elements.dk/

---

Allan wrote:
> Jeg har faktisk haft det samme problem med en linux boks en gang, der
> blev sløv fordi den blev udsat for konstante angreb på port 135.
> Angrebene var naturligvis ufarlige, da de gik efter win.exe filen, men
> det sløvede maskine gevaldigt.

Det burde faktisk ikke sløve din pc særlig meget, hvis du har firewall
på, så kaster den bare pakkerne i havet.

Hvis du derimod har porte åbne og de angriber dem, så sløver det voldsomt.

firewalls er gode, især hvis de er indbygget i routeren :)

Max