haroker je napisal/a:

Tezko verjetno da si imel virus na Mac-u. To je res res res redko. Se posebaj za virus ki ga imenjas.

Je bil/je.. na OSX 10.11.6

Podobno pri meni. Le da mi že par dni spamajo čez moj mail.

Kaže da nekje posnifajo moj username in password.

Maile pošiljajo iz Ukraine in Moldavije preko mail serverja na moji domeni.
Ko zamenjam geslo, ga spet nekje najdejo.

Sumim, da je sniffer na eni od mojih naprav. Mogoče celo v routerju. Pa našel sem tudi en IOT termometer, ki komunicira s serverjem, zraven pa še pošilja nekaj po Skypeu. (vsaj moj router tako pokaže.)

Tisti "pornransom" mail sem dobil vsega skupaj 2x lani in se nisem kaj dosti obremenjeval. Pa letos januarja enkrat.

Je pa dejansko mogoče preko fotk, mp3jev in movijev pognat kodo na mašini. V bistvu izkoristijo napako v appu, s katerim tak file odpreš.

https://www.quora.com/How-do-hackers-attach-virus-to-files-like-jpg-files

https://www.google.com/search?client=firefox-b-d&q=virus+in+jpg

Kolega je našel generično fotko, ki jo je potegnil iz neta in naložil na svoj CMS, preko katere so mu hekali site. Potegnil je cel shekan site na svoj računalnik in ga preskeniral z antivirusnim programom. Ven je padla ta fotka in po opisu virusa je bilo točno to, kar se je njemu zgodilo.

Včeraj sem našel celo navodila, kako spraviti škodljivo kodo jpg. Korak po korak z nekim Linuxom.

Maile in tudi morebitna takratna gesla so bili pridobljeni iz kaksne od baz ponudnikov, katerim je bilo pred leti vdrto (Flickr, Yahoo,... se mi zdi, da je bil tudi Adobe med njimi... )


Nekaj virov s temi informacijami:

https://www.businessinsider.com/new-email-scam-uses-old-password-fake-porn-threats-webcam-video-bitcoin-2018-7

https://www.ph9.com/en-GB/email-scam-with-hackers-claim-they-have-your-password/blog_10143

https://www.bbc.com/news/world-us-canada-37447016

Jest je napisal/a:

Maile in tudi morebitna takratna gesla so bili pridobljeni iz kaksne od baz ponudnikov, katerim je bilo pred leti vdrto (Flickr, Yahoo,... se mi zdi, da je bil tudi Adobe med njimi... )

Seveda.

Samo če zamenjam geslo od maila in se čez en dan spamerji avtenticirajo v mail iz ukrainskega in moldavskega IPja, potem so morali nekje dobiti ta novo geslo. In to prej kot v enem dnevu.

In ja. Tudi moj mail (ne pa geslo) je bil med tistimi, ki so ga dobili pri Adobeu.
Samo dobili so samo alias, ki ga uporabljam kot mail. Za logiranje v account pa rabijo fizični mail naslov, ki je pa drugčen of aliasa in ga uporabljam izključno samo za avtentikacijo na mail server. Tko da tole vse skupaj krepko spominja na nek sniffer ali celo keylogger.

Ni pa izključeno, da imajo luknjo v mail serverju na domeni.

macata je napisal/a:

Seveda. Samo če zamenjam geslo od maila in se čez en dan spamerji avtenticirajo v mail iz ukrainskega in moldavskega IPja, potem so morali nekje dobiti ta novo geslo. In to prej kot v enem dnevu. In ja. Tudi moj mail (ne pa geslo) je bil med tistimi, ki so ga dobili pri Adobeu. Samo dobili so samo alias, ki ga uporabljam kot mail. Za logiranje v account pa rabijo fizični mail naslov, ki je pa drugčen of aliasa in ga uporabljam izključno samo za avtentikacijo na mail server. Tko da tole vse skupaj krepko spominja na nek sniffer ali celo keylogger. Ni pa izključeno, da imajo luknjo v mail serverju na domeni.

Kako pa ves, da so se prijavili v tvoj mail? Ce pride mail iz tvojega mail naslova, to se ne pomeni, da je bilo tudi poslano iz tvojega mailboxa ...

Ce pa v logih vidis, da se je nekdo prijavljal na tvoj racun od drugod, pa je to ze dovolj velik razlog za znak za preplah ...

Jest je napisal/a:

Ce pa v logih vidis, da se je nekdo prijavljal na tvoj racun od drugod, pa je to ze dovolj velik razlog za znak za preplah ...

Cca ob pol noči začnem dobivat obvestila o nedostavljeni pošti. Že iz njih se vidij ti IPji.

Ko pogledamo v log na serverju, se lepo vidi, iz katerega IPja je bilo poslano in da je bil pošiljatelj avtenticiran. torej je imel username in password. Torej fizični mail naslov in ta nov password.

Trenutno smo na tem, da imam nov password od 2h zjutraj. Do 10h dopoldne ni bil vpisan v nobeno mašino in je bil mir. Zdaj sem ga vpisal samo v eno mašino in bomo čakali. Torej je poleg moje mašine izpostavljen še router in file server (Mini), ki sploh nima dostopa na internet. Vse ostalo sem ugasnil.

Ja, pa naprave na wifiju. Trenutno samo moj telefon in Apple TV.

Bomo videli, kdaj bodo spet začeli.


-----
Nekaj časa sem imel na sumu kake skripte na netu. Včasih sem se precej ukvarjav z webom in leži po serverjih še precej mojih "mojstrovin", ki že dolgo niso bile poupdejtane. Ampak tam ni nikjer vpisan moj username in password za mail.

Zakaj pa ne vklopiš 2-factor identifikacijo?

lordjimy je napisal/a:

Zakaj pa ne vklopiš 2-factor identifikacijo?

Kako bi pa to delalo?
Da ko pošljem mail, mi prileti potrditveni sms na telefon in ko potrdim, šele server pošlje mail?

Predvsem me zanima, kje uspejo dobit moj U/P. In to tako hitro po spremembi.

filipich je napisal/a:

... ta heker mi je poslal mail z mojega mejla meni. sedaj ne vem, ali sem izbrisal virus popolnoma, tudi če mi Avast ne dobi nič več? in ali lahko z timemachine, tudi greš nazaj preden sem bil okužen in sem rešen? ...

Iz TM lahko dobiš nazaj, če veš, kdaj si bil okužen.

Kaj ti je pa našel Avast?

macata je napisal/a:

Cca ob pol noči začnem dobivat obvestila o nedostavljeni pošti. Že iz njih se vidij ti IPji. Ko pogledamo v log na serverju, se lepo vidi, iz katerega IPja je bilo poslano in da je bil pošiljatelj avtenticiran. torej je imel username in password.

Če maš svoj email server (doma laufa) pol bo treba mal več na security mislt =)

filipich je napisal/a:

ta heker mi je poslal mail z mojega mejla meni. sedaj ne vem, ali sem izbrisal virus popolnoma, tudi če mi Avast ne dobi nič več?

da nisi dobil samo spoofan mail.. tudi če piše tvoj mail v (from:) še ne pomeni da je iz tvojega.

thxslo je napisal/a:

Če maš svoj email server (doma laufa) pol bo treba mal več na security mislt =)

To itak nimam doma. Pač imam gostovanje z lastno domeno v kateri je tudi mail. Kot je blo nekoč običajno. Le da z ponudnikom tega gostovanja sodelujeva že 20let in smo postali v tem času že družinski prijatelji.

Saj pravim. Noben (tudi jaz) ni v začetku verjel, da je taka zadeva tudi realno možna. Ne samo v filmih.

Nekaj čudnega se mi je zgodilo, prosim za pomoč

V mejlu sem kliknil na link skladbe v apple music. Odprlo je novi zavihek in sem lahko poslušal delček skladbe.
Potem sem se prijavil z mejlom in geslom, da sem lahko poslušal cel komad.
Brskalnik ostal odprt, računalnik šel v spanje. Par urc kasneje pa na tem istem zavihku en kup opozoril o virusih.





Itak da sem kliknil Scan Now saj sem na apple music, tudi prijavljen sem bil še

Naprej je pa bilo ful čudno. Karkoli sem kliknil na tej strani (jabolk, Mac, iPhone ...) je zlowdal neko datoteko in čudna okna da moram to kliknit.

Seveda nisem klinil in sem hitro izbrisal iz mape download. Zaprl brskalnik, izklopil povezavo z internetom, restartal računalnik ....še malo pregledal če so kakšna opozorila ...

Je komu to kaj znano....kaj se dogaja? Kaj narobe delam?

Me mora skrbeti?

Varnost in privatnost imam tako. Ta Vatrozid in FileVault mora biti vklopljen?
Se spomnim da sem ob nakupu računalnika dobil nasvet, da nekaj od tega ugasnem ...ne spomnim se zdaj kaj točno in zakaj. (star sem že )

Da bi dobu virus dvomim, sploh, če nisi instaliral kar je zdownlodalo.
Je poznana zgornja stran. Če bo v bodoče pogosto prikazovalo to obvestilo pobriši cache v brskalniku (Safari).

Poskeniraj dodatno še z Malwarebytes (brezplačno verzijo):
https://www.malwarebytes.com/mac/

Kako imate tele nastavitve v varnost/privatnost?

Imate to vklopljeno?

Imam enako kot ti in nikoli nobenih problemov...po tisti strani pa ne klikaj. Kadar kakšni strani dovoliš scan ne bo nič od tega. Če pa ti ponudi še kaj za instalacijo pa sploh NE potrjuj.

Aja, isto virusov imava

Je še kdo opazil, da stran 24ur.com nenormalno žre baterijo?

Ok, imam že precej slabo baterijo, ampak ob malo uporabe komot zdrži cel dan. Če ne grem pogledat 24ur. Telefon se začne gret, baterija pa se sprazni v par minutah. Zgleda kot da divje komunicira z netom. Če ugasnem wifi in prenos podatkov, se zadeva umiri in tudi poraba baterije obstane.

Čist iz firbca me zanima, kaj zavraga počnejo. A kripto majnajo al kaj?
Ta poraba je nukajkrat večja od YT recimo.

macata je napisal/a:

Je še kdo opazil, da stran 24ur.com nenormalno žre baterijo? Ok, imam že precej slabo baterijo, ampak ob malo uporabe komot zdrži cel dan. Če ne grem pogledat 24ur. Telefon se začne gret, baterija pa se sprazni v par minutah. Zgleda kot da divje komunicira z netom. Če ugasnem wifi in prenos podatkov, se zadeva umiri in tudi poraba baterije obstane. Čist iz firbca me zanima, kaj zavraga počnejo. A kripto majnajo al kaj? Ta poraba je nukajkrat večja od YT recimo.

Poraba je 10x večja (v mojem primeru kar 1Ah več ) v primerjavi z drugimi stranmi.
Internetna povezava aka komunikacija z strežniki nima nobene vloge ker telefon tudi v Airplane Modu še vedno lokalno nekaj preračunava z enako porabo !

V primerjavi z Yutubom ki predvaja video na 720p@30 ima stran 24ur.com 3x večjo porabo ko uporabnik nima nobene interakcija z stranjo/telefonom . Noro.



Telefon pustil na mizi za 15min .. temperatura baterije iz 20 na 34



PS: ne filat telefona ko ste na 24ur lmao

Sem preveril z debuggerjem. Dve različni knjižnici za metriko (analitiko) non-stop parkrat na sekundo prožita timerje in izvajata neko kodo. Na telefonu, kjer je naložen adblocker, se to ne dogaja.

Vidim da rabim nov telefon...
... da bom lahko gledal spletne strani, na katerih sicer nič ne piše, rabijo pa močan procesor, da zračunajo vrstni red tistig 20 oglasov, ki mi jih bodo prikazali.

Al pa se odvadit brat slo novice. Nobene škode. Če bo pa kaj bistvenega, mi bodo pa itak na kofetu povedali.