Ankündigung: Vorbereitung auf macOS Mojave


Dank Funktionen wie dem Dunkelmodus, Stapeln und vier neuen integrierten Apps kannst du unter macOS Mojave mit einem Klick noch mehr erreichen. Auf macOS Mojave vorbereiten > https://support.apple.com/de-de/macos/mojave

Frage:

Frage: Verdächtige ntpd Verbindungen

Hallo,


habe hier einen MacMini (Mitte 2010) als lokalen 24/7 File-Server (kein Apache, dynDNS o.ä. nur lokales File-Sharing) am Laufen, ursprünglich ausgeliefert mit Snow 10.6.8 und nun seit ca. 2 Jahren auf ElCap 10.11.6 mit den aktuellen Sicherheitsupdates. Die ntpd Version ist 102.50.1 (also aktuell wie mir scheint). Des weiteren läuft darauf LittleSnitch (LS). Die Application Firewall ist aktiviert. Systemeinstellungen->Datum & Urzeit: time.euro.apple.com.


Meine Frage:

Seit Jahren, beginnend mit Snow und nun ebenso unter ElCap versucht ntpd sich mit offensichtlich verdächtigen Servern zu verbinden, was glücklicherweise durch LS gemeldet und verhindert wird.


Hier die aktuellen Versuche:

https://www.abuseipdb.com/check/168.1.128.37

https://www.abuseipdb.com/check/52.73.169.169

https://www.abuseipdb.com/check/83.143.246.30


Wie kommt es dazu und wie kann ich das grundsätzlich (nicht nur per LS) verhindern?


Vielen Dank für eure Antworten und freundliche Grüße!



PS: Bin seit den 80ern Apple-User, Hobby-Entwickler und mit OS X / macOS, Terminal etc. weitgehend vertraut.

Mac mini, OS X El Capitan (10.11.6), ntpd

Gepostet am

Antworten
Frage gekennzeichnet als Hilfreich

09. Jan. 2018, 15:05 als Antwort auf U_aus_B Als Antwort auf U_aus_B

Wäre ev. mal sinnvoll, den Mac komplett neu aufzusetzen. Versteckter Systemschrott wäre dann beseitigt.


Es gibt auch Tools die Schädlinge oder unsichere Programm und Erweiterungen auflisten können.


Detect X für 10.10.-10.13

https://sqwarq.com/detectx/


Detect X für 10.6-10.9

DetectX for Snow Leopard


FastTasks 2 für 10.10.10.13

https://sqwarq.com/fasttasks-2/


Alles Shareware.

Diese Unterhaltung geht noch weiter.

Alle Antworten lesen

Seiteninhalt wurde geladen

Frage gekennzeichnet als Hilfreich

09. Jan. 2018, 15:05 als Antwort auf U_aus_B Als Antwort auf U_aus_B

Wäre ev. mal sinnvoll, den Mac komplett neu aufzusetzen. Versteckter Systemschrott wäre dann beseitigt.


Es gibt auch Tools die Schädlinge oder unsichere Programm und Erweiterungen auflisten können.


Detect X für 10.10.-10.13

https://sqwarq.com/detectx/


Detect X für 10.6-10.9

DetectX for Snow Leopard


FastTasks 2 für 10.10.10.13

https://sqwarq.com/fasttasks-2/


Alles Shareware.

09. Jan. 2018, 15:05

Antworten Hilfreich (1)

09. Jan. 2018, 15:04 als Antwort auf llllppp Als Antwort auf llllppp

Wurde schon mal komplett neu aufgesetzt. Der Mini wird ausser für lokales File-Sharing auch nicht produktiv genutzt (= fast jungfräuliches System, kaum sonstige Software installiert - nur ein paar selbstgestrickte maintenance-scripts/apps)


Trotzdem vielen Dank für den 'Detect X'-Tipp! Kannte ich noch nicht, man lernt immer wieder dazu. 🙂

09. Jan. 2018, 15:04

Antworten Hilfreich

10. Jan. 2018, 12:01 als Antwort auf U_aus_B Als Antwort auf U_aus_B

Zusatzinfos:


Es gab und gibt immer wieder einige Sicherheitsprobleme mit ntp:

https://en.wikipedia.org/wiki/NTP_server_misuse_and_abuse

https://www.golem.de/news/zeitserver-sicherheitsluecken-in-ntp-1412-111296.html


Diese wurden lt. Apple gefixt (Seit Snow 10.6.8).


Ein Version-Check im Terminal mit $ what /usr/sbin/ntpd ergibt 102.50.1 ein weiterer mit $ ntpd --version ergibt jedoch 4.2.6 was eine völlig veraltete Version wäre.


Ich habe hier drei Rechner mit ElCap 10.11.6. Zwei der Rechner (so auch der Mini) wurden ursprünglich mit Snow geliefert der Dritte mit Mavericks.


Auf allen Rechnern traten und treten diese suspekten Verbindungsversuche auf.

Auf den anderen beiden Rechnern habe ich via LittleSnitch alle ausgehenden Verbindungen von ntpd geblockt. Die Zeit wird ja offenbar trotzdem via sntp aktualisiert.

Beim Mini klappt aus mir unerfindlichen Gründen dieser Workaround nicht: Die Zeit wird nicht aktualisiert.



Also nochmals meine Frage, etwas anders formuliert:

Warum treten diese suspekten Verbindungsversuche trotz Sicherheitsupdates immer noch auf und wie kann ich das ohne LS-Workaround in den Griff kriegen? 😕



Vielen Dank für weitere Ideen und Anregungen und schönen Tag!



PS: ClamXAV und EtreCheck finden nichts suspektes. DetectX ebenso nicht.

10. Jan. 2018, 12:01

Antworten Hilfreich

10. Jan. 2018, 12:28 als Antwort auf U_aus_B Als Antwort auf U_aus_B

Leider lässt mich das Forum keinen Edit hinzufügen, daher hier:


Edit:

Auch in den /etc/ntp*.conf - files kann ich keine Unregelmässigkeiten entdecken.

Hier der Inhalt von /etc/ntp-restrict.conf (auf allen drei Rechnern identisch):

"

# Access restrictions documented in ntp.conf(5) and

# http://support.ntp.org/bin/view/Support/AccessRestrictions

# Limit network machines to time queries only


restrict default kod nomodify notrap nopeer noquery

restrict -6 default kod nomodify notrap nopeer noquery


# localhost is unrestricted

restrict 127.0.0.1

restrict -6 ::1


includefile /private/etc/ntp.conf

includefile /private/etc/ntp_opendirectory.conf

"

10. Jan. 2018, 12:28

Antworten Hilfreich
Benutzerprofil für Benutzer: U_aus_B

Frage: Verdächtige ntpd Verbindungen