Ho cercato di determinare se c'è malware sul mio Mac OS X 10.9.3, che potrebbe essere il keylogging o altre forme di intrusione non distruttiva.
Considerato il sospetto (non basato sulla tecnica) che la mia macchina è stata compromessa e che il compromesso potrebbe essere sopravvissuto a una cancellazione completa e alla reinstallazione del sistema operativo, mi chiedo quali passi potrei fare per determinare se la macchina è ancora compromessa . Sono non che chiedo aiuto per determinare se sono stato spiato personalmente, solo cercando di determinare se il mio laptop è sicuro. Non inviare commenti che spieghino perché è improbabile che qualcosa stia accadendo. Sto chiedendo informazioni sui passaggi tecnici che posso adottare per aumentare la sicurezza sul fatto che nessuno stia attualmente monitorando il mio laptop.
Passi che ho preso finora:
-
Ispezionate manualmente diverse aree del mio disco usando gli strumenti di shell di base. Alcuni file sono stati sovrascritti inclusi i binari all'interno di specifiche directory dell'applicazione e un processo anomalo che è stato identificato come spyware che sono stato in grado di rimuovere, precedente per eventualmente cancellare il disco rigido e reinstallare OS X (over Air da un'altra macchina, poiché questo è un MacBook).
-
Sophos AntiVirus installato (molti mesi dopo la reinstallazione del sistema operativo). La scansione Full HD non ha rilevato minacce. La scansione dei processi in background deve ancora avvisarmi di qualsiasi cosa.
-
Wireshark ha rilevato diversi flussi di rete sospetti (per me) che inviano quantità variabili di pacchetti crittografati a intervalli regolari a diversi server, inclusi quelli senza voce DNS, alcuni da TLD * .nl o * .ch e alcuni che sono risultati essere spiegati. (Un processo chiamato SophosWeb sta inviando payload crittografati ogni pochi secondi, facendo ruotare le porte nell'intervallo 5K, avanti e indietro da un server registrato su Google. Quindi, sembra legittimo ...) Wireshark produce molti dati.
Sull'ultimo in particolare, dove la preoccupazione principale è spiare le mie attività o dati, non so come guada il rumore del traffico frequente tra il mio portatile, il router Verizon, il mio telefono ... Alcuni dei questo sembra completamente kosher, ma poi ci sono cose come gli scambi UPnP tra il mio portatile Apple e il router Verizon, che sono discutibilmente al sicuro, e difficile sapere come spegnere. Se chiudo Chrome posso ridurre il traffico a un livello sufficiente per indagare manualmente su ciascun server sconosciuto, ma non so cosa cercare.