Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Hacked  (gelezen 536 keer)

Offline bentdarco

  • Lid
Hacked
« Gepost op: 2016/04/30, 16:53:35 »
Ik ben hier op een andere topic als eens over begonnen, maar het is mij nog niet helemaal duidelijk.

Paar jaar geleden was mijn MacBook Pro met OS X en later ook met Ubuntu gehacked, ik kon dit zien aan persoonlijke tekstbestanden die op mijn bureaublad werden geplaatst, spullen in een game die ik speel op de grond werden gegooid, vensters die geopend werden, wachtwoorden die veranderd werden.

Toen ik netstat command deed, kon ik een IP adres vinden van een persoon die ik ''ken''

Er is daar heel wat aan vooraf gegaan, maar sinds het gebeurd is, vraag ik mij af, hoe iemand zo makkelijk een systeem binnen kan komen.

Ik heb er heel wat over nagedacht, eerst dacht ik dat er ingelogged was via SSH, Telnet, of FTP.

De persoon was in bezit van mijn IP adres, en op mijn modem waar mijn MacBook direct aan verbonden was, stond port 21 - 22 - 23 open.

Mij was verteld dat om in te loggen via SSH Telnet of FTP, je altijd in het bezit moet zijn van een wachtwoord.

Aangezien deze persoon een tijd alleen is geweest met mijn Laptop, is het misschien mogelijk dat er een soort van ''rogueware" of ''spyware" geinstalleerd was, die een herinstallatie overleefd heeft.

hoevaak ik ook een format heb gedaan en een reinstall van OS X - Windows 10 - Ubuntu - Debian, de persoon leek altijd binnen te komen, en mijn game-time te verpesten.

-- Heeft het zin om na een standaard Ubuntu installatie, of Debian installatie, de SSH-client, Telnet-client, FTP-client, met ''apt-get remove --purge'' eruit te halen, of gaat dit niet veel verschil maken?

-- Is het mogelijk dat er op een hidden partitie, of zelfs de MBR of GPT, of op een andere plek, software geinstalleerd was, toen de persoon alleen was met mijn laptop, die nadien mijn wachtwoord stuurde, zodat de persoon een verbinding kon maken via SSH, Telnet, FTP, of misschien een andere verbinding?
« Laatst bewerkt op: 2016/04/30, 16:55:34 door bentdarco »

Offline MKe

  • Lid
  • Steunpunt: Nee
Re: Hacked
« Reactie #1 Gepost op: 2016/04/30, 17:09:11 »
Wel een vreemd verhaal en iets waar ik nog nooit eerder van heb gehoord. Maar het is theoretisch mogelijk dat er malware in de firmware van je Mac is gezet. Dit zou dan wel een handige jongen zijn.
W.b.t. weggooien van ssh etc, het zou voldoende moeten zijn om de firewall op die poorten dicht te gooien. Staan deze geforeward op je router?
Kijk ook eens of er meerder gebruikers zijn geconfigureerd op je computer en gooi alle ssh keys weg.

Offline bentdarco

  • Lid
Re: Hacked
« Reactie #2 Gepost op: 2016/04/30, 17:18:36 »
Hoe zou ik deze Mac Firmware weer terug ''schoon'' kunnen krijgen?

Offline MKe

  • Lid
  • Steunpunt: Nee
Re: Hacked
« Reactie #3 Gepost op: 2016/04/30, 17:21:43 »
Ik heb geen verstand van Apple, maar ik denk dat je dat in de applestore kunt laten doen.

Overigens vroeg je of je de ssh, ftp etc client weg moest halen, maar de client zal nooit toegang verlenen, dat moet de service doen, dus je zou de openssh sever weg kunnen halen.
Overigens is er ook een remote desktop app in chrome (gebruik je chrome?). Daarmee schijnt iemand ook op een andere computer te kunnen werken. Ik gebruik het zelf niet, maar misschien staat die remote server van chrome in je chrome settings? Ik speculeer hier maar wat, dit kan net zo goed onzin en onmogelijk zijn, maar goed.
« Laatst bewerkt op: 2016/04/30, 17:29:58 door MKe »
Mijn blokkendoos blog: http://mke21.wordpress.com/

Offline partsman

  • Lid
  • Steunpunt: Nee
Re: Hacked
« Reactie #4 Gepost op: 2016/04/30, 18:09:25 »
Je kunt in OSX met behulp van schijfbeheer je schijf compleet wissen inclusief je recoverypartitie.
Daarna kun je met de toetsen cmd+alt+r , een recovery uitvoeren vanaf internet,dan wordt je schijf opnieuw opgebouwd inclusief een nieuwe recoverypartitie.
En niet vergeten het NVRAM te wissen,hierin worden de meest gebruikte instellingen bewaard ,ook na uitzetten wissen schijf e.d , resetten doe je door de toetsen cmd+alt+p+r.

Re: Hacked
« Reactie #5 Gepost op: 2016/04/30, 21:46:10 »
Heb geen verstand van software dus ik ga geen oplossing aandragen.

Maar na het vergeten van mijn password via het forum een methode heb gekregen waardoor men via de recovery mode/root  een password buiten de 'officiële manier' (via de interface bij instellingen waarvoor men ingelogd dient te zijn) via het opstartprogramma eenvoudig kan veranderen, zonder dat daaraan een herkenningsvraag als 'wat is je favoriete boek' of 'de laatste vier cijfers van je telefoonnumer' of een e-mailcode e.d. is gekoppeld, zoals sommige online programma's dat wel hebben in geval van een vergeten password.
Was erdoor geholpen, maar bij tweede gedachte lijkt het mij voor een kwaadwillend deskundig persoon een fluitje van een cent om op willekeurig welke pc het password van de gebruiker te resetten, van alles te lezen, copieren, te installeren, aan te passen en vervolgens weer in de oude situatie af te sluiten zonder dat de gerechtigde hiervan weet als hij de gelegenheid heeft.
Een beetje achterdochtig wellicht, maar twijfel hierdoor wel of ik ubuntu op een laptop die soms tijdelijk  onbeheerd wordt achtergelaten of wordt uitgeleend. In ieder geval wel een reden om voorzichtig te zijn met opslaan en bewaren van documenten in ubuntu.
En over alle andere mogelijkheden en methoden waar iets fout kan gaan begin ik maar niets eens na te denken.  :|

Offline MKe

  • Lid
  • Steunpunt: Nee
Re: Hacked
« Reactie #6 Gepost op: 2016/05/01, 08:30:33 »
Het is altijd gevaarlijk je computer onbeheerd in iemands handen te geven die je niet vertrouwd. Dit soort achterdeurtjes zit in elke OS omdat mensen nu eenmaal hun wachtwoord wel eens vergeten. Mensen moeten echter wel altijd fysiek achter de computer zitten voor dit soort geintjes en het kan dus niet op afstand. Dus is het niet zo onveilig als het lijkt.
« Laatst bewerkt op: 2016/05/01, 08:37:37 door MKe »
Mijn blokkendoos blog: http://mke21.wordpress.com/

Offline aartje

  • Lid
  • Steunpunt: Nee
Re: Hacked
« Reactie #7 Gepost op: 2016/05/01, 08:32:31 »


Aangezien deze persoon een tijd alleen is geweest met mijn Laptop, is het misschien mogelijk dat er een soort van ''rogueware" of ''spyware" geinstalleerd was, die een herinstallatie overleefd heeft.



Ieder , jawel IEDER computersysteem is te hacken als je bij de hardware kan komen. Je kan een biospassword zetten, maar dat is bv te resetten door
de kast open te maken en hardware-matig te resetten etc.etc.

Het enige wat je nu nog kan doen is de harde schijf geheel leeg te maken en alles opnieuw te installeren.
Als je je home-directory terug zet moet je er rekening mee houden dat er een trojaans paard in zit..... (ik zeg niet hoe en wat)
en zo zijn er nog wel wat dingetjes, maar dat moet je maar bij de echte hackers informeren.

Als je niet fysiek aan de interne hardware kan komen is het echt niet zo simpel (niets is onmogelijk....) om een goed
beveiligd systeem te hacken.
« Laatst bewerkt op: 2016/05/01, 08:34:17 door aartje »

Offline Erik Krom

  • Lid
  • Steunpunt: Nee
Re: Hacked
« Reactie #8 Gepost op: 2016/05/01, 23:48:29 »
...
Aangezien deze persoon een tijd alleen is geweest met mijn Laptop, is het misschien mogelijk dat er een soort van ''rogueware" of ''spyware" geinstalleerd was, die een herinstallatie overleefd heeft.

hoevaak ik ook een format heb gedaan en een reinstall van OS X - Windows 10 - Ubuntu - Debian, de persoon leek altijd binnen te komen, en mijn game-time te verpesten.
...

Het was mij nog niet duidelijk in de vorige topic dat het nog steeds gebeurd.
Dit is wel erg vreemd.

Komt de persoon alleen nog maar op je spel binnen en is dat spel on-line? Welk spel is het?
Dan zou kunnen dat die persoon de login van je spel heeft bemachtigd en daarmee elke keer inlogt en de boel verpest.

Of komt de betreffende persoon nog steeds ook op je computer binnen en plaatst die bestanden nog steed op je desktop?

Ik kan maar 4 manieren bedenken hoe dat laatste zou kunnen:
1. De betreffende persoon heeft ergens toegang waar een herinstallatie geen effect op heeft. Bijv. een virus in de BIOS al is dit zeer uitzonderlijk.
  Probeer eens een andere computer. Eventueel te lenen van iemand die nog een oud systeem over heeft.

2. Je installatie medium is besmet, maar dan zou zowel de installatie medium voor Ubuntu als voor OS X besmet moeten zijn. Lijk mij erg onwaarschijnlijk.
 Laat iemand een nieuwe Ubuntu installatie stick of DVD maken. Betreft OS X weet ik niet wat de mogelijkheden zijn.

3. De betreffende persoon weet na je herinstallatie weer fysiek aan je computer te komen.
  Zover ik begreep weet je wie er achter zit en het lijkt mij dat je hem niet meer in de buurt van je computer laat komen.

4. Na elke herinstallatie installeer je bepaalde software die niet standaard in de pakketten zitten (bijv. .deb bestand of ppa) en daar zit een besmet programma tussen.

Offline partyrabbit

  • Lid
  • Steunpunt: Ja
Re: Hacked
« Reactie #9 Gepost op: 2016/05/02, 00:39:25 »
Vreemd inderdaad. Zeker na een nieuwe installatie is het schier onmogelijk.

Maar je hebt toch een naam van een bekende? Vraag hem. Stel hem desnoods aansprakelijk voor je verklooide laptop?

Staan er kleine partities in je pc waar iets in staat? Heb je dat al nagekeken?
Heb je dezelfde game terug gezet? Kan die game-server gehacked zijn? Dat het lek dus extern zit?

Je zou in elk geval je bios kunnen resetten? Je harddisc compleet formatteren?
En als je dat gedaan hebt kan er eigenlijk niets meer achter blijven.

Verkoop deze laptop en koop voor de opbrengst een andere terug? Andere harddisk proberen?

Router met firewall!! En firewall laptop aan! (bestaat er geen proggie wat je in en out verbindingen logt?)

Ik weet verder ook geen antwoorden meer. Het klink bijna ongelofelijk. Diegene die je pc 'gehackt' heeft moet wel een pro zijn.

(...) home-directory terug zet moet je er rekening mee houden dat er een trojaans paard in zit..... (ik zeg niet hoe en wat)

Ik zou daar toch graag nog eens iets meer over willen weten, om mijn pc te kunnen controleren en bewaken.
I ♥ Linux

Offline h2o

  • Lid
  • Steunpunt: Nee
Re: Hacked
« Reactie #10 Gepost op: 2016/05/02, 13:51:05 »
Ik ga er vanuit dat je grondige kennis hebt van Linux.
Je zou met een Ubuntu opstartschijf kunnen proberen of je met Gparted een nieuwe paritietabel aan kunt maken. Daarna via de terminal met dd if=/dev/zero of=/dev/hda *de hele schijf met nullen overschijven.
Nauwkeuriger dd if=/dev/urandom of=/dev/hda *
* hda is je schijfletter, nu meestal sda. De * niet met het commando meegeven.

Zie verder hier: https://www.marksanborn.net/howto/wiping-a-hard-drive-with-dd/

Voor verdere grondige documentatie zie hier: https://wiki.archlinux.org/index.php/Securely_wipe_disk
Laptops + werkstations: Debian Stable + backports, server Debian Stable.
Test-laptop: Debian Tesing/Unstable

Offline bentdarco

  • Lid
Re: Hacked
« Reactie #11 Gepost op: 2016/05/02, 14:36:30 »
dus het is NIET mogelijk om zonder wachtwoord binnen te komen via SSH, Telnet, FTP, NetBios of andere client?

dan kan het alleen maar zijn dat er software verstopt zat op mijn macbook die mijn wachtwoord stuurde naar die persoon, zodat hij daarna kon inloggen, mijn root wachtwoord was vaak ook veranderd nadien.

De stappen die ik gezet heb:

- met Xubuntu live cd, ''gdisk /dev/sda'' en dan nieuwe GPT en MBR maken. (ik denk dat hierdoor een rootkit weg moet zijn)

- via de recovery van apple via Wifi opnieuw OS X gedownload en geupdate tot het laatste OS El Capitan. (er was ook een EFI update, dus denk dat de EFI firmware dan ook overschreven is)

- Debian geinstalleerd met een minimale installatie, geen SSH, Telnet, FTP client meer aanwezig.

- Met GUFW alle inbound en outbound op Deny, enkel poort 53 - 443 - 80 - 8080 open (de Online game die ik speel gebruikt HTTP en HTTPS)

- Geen 3e partij software geinstalleerd

- Nieuwe Internet Service Provider met een nieuw modem

-----> dus ik denk dat het ''gehack'' nu na 3 jaar wel voorbij is, en het meeste wat ik nu nog ervaar, gebaseerd is op paranoia dat voortkomt uit de angst van het hacken

 

Offline MKe

  • Lid
  • Steunpunt: Nee
Re: Hacked
« Reactie #12 Gepost op: 2016/05/02, 16:15:23 »
dus het is NIET mogelijk om zonder wachtwoord binnen te komen via SSH, Telnet, FTP, NetBios of andere client?

Jawel, als de persoon fysiek contact heeft gehad met je computer, dan kan hij een ssh key pair aangemaakt hebben. Deze is onafhankelijk van je wachtwoord. Deze keypairs zijn niet meer geldig als je een nieuwe installatie doet, verder worden ze opgeslagen in de home van de betreffende user (~/.ssh) dus als die home leeg gemaakt wordt, dan is de keypair ook weg.

Door de poorten dicht te gooien stop je trouwens al dat ssh en ftp verkeer, dus dat is voldoende bescherming.

Offline Erik Krom

  • Lid
  • Steunpunt: Nee
Re: Hacked
« Reactie #13 Gepost op: 2016/05/02, 19:13:40 »
...
Jawel, als de persoon fysiek contact heeft gehad met je computer, dan kan hij een ssh key pair aangemaakt hebben. Deze is onafhankelijk van je wachtwoord. Deze keypairs zijn niet meer geldig als je een nieuwe installatie doet, verder worden ze opgeslagen in de home van de betreffende user (~/.ssh) dus als die home leeg gemaakt wordt, dan is de keypair ook weg.
...

"/home/[username]/.ssh" is voor *Ubuntu de standaard locatie. Er kan ook een andere locatie worden ingesteld. Bijv. "/etc/ssh"

Offline Kirstie

  • Lid
    • Inkscape: tekenen op de computer
  • Steunpunt: Nee
Re: Hacked
« Reactie #14 Gepost op: 2016/05/05, 16:37:51 »
Hai,

Ik vroeg me af, is het verstandig om hier te posten welke poorten je open hebt staan?
Je kunt misschien ook overwegen om deze persoon aan te geven bij de baas van je online game? Zodat dat ip nummer geblokkeerd kan worden -  wie weet?

Het is wel bijzonder om te lezen wat voor oplossingen iedereen hier aandraagt, heel creatief.
Succes ermee.
Ken je Inkscape al? Vectortekenprogramma. Mijn blog:  https://basiscursusinkscape.wordpress.com

Offline DeBaas

  • Lid
  • Steunpunt: Ja
Re: Hacked
« Reactie #15 Gepost op: 2016/05/06, 13:34:46 »
Uit het hele vrhaal lijkt mij dat de ongewenste toegang mogelijk ook via de/een gamingserver zou kunnen komen.
Al je paswoorden al gewijzigd ?, zowel mail face en andere sociale media ? bank, mail en digid ?
Router gereset? inlognaam en pas gewijzigd? externe (wlan) toegang tot je router uitgezet?

Mogelijk de compu bios opniew flashen.
Ik beantwoord GEEN hulpvragen via PB en/of MAIL