In macOS High Sierra, dove posso trovare gli indirizzi IP che hanno effettuato l'accesso al mio Mac tramite Screen Sharing o ssh?
Sarebbe utile alla luce della vulnerabilità di accesso root di recente scoperta.
Come sottolinea @Melvin, è stata appena rilasciata una patch. Ma alla domanda in questione, la risposta facile è no , erano root sul tuo computer. È compromesso, punto, per definizione non ci si può fidare di nulla su di esso se si sospetta che sia stato compromesso.
Per approfondire ulteriormente, se qualcuno ha accesso da remoto alla tua macchina, non sarai mai in grado di scoprirne le tracce se sanno cosa stanno facendo e puliscono le loro tracce.
Questo non era "qualcuno ha preso la chiave per l'ufficio del capo e si è confuso un po 'là dentro", questo è "qualcuno ha la chiave principale, fondi illimitati e un equipaggio contruction illimitato con tempo illimitato a portata di mano". Se sospetti dove sei stato compromesso, formattalo e reinstallalo.
Per rispondere alla domanda in parole povere (cioè come qualcuno che senza le abilità prereq di pulizia delle tracce probabilmente lascia tracce).
Iniziamo con ssh, per una discussione completa vedi questa domanda . In breve cerca ssh o sshd (la parte "server" di ssh) in "Console.app" o per terminale:
cat /var/log/system.log | grep sshd
Il problema con sshd è che normalmente non viene registrato nulla (la sicurezza riguarda AFAIK).
Lo stesso problema esiste con VNC / Screen Sharing e Apple Remote Desktop / Remote Management, vedi ad esempio questo , questo e this , che le normali connessioni accettate non vengono registrate. Solo quelli rifiutati. Quelli rifiutati verrebbero probabilmente da "screensharingd", quindi cercalo nella "Console.app" o nel terminale
cat /var/log/system.log | grep screensharingd
Tranne questo, è possibile trovare facilmente altre tracce? Guarderei gli utenti e assicurarmi che siano solo utenti validi e che nessun livello di autorizzazione sia cambiato ecc.
Vorreiancheverificaresesonoabilitatituttiiserviziremoti.Guardal'immaginequisotto.Diinteressesono"Screen Sharing", "Login remoto" e "Gestione remota". cmd + spazio - > "condividere" è il modo più semplice per arrivarci.
Non sono stato in grado di sfruttare questa vulnerabilità da remoto, tuttavia sono stato in grado di collegarmi e tentare di scalare i miei privilegi in Preferenze di Sistema usando "root" senza password.
Per rilevare questo, scansiona i log della macchina desiderata con il seguente comando in Terminale.
sudo log show --style syslog | fgrep "authenticated as user root (UID 0) for right"
L'output di questo comando mostrerà l'UID dell'utente che ha effettuato l'accesso quando è stata sfruttata questa vulnerabilità e l'ora. Prenditi il tempo e cerca le connessioni ssh o remote in quel periodo di tempo.
Aggiorna, per cercare gli accessi tramite l'account root, usa il seguente comando in Terminale.
sudo log show --style syslog | fgrep 'loginwindow' | fgrep 'root'
Non esiste un modo facile e affidabile per ottenere l'indirizzo IP del tuo aggressore a meno che non abbia fatto operazioni molto stupide (come ftp
ing dal suo vero computer di attacco un altro strumento).
L'unico modo serio per rilevare un tale attacco o qualsiasi attacco futuro attraverso un'altra vulnerabilità di MacOS X è installare e utilizzare tripwire . tripwire
è un software di registrazione delle modifiche proveniente da Unix e dal campo di sicurezza. (Puoi installarlo con Macports
).
Se hai precedentemente installato tripwire
, sarai in grado di rilevare un attacco di questo tipo in 3 modi, a seconda del livello di abilità dell'attaccante.
Il tuo aggressore sa tripwire
e sa che non può manomettere il suo database.
Rimuove tutti gli accessi o cancella completamente il tuo filesystem per evitare di essere rintracciato.
La tua installazione tripwire
è stata rimossa e il tuo accesso è stato mantenuto. Rilevererai questo attacco eliminando tripwire
.
Il tuo aggressore non sa tripwire
e tutte le sue modifiche, anche quelle del registro rimosse, saranno registrate.
Leggi altre domande sui tag security high-sierra root screen-sharing