Malware on Mac

Ahhh… irgendwann musste das ja mal anfangen. Malware auf dem Mac. Und der betroffene User hatte Norton AV for Mac installiert – und Norton hat das Problem erkannt, aber:

  1. kann es nicht entfernen, weil die Platte gesperrt sei („Disk locked or read-only“), schon das ist gelogen, und
  2. behauptet, das Problem sei für Mac OS X nicht gefährlich, ebenfalls leider unwahr.

Soviel erst mal wieder zu Norton. Die werden es wohl nie lernen.

Wichtiger ist, wie das Schadprogramm, eine Variante von „Linux.RST.b“, überhaupt auf den Mac kam: Nämlich nicht als Virus durchs Netz, sondern manuell eingepflanzt über SSH.

MacInTouch: Malware report for Apple Macintosh
[Update: dieser Link scheint nicht mehr zu funtionieren, man findet den Lesertipp unter „February 14“-News, und da unter „Notes and Tips“]

Viele Mac-User, die mehrere Maschinen haben, öffnen den Fernzugriff per SSH (Systemeinstellungen/Sharing). Wenn man regelmäßig die Systemupdates von Apple einspielt, ist dagegen auch nichts zu sagen, SSH ist eines der sichereren Protokolle und Programme für diesen Zweck.

Hier lag es anscheinend jedoch daran, dass ein User (die Tochter des betroffenen) ihren Account (username + password) anderswo im Internet weiterverwendet hat – und damit konnte ein gezielter Angriff auf diesen Rechner erfolgen, ohne dass der Angreifer überhaupt herumprobieren musste (dies wurde per Log-Auswertung bewiesen).
Wieder mal eine deutliche Warnung, keinem User am Rechner ein schlechtes Passwort zu erlauben, und Admin-Accounts nur dann zu verwenden, wenn es wirklich notwendig ist.

Ein anderer Leser des Reports auf Macintouch hat noch eine interessante Möglichkeit zur weiteren Abschottung von SSH eingebracht:

In die Datei /etc/sshd_config trägt man dazu folgende Zeile ein, wenn nur die User max und moritz Zugang per SSH haben sollen:

AllowUsers max moritz

Solche Systemdateien editiere ich mit vi, besser gesagt als admin-user, und dann dem Befehl: „sudo vi /etc/sshd_config“ – ich frag mich ob das auch einfacher geht, mit SubEthaEdit zum Beispiel? Wie macht man das da mit den Zugriffsrechten?

Update: das Mac-OS-X-Softwareupdate auf 10.4.5 ist überraschend heute schon da.

Leave a Reply

You must be logged in to post a comment.