Quindi la tua rete domestica dovrebbe essere qualcosa del tipo:
+--------------+
Cameras<------->+ Cam server +-+
+-------+------+ |
| |
| |
+--------------+ +--------------+ wifi/eth | |
| The Internet +-----+ ISP's router +-------------+ | Thunderbolt
+--------------+ +--------------+ | |
| |
| |
+-------+------+ |
| iMac +-+
+-------+------+
Analisi
- Gain access to my network
Si desidera controllare i registri di rete dei seguenti 3 endpoint:
- Il router (Port 5900, 5901)
- Il cam server (Port 8000, 8001)
- L'iMac (attività di collegamento fulmine)
Se ricordi quando si è verificato l'evento e sai come leggere un file pcap, puoi diagnosticare cosa è successo.
- Successfully log into my mini-mac
Sul tuo cam server, controlla la voce di quei file di registro (App / Utility / Console):
/var/log/osxvnc.log
/var/log/secure.log
/var/log/system.log
- From mini-mac, successfully gain access to my iMac
Sul tuo iMac, controlla la voce di quei file di registro:
/var/log/system.log
Digitando last
& last username
nel prompt dei comandi potrebbe mostrare alcune informazioni utili.
Informazioni aggiuntive
Un server VNC può essere rinforzato, guarda questo example usando metasploit e modulo vnc_login. Per impedirlo, puoi aggiungere uno di questi 2 livelli di sicurezza:
- Adotta una politica di password complessa con 12 caratteri come lunghezza minima.
- the use of both upper-case and lower-case letters (case sensitivity)
- inclusion of one or more numerical digits inclusion of special characters, such as @, #, $
- prohibition of words found in a password
blacklist
- prohibition of words found in the user's personal information
- prohibition of use of company name or an abbreviation
-
prohibition of passwords that match the format of calendar dates, license plate numbers, telephone numbers, or other common numbers
source wiki
- Aumenta il livello non utilizzando un'autenticazione di accesso / password.
Puoi trovare una procedura dettagliata qui
Modifica 1 : un utente malintenzionato di successo con privilegi sufficienti cancella alcune voci del registro (se sa cosa sta facendo)
Modifica 2, (risposta ai commenti) :
Also, what specific info should I look for in the logs ?
router: Tempo e amp; Indirizzo IP, poniti queste domande:
-
Quale indirizzo IP è stato collegato alla mia rete quando ero a casa? Vuoi anche conoscere l'indirizzo IP globale che utilizzi quando ti colleghi in remoto alla rete domestica (IP preferito, IP sul posto di lavoro, IP del cellulare ...)
-
Gli eventi dispari si sono verificati al momento xx: xx, ci sono voci nel log del router che corrispondono approssimativamente a questa ora o qualche ora prima?
iMac e amp; Minimac: per prima cosa devi trovare una voce sospetta nel log del router, nota questa voce sospetta timestamp da qualche parte, quindi cerca nel system.log di Mini-mac cosa è successo in questo tempo . Esegui lo stesso processo con iMac tramite il comando sudo last username
.
How would I be able to retrieve more items for last command?
Lascia che ti presenti un famoso acronimo nel mondo IT, chiamato RTFM : leggi il manuale Fine . guarda qui