Come posso rintracciare se qualcuno ha avuto accesso remoto al mio Mac?

4

Sulla mia rete domestica, ho un mini-mac senza testa che uso come server di media, plex e telecamere di sicurezza. Ho attivato la condivisione di schermate e file, in modo da poterla controllare dal mio normale iMac, poiché nessun mouse, tastiera e schermo è collegato a mini-mac. È collegato al mio wifi di casa e anche al mio normale Mac tramite la connessione a fulmine.

Il mio router aveva abilitato il port forwarding per quel mini-mac in modo da poter accedere alle telecamere dall'esterno.

Ieri stavo lavorando al mio Mac normale quando improvvisamente il mio schermo si è spostato sulla "schermata di accesso". Ho anche notato che l'icona della schermata è stata collegata e quando l'ho passata sopra, era il mio indirizzo ip mini-mac. Ho provato a chiudere tutto ASAP, mac e mini mac, quindi ho riavviato e disabilitato la condivisione dello schermo e l'accesso remoto sul mac regolare.

Quali passaggi devo seguire per confermare o escludere, tramite registri e query, che qualcuno è stato in grado di:

  1. Accedere alla mia rete
  2. Accedi con successo al mio mini-mac
  3. Da mini-mac, accedi correttamente al mio iMac
  4. Se uno degli elementi di cui sopra, per quanto tempo fino allo scoperto?
  5. Se fossero in grado di accedere a file, programmi, ecc.

Fondamentalmente, voglio valutare se effettivamente sono stato "hackerato" e, in tal caso, in che misura.

Grazie!

    
posta ogmios 21.06.2017 - 21:57
fonte

1 risposta

3

Quindi la tua rete domestica dovrebbe essere qualcosa del tipo:

                                          +--------------+ 
                          Cameras<------->+  Cam server  +-+
                                          +-------+------+ |   
                                                  |        |
                                                  |        |
+--------------+     +--------------+   wifi/eth  |        |
| The Internet +-----+ ISP's router +-------------+        | Thunderbolt
+--------------+     +--------------+             |        |
                                                  |        |
                                                  |        |
                                          +-------+------+ |
                                          |     iMac     +-+
                                          +-------+------+  

Analisi

  1. Gain access to my network

Si desidera controllare i registri di rete dei seguenti 3 endpoint:

  • Il router (Port 5900, 5901)
  • Il cam server (Port 8000, 8001)
  • L'iMac (attività di collegamento fulmine)

Se ricordi quando si è verificato l'evento e sai come leggere un file pcap, puoi diagnosticare cosa è successo.

  1. Successfully log into my mini-mac

Sul tuo cam server, controlla la voce di quei file di registro (App / Utility / Console):

/var/log/osxvnc.log

/var/log/secure.log

/var/log/system.log

  1. From mini-mac, successfully gain access to my iMac

Sul tuo iMac, controlla la voce di quei file di registro:

/var/log/system.log

Digitando last & last username nel prompt dei comandi potrebbe mostrare alcune informazioni utili.

Informazioni aggiuntive

Un server VNC può essere rinforzato, guarda questo example usando metasploit e modulo vnc_login. Per impedirlo, puoi aggiungere uno di questi 2 livelli di sicurezza:

  • Adotta una politica di password complessa con 12 caratteri come lunghezza minima.
  1. the use of both upper-case and lower-case letters (case sensitivity)
  2. inclusion of one or more numerical digits inclusion of special characters, such as @, #, $
  3. prohibition of words found in a password blacklist
  4. prohibition of words found in the user's personal information
  5. prohibition of use of company name or an abbreviation
  6. prohibition of passwords that match the format of calendar dates, license plate numbers, telephone numbers, or other common numbers

    source wiki

  • Aumenta il livello non utilizzando un'autenticazione di accesso / password.

Puoi trovare una procedura dettagliata qui

Modifica 1 : un utente malintenzionato di successo con privilegi sufficienti cancella alcune voci del registro (se sa cosa sta facendo)

Modifica 2, (risposta ai commenti) :

Also, what specific info should I look for in the logs ?

router: Tempo e amp; Indirizzo IP, poniti queste domande:

  • Quale indirizzo IP è stato collegato alla mia rete quando ero a casa? Vuoi anche conoscere l'indirizzo IP globale che utilizzi quando ti colleghi in remoto alla rete domestica (IP preferito, IP sul posto di lavoro, IP del cellulare ...)

  • Gli eventi dispari si sono verificati al momento xx: xx, ci sono voci nel log del router che corrispondono approssimativamente a questa ora o qualche ora prima?

iMac e amp; Minimac: per prima cosa devi trovare una voce sospetta nel log del router, nota questa voce sospetta timestamp da qualche parte, quindi cerca nel system.log di Mini-mac cosa è successo in questo tempo . Esegui lo stesso processo con iMac tramite il comando sudo last username .

How would I be able to retrieve more items for last command?

Lascia che ti presenti un famoso acronimo nel mondo IT, chiamato RTFM : leggi il manuale Fine . guarda qui

    
risposta data 23.06.2017 - 13:19
fonte

Leggi altre domande sui tag