Voting in der Community ⬆️⬇️

Wenn euch Beiträge von anderen Usern gefallen, könnt ihr dies durch eine positive Bewertung zeigen und wenn ihr angemeldet seid, so sogar Punkte vergeben. Erfahrt hier mehr zu unserem Bewertungssystem: Voting in der deutschen Apple Support Community


Thread wurde vom System oder vom Community-Team geschlossen.

Benutzerprofil für Benutzer: U_aus_B
U_aus_B Autor
Stufe: Stufe 1
4 Punkte

Verdächtige ntpd Verbindungen

Hallo,


habe hier einen MacMini (Mitte 2010) als lokalen 24/7 File-Server (kein Apache, dynDNS o.ä. nur lokales File-Sharing) am Laufen, ursprünglich ausgeliefert mit Snow 10.6.8 und nun seit ca. 2 Jahren auf ElCap 10.11.6 mit den aktuellen Sicherheitsupdates. Die ntpd Version ist 102.50.1 (also aktuell wie mir scheint). Des weiteren läuft darauf LittleSnitch (LS). Die Application Firewall ist aktiviert. Systemeinstellungen->Datum & Urzeit: time.euro.apple.com.


Meine Frage:

Seit Jahren, beginnend mit Snow und nun ebenso unter ElCap versucht ntpd sich mit offensichtlich verdächtigen Servern zu verbinden, was glücklicherweise durch LS gemeldet und verhindert wird.


Hier die aktuellen Versuche:

https://www.abuseipdb.com/check/168.1.128.37

https://www.abuseipdb.com/check/52.73.169.169

https://www.abuseipdb.com/check/83.143.246.30


Wie kommt es dazu und wie kann ich das grundsätzlich (nicht nur per LS) verhindern?


Vielen Dank für eure Antworten und freundliche Grüße!



PS: Bin seit den 80ern Apple-User, Hobby-Entwickler und mit OS X / macOS, Terminal etc. weitgehend vertraut.

Mac mini, OS X El Capitan (10.11.6), ntpd

Gepostet am 09. Jan. 2018 11:35

Antworten
Frage gekennzeichnet als Beste Antwort
Benutzerprofil für Benutzer: llllppp
llllppp
Stufe: Stufe 8
35.372 Punkte

Gepostet am 09. Jan. 2018 15:05

Wäre ev. mal sinnvoll, den Mac komplett neu aufzusetzen. Versteckter Systemschrott wäre dann beseitigt.


Es gibt auch Tools die Schädlinge oder unsichere Programm und Erweiterungen auflisten können.


Detect X für 10.10.-10.13

https://sqwarq.com/detectx/


Detect X für 10.6-10.9

DetectX for Snow Leopard


FastTasks 2 für 10.10.10.13

https://sqwarq.com/fasttasks-2/


Alles Shareware.

Antwort im Kontext anzeigen
4 Antworten
Frage gekennzeichnet als Beste Antwort
Benutzerprofil für Benutzer: llllppp
llllppp
Stufe: Stufe 8
35.372 Punkte

09. Jan. 2018 15:05 als Antwort auf U_aus_B

Wäre ev. mal sinnvoll, den Mac komplett neu aufzusetzen. Versteckter Systemschrott wäre dann beseitigt.


Es gibt auch Tools die Schädlinge oder unsichere Programm und Erweiterungen auflisten können.


Detect X für 10.10.-10.13

https://sqwarq.com/detectx/


Detect X für 10.6-10.9

DetectX for Snow Leopard


FastTasks 2 für 10.10.10.13

https://sqwarq.com/fasttasks-2/


Alles Shareware.

Antworten
Benutzerprofil für Benutzer: U_aus_B
U_aus_B Autor
Stufe: Stufe 1
4 Punkte

09. Jan. 2018 15:04 als Antwort auf llllppp

Wurde schon mal komplett neu aufgesetzt. Der Mini wird ausser für lokales File-Sharing auch nicht produktiv genutzt (= fast jungfräuliches System, kaum sonstige Software installiert - nur ein paar selbstgestrickte maintenance-scripts/apps)


Trotzdem vielen Dank für den 'Detect X'-Tipp! Kannte ich noch nicht, man lernt immer wieder dazu. 🙂

Antworten
Benutzerprofil für Benutzer: U_aus_B
U_aus_B Autor
Stufe: Stufe 1
4 Punkte

10. Jan. 2018 12:01 als Antwort auf U_aus_B

Zusatzinfos:


Es gab und gibt immer wieder einige Sicherheitsprobleme mit ntp:

https://en.wikipedia.org/wiki/NTP_server_misuse_and_abuse

https://www.golem.de/news/zeitserver-sicherheitsluecken-in-ntp-1412-111296.html


Diese wurden lt. Apple gefixt (Seit Snow 10.6.8).


Ein Version-Check im Terminal mit $ what /usr/sbin/ntpd ergibt 102.50.1 ein weiterer mit $ ntpd --version ergibt jedoch 4.2.6 was eine völlig veraltete Version wäre.


Ich habe hier drei Rechner mit ElCap 10.11.6. Zwei der Rechner (so auch der Mini) wurden ursprünglich mit Snow geliefert der Dritte mit Mavericks.


Auf allen Rechnern traten und treten diese suspekten Verbindungsversuche auf.

Auf den anderen beiden Rechnern habe ich via LittleSnitch alle ausgehenden Verbindungen von ntpd geblockt. Die Zeit wird ja offenbar trotzdem via sntp aktualisiert.

Beim Mini klappt aus mir unerfindlichen Gründen dieser Workaround nicht: Die Zeit wird nicht aktualisiert.



Also nochmals meine Frage, etwas anders formuliert:

Warum treten diese suspekten Verbindungsversuche trotz Sicherheitsupdates immer noch auf und wie kann ich das ohne LS-Workaround in den Griff kriegen? 😕



Vielen Dank für weitere Ideen und Anregungen und schönen Tag!



PS: ClamXAV und EtreCheck finden nichts suspektes. DetectX ebenso nicht.

Antworten
Benutzerprofil für Benutzer: U_aus_B
U_aus_B Autor
Stufe: Stufe 1
4 Punkte

10. Jan. 2018 12:28 als Antwort auf U_aus_B

Leider lässt mich das Forum keinen Edit hinzufügen, daher hier:


Edit:

Auch in den /etc/ntp*.conf - files kann ich keine Unregelmässigkeiten entdecken.

Hier der Inhalt von /etc/ntp-restrict.conf (auf allen drei Rechnern identisch):

"

# Access restrictions documented in ntp.conf(5) and

# http://support.ntp.org/bin/view/Support/AccessRestrictions

# Limit network machines to time queries only


restrict default kod nomodify notrap nopeer noquery

restrict -6 default kod nomodify notrap nopeer noquery


# localhost is unrestricted

restrict 127.0.0.1

restrict -6 ::1


includefile /private/etc/ntp.conf

includefile /private/etc/ntp_opendirectory.conf

"

Antworten

Verdächtige ntpd Verbindungen

Willkommen in der Apple Support Community
Ein Forum, in dem Apple-Kunden sich gegenseitig mit ihren Produkten helfen. Melde dich mit deiner Apple-ID an, um Mitglied zu werden.
Weitere Informationen Registriere dich