Hai bisogno di aiuto per capire lo script in esecuzione all'avvio? "Osascript -e 'dire app \" ARDAgent \ "per fare script di shell \" say quack \ "'"

1

PASSI PRENDITI

  1. Registrato su Mac stamattina
  2. Attività rilevate e file generati che non ho avviato
  3. Ha fatto storia di bash. Output allegato sotto

Impostazioni

  1. Tutta la condivisione era disattivata
  2. Non utilizzare alcuna condivisione di file o accesso remoto
  3. Firewall è stato impostato su Blocca tutte le connessioni in entrata
  4. Rete domestica senza altri utenti attivi alla volta
  5. Aggiornato ieri a Mavs 10.9.2

Per questo pubblicazione ; SUID disabilitato in ARDAgent con;

sudo chmod u-s \
    /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent

Hai bisogno di aiuto per determinare se si tratta di un processo canaglia, ignorabile o qualcosa che richiede più azioni da parte mia


    Administrator$ history
    1 rm -rf ~/.Trash/*
    2  cd
    3  .
    4  ./
    5  cd 
    6  lib
    7  cd/
    8    
    9  ls
   10  cd downloads
   11  ls downloads
   12  ls Downloads
   13  find / -nouser -ls
   14  find /~nouser -ls
   15  ls
   16  ls /library
   17  /LaunchAgents
   18  ls /LaunchAgents
   19  ls /Automator
   20  ls /KeyChains
   21  sha
   22  toop
   23  top
   24  dscl . -list /Users UniqueID
   25  $ dscl -plist . readall /users
   26  $ dscl . readall /users
   27  $ dscl . readall /503
   28  ls/Users
   29  - dscacheutil -q group
   30  cd
   31  cd.
   32  cd .
   33  ls
   34  ifconfig
   35  ifconfig
   36  ifconfig
   37  config helper
   38  config
   39  ls
   40  ssh XXXXXX
   41  defaults write com.google.Keystone.Agent checkInterval 0
   42  exit
   43  exit
   44  /var/log/secure.log
   45  ssh XXXXXX
   46  exit
   47  kextstat -kl | awk '!/com\.apple/{printf "%s %s\n", $6, $7}'
   48  sudo launchctl list | sed 1d | awk '!/0x|com\.(apple|openssh|vix)|edu\.mit|org\.(amavis|apache|cups|isc|ntp|postfix|x)/{print $3}'
   49  launchctl list | sed 1d | awk '!/0x|com\.apple|edu\.mit|org\.(x|openbsd)/{print $3}'
   50  ls -1A /e*/mach* {,/}L*/{Ad,Compon,Ex,Fram,In,Keyb,La,Mail/Bu,P*P,Priv,Qu,Scripti,Servi,Spo,Sta}* L*/Fonts 2> /dev/null
   51  osascript -e 'tell application "System Events" to get name of every login item' 2> /dev/null
   52  top
   53  ps
   54  top
   55  top
   56  top
   57  sudo /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/Resources/kickstart -agent -stop
   58  man who
   59  who
   60  whoami
   61  ps -aux
   62  ps
   63  top
   64  ps -eo pid,etime
   65  top
   66  ps aux | less
   67  pstree
   68  ps -eo euser,ruser,suser,fuser,f,comm,label
   69  pgrep
   70  pgrep remote
   71  apt-get install htop
   72  htop
   73  netstat -tulpn | grep :80
   74  ls -l /proc/635/exe
   75  swapon  -a
   76  ma ps
   77  man ps
   78  man ps
   79  ps -a
   80  ps -A
   81  whoami
   82  ps -f
   83  ps -G
   84  ps -g
   85  ps -T
   86  ps-t
   87  ps -v
   88  ps start
   89  top
   90  ps
   91  users
   92  last
   93  ls /var/log/wtmp*
   94  last -f /var/log/wtmp.1
   95  last -f /var/log/wtmp.0
   96  ~/.bash_history
   97  cat ~/.bash_history
   98  ls /Automator
   99  cat Automator
  100  open ~/.bash_history
  101  dscl . readall /users
  102  ls/library
  103  cd/library
  104  cd..
  105  cd
  106  ls
  107  cd Library
  108  cd/Library
  109  ls/Automator
  110  toop
  111  top
  112  ifconfig
  113  config helper
  114  config
  115  top
  116  ps -a
  117  ps -A
  118  ps -aux
  119  ps
  120  getprocessforpid(677)
  121  man ps
  122  ps -U
  123  ps -u
  124  GetProcessPID(494)
  125  GetProcessPID() q
  126  GetProcessPID494
  127  GetProcessPID 494
  128  netstat -b
  129  top
  130  top
  131  top
  132  netstat -a
  133  netstat -a | grep vnc | grep ESTABLISHED
  134  top
  135  netstat -a
  136  top
  137  top
  138  netstat -a
  139  ps -aux
  140  netstat -a | grep vnc | grep ESTABLISHED
  141  ps -aux
  142  ps -A
  143  ps -A
  144  netstat -a | grep vnc | grep ESTABLISHED
  145  netstat -a
  146  top
  147  top
  148  netstat -a
  149  netstat -a
  150  netstat -a
  151  q
  152  top
  153  top
  154  sudo tmutil disablelocal
  155  exit
  156  top
  157  top
  158  top
  159  top
  160  top
  161  top
  162  neststat -n
  163  netstat -n
  164  netstat -n
  165  ls
  166  lsaf
  167  cd ..
  168  cd ..
  169  cd ..
  170  cd ..
  171  ls
  172  top
  173  netstat
  174  dscl . list/users
  175  cd ~
  176  dscl . list/users
  177  dscl . list /users
  178  dscl . list /groups
  179  dscl . readall /users
  180  netstat
  181  netstat
  182  whoami
  183  ls
  184  cd ..
  185  cd ..
  186  cd .
  187  cd ..
  188  ls
  189  tree
  190  cd Users
  191  ls
  192  cd Administrator
  193  ls
  194  cd ..
  195  cd ..
  196  cd ..
  197  ls
  198  cd Users
  199  ls
  200  cd Adminstrator
  201  cd Administrator
  202  ls
  203  cd Downloads
  204  ls
  205  exit
  206  whoami
  207  ls
  208  ls
  209  cd Library
  210  ls
  211  cd Application Support
  212  ls
  213  cd ..
  214  ls
  215  cd ..
  216  ls
  217  cd peterobrien
  218  ls
  219  cd Library
  220  whoami
  221  sudo - Adminsitrator
  222  ls
  223  ls
  224  sudo -
  225  more /etc/hosts
  226  scc ver
  227  scc numprofiles
  228  netstat -an |find /i "listening"
  229  netstat
  230  top
  231  kextstat -kl | awk '!/com\.apple/{printf "%s %s\n", $6, $7}'
  232  sudo launchctl list | sed 1d | awk '!/0x|com\.(apple|openssh|vix)|edu\.mit|org\.(amavis|apache|cups|isc|ntp|postfix|x)/{print $3}'
  233  launchctl list | sed 1d | awk '!/0x|com\.apple|edu\.mit|org\.(x|openbsd)/{print $3}'
  234  ls -1A /e*/mach* {,/}L*/{Ad,Compon,Ex,Fram,In,Keyb,La,Mail/Bu,P*P,Priv,Qu,Scripti,Servi,Spo,Sta}* L*/Fonts 2> /dev/null
  235  osascript -e 'tell application "System Events" to get name of every login item' 2> /dev/null
  236  osascript -e 'tell application "System Events" to get name of every login item' 2> /dev/null
  237  top
  238  dscacheutil -flushcache
  239  sudo killall -HUP mDNSResponder
  240  top
  241  ./bitcoin-qt
  242  cd $home
  243  ls
  244  cd ..
  245  cd ..
  246  cd ..
  247  ls
  248  cd Applications
  249  ls
  250  ./bitcoin-qt.app
  251  top
  252  ps -420
  253  ps -9541
  254  top
  255  /Applications/Postgres93.app/Contents/MacOS/bin/psql ; exit;
  256  /Applications/Postgres93.app/Contents/MacOS/bin/psql ; exit;
  257  top
  258  ps -a (2077)
  259  ps -a2077
  260  sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.metadata.mds.plist
  261  top
  262  on run
  263  do shell script "osascript -e 'tell app \"ARDAgent\" to do shell script \"say quack\"'"
  264  end run
  265  ls -ls /System/Library/Filesystems/AppleShare/check_afp.app/Contents/MacOS/check_afp 2
  266  sudo launchctl load -w /System/Library/LaunchDaemons/com.apple.metadata.mds.plist

FINE

    
posta POB 28.02.2014 - 05:35
fonte

2 risposte

1

Sembra che il tuo Mac sia stato compromesso (al momento della tua scrittura) per estrarre bitcoin ( ./bitcoin-qt.app ) usando probabilmente ARDAgent exploit o simile. I comandi inviati sono abbastanza avanzati, tuttavia molti di essi sono comandi di copia e incolla che indicano alcuni pseudo-hacker (con poche conoscenze) che stanno cercando di installare trojan sul tuo sistema.

Trova la spiegazione per i comandi di cronologia qui sotto:

  • 1 : rimuove i file dal Cestino. Forse chiarire alcune prove dopo aver scaricato qualcosa.
  • 2-12 : accesso alla cartella Download con un po 'di problemi. La metà di questi comandi è stata digitata in modo errato, quindi forse la persona era di fretta o stressata.
  • 13-14 : trova tutti i file che appartengono a un utente sconosciuto (per ragioni sconosciute).
  • 15-20 : fatica ad accedere alle tue password nei KeyChain, ma la maggior parte dei comandi è mal digitata. Questo indica pochissime conoscenze su come utilizzare i comandi di shell di base. Sembra che cerchi di accedere a cartelle come /Library/LaunchAgents , /Library/Automator , /Library/Keychains , ma fallisce.
  • 21 : non vi è alcun comando sha .
  • 22-23 : fatica a vedere i tuoi processi.
  • 24-29 : Lottando per controllare tutti gli utenti del sistema, tuttavia il prompt della shell presente in 25-27 indica che questi comandi sono stati copiati e incollati da qualche esercitazione di hacking.
  • 34-39 : controllo della configurazione di rete.
  • 41 : disabilitazione degli aggiornamenti automatici per le app Google.
  • 40 , 45 : accesso all'host remoto.
  • 47 : controllo delle estensioni del kernel non Apple.
  • 48-49 : controllo dei lavori caricati non Apple. La ripetizione dello stesso comando senza sudo potrebbe indicare che l'utente non ha accesso root.
  • 51 : controllo degli elementi di avvio.
  • 57 : disabilitazione dell'agent desktop remoto. Perché?
  • 71-72 : come è riuscito a installare htop usando apt-get su OS X? Non lo so.
  • 73-164 : controllo dei processi, cosa sta ascoltando sulla porta 80 e la cronologia degli ultimi accessi.
  • 165-225 : controllo di nuovi utenti e file.
  • 228 : indica che la persona proviene da uno sfondo di Windows, poiché il parametro /i non è valido.
  • 226-237 : ripetendo le stesse cose più e più volte.
  • 238-480 : azzeramento delle cache DNS.
  • 241-259 : esecuzione del client Bitcoin.
  • 263-264 : incolla il codice nella finestra sbagliata. Dovrebbe essere in realtà:

    osascript -e 'tell app "ARDAgent" to do shell script "say quack"'
    

    Che fondamentalmente sulla riuscita esecuzione di ARDAgent eseguirà il comando say quack che fondamentalmente dice "ciarlatano". Questo supponiamo di testare se ARDAgent è vulnerabile agli attacchi, ma testando usando Sintesi vocale è peggio di quello che può fare l'hacker, perché l'utente lo sentirà e capirà che qualcosa non va.

  • 265 : verifica se check_afp è vulnerabile avendo il flag SUID.

La tua azione era corretta disattivando SUID per ARDAgent . Quando esegui Utility Disco e Autorizzazione riparazioni, verranno ripristinate automaticamente le autorizzazioni corrette (incluso ARDAgent ), a meno che non sia stato modificato . L'altra cosa è mantenere aggiornato il tuo sistema e monitorare i log e la cronologia più frequentemente.

    
risposta data 23.05.2015 - 16:51
fonte
0

Sono estremamente poco chiaro su quello che sta succedendo. Si menziona qualcosa su uno script in esecuzione all'avvio nell'argomento, ma non ne parla mai più. Cosa succede lì? Dove trovi quel copione?

Quella sceneggiatura suggerirebbe a qualcuno di fare uno scherzo su di te, facendo sì che il tuo computer dica "ciarlatano" ogni volta che inizi. Questo non è indicativo di malware.

D'altro canto, un file nascosto che descrivi è un trucco di malware comune, anche se non sono sicuro del motivo per cui contenga solo "--purge" - che non è un comando completo, per quanto ne so e il comando di eliminazione non è probabile che venga comunque utilizzato per scopi dannosi.

Tuttavia, hai qualche indicazione che stai usando app relative a Bitcoin, e c'è stato qualche malware Bitcoin che è apparso di recente. Vedi:

Rilevato nuovo malware CoinThief

Tieni presente che il post su MacRumors a cui fai riferimento nel tuo secondo post ha quasi sei anni e fa riferimento a una vulnerabilità chiusa nel 2008. È completamente irrilevante per qualsiasi sistema moderno.

Inserito da: thomas_r nelle community di assistenza Apple

    
risposta data 23.05.2015 - 16:52
fonte

Leggi altre domande sui tag