specialist
Cadet 3rd Year
- Registriert
- Sep. 2006
- Beiträge
- 33
Hallo zusammen,
weiß jemand, wie ich auf dem Mac Prozesse loggen kann, welche ganz bestimmte DNS-Anfragen machen?
Es ist mir bisher mit lsof oder tcpdump nicht möglich, entsprechende Prozesse mitzuschneiden. Letzteres Tool kann das auch gar nicht, aber ich bekomme darüber und über meinen PiHole entsprechende DNS Anfragen mit.
Ich hoffe ihr könnt mir weiterhelfen, es geht noch ein bisschen weiter, muss dazu etwas ausholen:
Vor ein paar Wochen scheine ich mir ein Skript oder Malware auf meinem Mac eingefangen zu haben, welche ich nicht mehr loswerde (auch nach Neuinstallation). Ich habe von einem Auftragnehmer ein Xcode-Projekt bekommen, wo ein echo-Befehl (xxd | xxd | 44342....423432 | sh > &dev/null &2>&1 (so ähnlich)) in den Buildsettings eingeschleust gewesen ist. Dieser Befehl scheint ausgeführt worden zu sein und hat vermutlich entsprechende Skripte von Servern wie applecdn.ru, flowcdn.ru oder chartcdn.ru heruntergeladen und ausgeführt. Seitdem hat sich periodisch dieses Skript in mein User-Profil (zshrc, profile, ...) repliziert und wird somit bei jedem Terminalstart ausgeführt.
In meinem PiHole habe ich nun entsprechende Domains nach .ru oder .cn gesperrt, vorsichtshalber. Das User-Profil ist nicht mehr beschreibbar (chflags uchg ~/.zshrc), die entsprechenden Befehle sind rausgelöscht. Seitdem sind die Requests an entsprechende Domains weniger geworden (von sekündlich auf minütlich), aber haben nicht aufgehört.
Später ist mir dann irgendwann (nach Neustart) aufgefallen, dass entsprechende Requests an diese Domains immer dann anfingen, nach dem Google Chrome gestartet wurde. Daraufhin habe ich die Extensions deinstalliert und Google Chrome samt Library-Folder runtergeschmissen. Nur mit vorübergehendem Erfolg. Für 2 Stunden kamen keine Requests mehr, danach fing es wieder an.
Dieses Script / Malware / WasAuchImmer macht folgendes: Es versucht sich anscheinend ins User Profil zu schreiben und hängt sich an andere beliebige, zuvor geöffnete Xcode-Projekte, wo es sich in die Build-Phasen reinhängt. Sich da reinzuschreiben ist schon sehr sehr speziell. Echt fies.
Da ich den Mac bereits neu aufgesetzt habe weiß ich nun ehrlich gesagt nicht weiter. Ich hatte jetzt etwas Ruhe zwischen der Neu-Installation, ungefähr zwei Wochen sind vergangen.
Ich möchte gerne den Prozess herausfinden um weiter zu ermitteln, wer oder was da ständig versucht Skripte herunterzuladen.
weiß jemand, wie ich auf dem Mac Prozesse loggen kann, welche ganz bestimmte DNS-Anfragen machen?
Es ist mir bisher mit lsof oder tcpdump nicht möglich, entsprechende Prozesse mitzuschneiden. Letzteres Tool kann das auch gar nicht, aber ich bekomme darüber und über meinen PiHole entsprechende DNS Anfragen mit.
Ich hoffe ihr könnt mir weiterhelfen, es geht noch ein bisschen weiter, muss dazu etwas ausholen:
Vor ein paar Wochen scheine ich mir ein Skript oder Malware auf meinem Mac eingefangen zu haben, welche ich nicht mehr loswerde (auch nach Neuinstallation). Ich habe von einem Auftragnehmer ein Xcode-Projekt bekommen, wo ein echo-Befehl (xxd | xxd | 44342....423432 | sh > &dev/null &2>&1 (so ähnlich)) in den Buildsettings eingeschleust gewesen ist. Dieser Befehl scheint ausgeführt worden zu sein und hat vermutlich entsprechende Skripte von Servern wie applecdn.ru, flowcdn.ru oder chartcdn.ru heruntergeladen und ausgeführt. Seitdem hat sich periodisch dieses Skript in mein User-Profil (zshrc, profile, ...) repliziert und wird somit bei jedem Terminalstart ausgeführt.
In meinem PiHole habe ich nun entsprechende Domains nach .ru oder .cn gesperrt, vorsichtshalber. Das User-Profil ist nicht mehr beschreibbar (chflags uchg ~/.zshrc), die entsprechenden Befehle sind rausgelöscht. Seitdem sind die Requests an entsprechende Domains weniger geworden (von sekündlich auf minütlich), aber haben nicht aufgehört.
Später ist mir dann irgendwann (nach Neustart) aufgefallen, dass entsprechende Requests an diese Domains immer dann anfingen, nach dem Google Chrome gestartet wurde. Daraufhin habe ich die Extensions deinstalliert und Google Chrome samt Library-Folder runtergeschmissen. Nur mit vorübergehendem Erfolg. Für 2 Stunden kamen keine Requests mehr, danach fing es wieder an.
Dieses Script / Malware / WasAuchImmer macht folgendes: Es versucht sich anscheinend ins User Profil zu schreiben und hängt sich an andere beliebige, zuvor geöffnete Xcode-Projekte, wo es sich in die Build-Phasen reinhängt. Sich da reinzuschreiben ist schon sehr sehr speziell. Echt fies.
Da ich den Mac bereits neu aufgesetzt habe weiß ich nun ehrlich gesagt nicht weiter. Ich hatte jetzt etwas Ruhe zwischen der Neu-Installation, ungefähr zwei Wochen sind vergangen.
Ich möchte gerne den Prozess herausfinden um weiter zu ermitteln, wer oder was da ständig versucht Skripte herunterzuladen.
