[Bijdrager Geminis]

Is mijn Mac gehackt?

Toen ik vanmorgen op mijn Mac keek, moest ik even knipperen met mijn ogen want ik zag dat mijn muis aan het bewegen was over het scherm terwijl ik niets deed! Ik pakte mijn muis en zag dat deze gewoon reageerde maar zodra ik niets deed ging de muis vrolijk verder met bewegen en kwam ik tot mijn schrik tot de conclusie dat iemand mijn Mac aan het besturen was!

Het meest vreemde was dat ik zag hoe via Safari mijn wachtwoorden-manager geopend werd met het wachtwoord. Ik wilde zo snel mogelijk Safari afsluiten maar dat lukte niet goed en toen heb ik maar snel de Mac uitgezet via de powerknop.

Dit is heel bizar voor mij, ik werk al bijna 20 jaar met een Mac maar dit heb ik nog nooit gezien. Ik heb Teamviewer draaien en die stond aan maar er was geen teken dat er een sessie hierin bezig was.

Mijn Mac is dus ‘beveiligd’ met een wachtwoord om in te loggen maar het lijkt alsof deze geraden is maar hoe iemand zou kunnen binnenkomen en ik gewoon met mijn eigen ogen kan zien dat mijn Mac bestuurd wordt…. op zoek naar mijn wachtwoorden…!

Is er iemand die kan zeggen of het überhaupt mogelijk is wat ik beschrijf en wat ik zou moeten doen? Links, tips? Alvast bedankt voor de reacties.

Imac (2012)
Mac OS Sierra
Intenetverbinding enkel via ethernetkabel

[Bijdrager SvS]

Wat raar! Hoogstens zeldzaam bij een Mac!

Opstarten zonder ethernetkabel en wifi uitlaten.
E.e.a. herstellen, nieuw wachtwoord aanmaken, òok iCloud account (Apple ID) voorzien van nieuw wachtwoord.

[Bijdrager Geminis]

SvS op 20 november 2017

Wat raar! Hoogstens zeldzaam bij een Mac!

Opstarten zonder ethernetkabel en wifi uitlaten.
E.e.a. herstellen, nieuw wachtwoord aanmaken, òok iCloud account (Apple ID) voorzien van nieuw wachtwoord.

Bedankt alvast voor je reactie.

Kan het deze malware zijn?

https://thehackernews.com/2017/07/macos-malware-fruitfly.html

FruitFly is surveillance malware that’s capable of executing shell commands, moving and clicking a mouse cursor, capturing webcam, killing processes, grabbing the system’s uptime, retrieving screen captures, and even alerting the hacker when victims are again active on their Mac.

[Bijdrager iMad]

Is er nog iemand in je netwerk met een Mac?
Zo ja dan kan degene, als die je inlog wachtwoord weet je Mac overnemen.

[Bijdrager Geminis]

iMad op 20 november 2017

Is er nog iemand in je netwerk met een Mac?
Zo ja dan kan degene, als die je inlog wachtwoord weet je Mac overnemen.

Ik ben de enige gebruiker in mijn netwerk.

Is er manier om in een bepaalde logfile te zien waar ik zou kunnen zien dat er een andere gebruiker bijv. actief is geweest?

[Moderator Mac Daddy]

Dat klinkt wel eng zeg als je dat ziet. Zonder internet eraan opstarten en dan het een en ander lokaal herstellen qua wachtwoorden ja en daarna iCloud en andere belangrijke accounts ook wijzigen.

Maar niet onlangs een vreemd telefoontje gehad waarbij gevraagd werd om iets op je iMac te doen? Of uberhaupt externe hulp gehad voor zaken met de iMac? Of wellicht in een mailtje waarin ze gevraagd hebben voor inloggegevens en die daar hebt achtergelaten?

En voor veiligheid. Welk OS draai je op de iMac?

[Bijdrager GoeieDag]

Heb je nou al je ww op de Mac veranderd?

En maak eens een EtreCheck rapport en plaats dat hier.

[Bijdrager Geminis]

GoeieDag op 20 november 2017

Heb je nou al je ww op de Mac veranderd?

En maak eens een EtreCheck rapport en plaats dat hier.

Ik had mijn Mac uitgezet, ethernetkabel eruit getrokken (Wifi stond sowieso uit) en ben naar mijn werk gegaan. Straks bij thuiskomst ga ik de tips opvolgen, dank.

[Moderator Pete.Z]

Sowieso zou ik als een speer mijn icloud ww veranderen.

[Bijdrager Mac Hammer Fan]

Geminis, je screensharing staat toch uit?

[Bijdrager McJohn]

Er is toevallig geen ander “Bluetooth” toestel gekoppeld aan je iMac? …een muis bv?

[Bijdrager Geminis]

McJohn op 20 november 2017

Er is toevallig geen ander “Bluetooth” toestel gekoppeld aan je iMac? …een muis bv?

Nee.

Pete.Z op 20 november 2017

Sowieso zou ik als een speer mijn icloud ww veranderen.

Gedaan! Maar ik vraag mij af hoe zijn mijn password van mijn account op de Mac kunnen weten, alhoewel het een 4 cijferige pin is. En je hebt natuurljik keyloggers.

Mac op 20 november 2017

Geminis, je screensharing staat toch uit?

Oops, die stond aan en onnodig ook omdat Teamviewer dat niet nodig heeft volgens mij.

Ik zag dus vanavond pas dat ik al een maand achterliep op een beveiligingsupdate, ik zal berichtgeving beter afstellen over updatemeldingen. Waar ik nu naar op zoek ben is of ik in logfiles (van screen sharing?) iets zou kunnen vinden. Ik vind niks in Console.

Etrecheck ook gedraaid en die geeft geen problemen aan maar ben nog aan het kijken welke testen ik er nog meer mee kan doen. Ik vind het heel bizar dit, ik dacht even dat ik gek werd en hallucineerde na een korte nacht slaap maar ik zag het inlogvenster van mijn wachtwoorden in de Safari prefs en daarna zag ik mijn lijst met opgeslagen wachtwoorden. 100% dat ik het me niet verbeelde en dat we beiden de muis konden besturen….

Thanks voor de tips, ik ga nog even verder op zoek.

[Bijdrager Geminis]

In de Bibliotheek/Logs/ vind ik een bestand dat vannacht om 3.05 is opgeslagen: talgent.log.2

Time Bundle ID Status Comment
0.000 – – TALagent Started (system uptime: 2080850.67 sec, current time: 532836006.01)
0.008 – – Liveness: 0 -> 1 (run_as_server)
0.021 – – Successfully read encryption key from keychain in 0.013119 seconds
0.028 – – Liveness: 1 -> 2 (schedule_maintenance)
16.478 – – Liveness: 2 -> 1 (__run_as_server_block_invoke)
301.649 – – Liveness: 1 -> 2 (perform_all_maintenance)
301.649 – – Rotating key
301.670 – – Modified the encryption key in-place in the keychain
301.670 – – Liveness: 2 -> 3 (expire_or_reencrypt_bitmaps)
301.670 – – Liveness: 3 -> 4 (expiration_perform_maintenance)
301.670 – – Liveness: 4 -> 3 (perform_all_maintenance)
301.670 – – Liveness: 3 -> 2 (__schedule_maintenance_block_invoke)
301.685 – – Liveness: 2 -> 1 (__expiration_perform_maintenance_block_invoke)
301.727 – – Liveness: 1 -> 0 (__expire_or_reencrypt_bitmaps_block_invoke)
301.727 – – Exiting out of boredom

Nog eentje: talagent.log.3

Time Bundle ID Status Comment
0.000 – – TALagent Started (system uptime: 1942237.77 sec, current time: 532490453.09)
0.014 – – Liveness: 0 -> 1 (run_as_server)
0.029 – – Successfully read encryption key from keychain in 0.014794 seconds
16.496 – – Liveness: 1 -> 0 (__run_as_server_block_invoke)
16.496 – – Exiting out of boredom

Dit is niet normaal lijkt me, sorry ben niet zo goed onderlegd in dat jargon ondanks dat ik al zoveel Macs heb gehad.

Edit: misschien was ik dat wel zelf omdat mijn geschiedenis in mijn hoofdbrowser tot 3 uur ging, korte nacht zoals ik zei maar ik blijf dat ik vanmorgen gedouched en wel en op het punt stond om te vertrekken, dat ik nog even besloot online nog iets te checken en direct gebeurde de overname.

[Bijdrager McPim]

Dat laatste is in ieder geval onschuldig Geminis. TALagent heeft met ‘versions’ en ‘autosave’ te maken en is een Apple proces. Screensharing aan én Teamviewer, dat kunnen natuurlijk potentiële lekken zijn. Maar dan moet iemand wel of op je interne netwerk zitten, of van buiten je Mac kunnen benaderen. Met screensharing kan dat niet zomaar (van buiten), met Teamviewer wel. Lijkt mij de eerste verdachte, dus: waarom gebruik je dit en wie heeft er toegang tot je Teamviewer account?

Verander inderdaad al je wachtwoorden zoals gezegd en zie Mac Daddy: zijn er andere gekke dingen gebeurd onlangs?

[Bijdrager tarun]

Die TALagent is blijkbaar van Apple zelf, dus OK.

[Bijdrager Geminis]

Thanks! Ik heb inderdaad een kleine maand geleden een poort open gezet op mijn modem om de Mac op afstand uit slaapstand te krijgen voor Teamviewer dus.

En in de hoek van rare dingen: sinds dit weekend heb ik op de iPhone, de urlbar en bottombar in het zwart! Safari afgesloten via beginscherm en zelfs telefoon opnieuw opstarten helpt ook niet. Gister kreeg ik een automatische update van Firefox, de hoofdbrowser. Ik ben helemaal niet van de automatische updates maar wat me helemaal verbaasde is dat ik het donkere thema opeens had! Ik vond het helemaal niets, zwarte tabbladen en onleesbaar en vond via de zoekmachine dat het bij addons ingesteld kon worden. Nooit gebruikt in al die jaren FireFox. Toeval? Bij Safari op de iPhone is ‘ie nog zwart.

Call me crazy.

Ik heb de laatste updates behalve dat ik nog niet ben overgestapt naar High Sierra. Voor de Iphone ben ik trouwens ook niet overgestapt naar de laatste versie 11 omdat bepaalde apps niet meer werken daarop.

[Bijdrager McPim]

Geminis op 20 november 2017

Ik heb inderdaad een kleine maand geleden een poort open gezet op mijn modem om de Mac op afstand uit slaapstand te krijgen voor Teamviewer dus.

Tsja. Is er op een of andere manier een mogelijkheid dat iemand je Teamviewer inlog heeft weten te bemachtigen? Er zijn ook andere manieren om je Mac te benaderen, via een VPN verbinding bijvoorbeeld. En je kunt je afvragen hoe noodzakelijk het is, als het om toegang tot je bestanden gaat kun je beter een cloud-service gebruiken. Dan kan nooit je Mac worden overgenomen.

Voor de rest van je tekst kun je beter een ander draadje maken, dat heeft hier niks mee te maken

[Bijdrager GoeieDag]

Geminis op 20 november 2017

Call me crazy.

Niet dat, maar een beetje gebrek aan iOS kennis wel: dit verschijnsel is gewoon de privé modus van Safari: https://support.apple.com/nl-nl/HT203036

Zoiets zal ook wel gelden voor je Mac probleem…

[Bijdrager Geminis]

Bedankt voor de tip GoeieDag ik had het inderdaad niet eerder gebruikt, opgelost

Ik kwam nu nu ook pas achter na wat gezoek (gebrek aan OS-kennis) dat Gastgebruikers automatisch konden inloggen en alleen gebruik van Safari kunnen gebruiken. Goh, het toeval. Ik heb het uiteraard uitgezet.

[Bijdrager tarun]

Die gastgebruikers is om te zorgen dat Zoek mijn Mac werkt. Als iemand je Mac “leent” en op Safari gaat kan jij de Mac lokaliseren.

[Bijdrager Joid]

Het lijkt mij niet dat de gastgebruikerfunctie de oorzaak is. Tenminste, ik mag toch aannemen dat dit allemaal gebeurde onder jouw eigen gebruikersaccount? Zo ja, dan zat daar de kwetsbaarheid. Dat staat los van de gastgebruiker.

[Bijdrager McPim]

Dat heeft inderdaad ook niets met je probleem te maken Geminis. Inloggen als gast is niet hetzelfde als je computer overnemen.