Mi chiedo se il mio MacBook Pro con OS X sia stato violato?

1

Forse sto diventando un po 'paranoico. Ultimamente il mio MacBook Pro con Mac OS X 10.8.2 si comporta in modo leggermente diverso dal solito.

L'ultima cosa strana che è successo è che in iTerm2, quando ho provato a sudo, ho ottenuto "XXXX non è nel file sudoers.Questo incidente verrà segnalato". Ho appena aggiornato iTerm2 dopo aver ricevuto un aggiornamento. Sul terminale standard Mac OS X tutto funziona perfettamente.

Può essere un rootkit che funziona sul terminale di serie?

Qualche suggerimento?

    
posta ElegantSolution 06.03.2013 - 00:16
fonte

1 risposta

2

Suppongo che tu sia nel file /etc/sudoers . Pertanto, le cose stanno funzionando come previsto nel terminal azionario. Inoltre, sarebbe strano per un rootkit di qualsiasi trucco per rimuoverti dal tuo file sudoers ; i rootkit abilitano accessi extra per l'utente malintenzionato, ma non disabilitano l'accesso ai normali utenti (se non altro perché la rottura delle funzionalità attira l'attenzione, esattamente l'opposto di ciò che un rootkit aspira a).

Quindi tutti i sintomi finora puntano a un bug in iTerm2 (specialmente dal momento che lo hai appena aggiornato), non a un attacco.

La mia ipotesi è che iTerm2 ha cambiato il modo in cui assegna il suo pseudo terminale . Nei sistemi Unix (incluso MacOS X), le utilità della riga di comando devono essere eseguite in un dispositivo speciale chiamato terminale ; è un dispositivo input-output che gestisce i caratteri ma anche concetti come una "dimensione del terminale" con un dato numero di colonne e linee. Questo viene da un periodo in cui i terminali in cui l'hardware davvero tangibile, come quella (Ho trascorso molte ore di codifica su una VT220). Nei sistemi meno antichi, abbiamo schede grafiche, milioni di pixel e colori e emulatori di terminali che sono applicazioni come iTerm2 che fanno credere che ci sia ancora un terminale collegato alla macchina. Per svolgere il proprio lavoro, un emulatore di terminale ottiene dal kernel una coppia di pseudo terminali : questi sono due dispositivi (cioè file speciali), uno che apparirà come un vero terminale per la shell e le applicazioni della riga di comando, e l'altro che offre una vista al contrario del primo. L'emulatore di terminale traduce ciò che legge e scrive nel secondo pseudo-terminale in concetti grafici come disegnare caratteri sullo schermo.

Pertanto sudo verrà eseguito in uno pseudo-terminale che è stato allocato e impostato da iTerm2. sudo è noto per essere pignoli sui terminali; vedi ad esempio l'opzione requiretty nella pagina man . "Per motivi di sicurezza" (una scusa preferita di tutti i tempi), sudo potrebbe richiedere che il terminale sia in qualche modo "genuino" e collegato a una sessione reale dal sistema operativo. Per essere compatibili con questi requisiti di sudo , gli emulatori di terminali devono saltare attraverso una varietà di cerchi in una danza rituale complessa. Trovo possibile che l'aggiornamento di iTerm2 abbia modificato qualche parametro oscuro che sudo ora dichiara eretico, spiegando il messaggio.

Come passaggi di indagine, prova a lanciare questi comandi in un Terminale standard e in iTerm2:

id
ls -la 'tty'
w

In primo comando vi dirà chi sei (dal punto di vista della macchina), secondo comando mostrerà il dispositivo pseudo-terminale attualmente in uso, con i diritti di accesso, e il terzo comando mostra "sessioni" attualmente aperti (quindi di nuovo con i terminali corrispondenti). Qualsiasi discrepanza tra i due terminali potrebbe indicare la causa più prossima del problema.

    
risposta data 06.03.2013 - 02:00
fonte

Leggi altre domande sui tag