Vulnerabilità di root di High Sierra: come verificare se qualcuno ha effettuato il login da remoto?

Come sottolinea @Melvin, è stata appena rilasciata una patch. Ma alla domanda in questione, la risposta facile è no , erano root sul tuo computer. È compromesso, punto, per definizione non ci si può fidare di nulla su di esso se si sospetta che sia stato compromesso.

Per approfondire ulteriormente, se qualcuno ha accesso da remoto alla tua macchina, non sarai mai in grado di scoprirne le tracce se sanno cosa stanno facendo e puliscono le loro tracce.

Questo non era "qualcuno ha preso la chiave per l'ufficio del capo e si è confuso un po 'là dentro", questo è "qualcuno ha la chiave principale, fondi illimitati e un equipaggio contruction illimitato con tempo illimitato a portata di mano". Se sospetti dove sei stato compromesso, formattalo e reinstallalo.

Per rispondere alla domanda in parole povere (cioè come qualcuno che senza le abilità prereq di pulizia delle tracce probabilmente lascia tracce).

Iniziamo con ssh, per una discussione completa vedi questa domanda . In breve cerca ssh o sshd (la parte "server" di ssh) in "Console.app" o per terminale:

cat /var/log/system.log | grep sshd

Il problema con sshd è che normalmente non viene registrato nulla (la sicurezza riguarda AFAIK).

Lo stesso problema esiste con VNC / Screen Sharing e Apple Remote Desktop / Remote Management, vedi ad esempio questo , questo e this , che le normali connessioni accettate non vengono registrate. Solo quelli rifiutati. Quelli rifiutati verrebbero probabilmente da "screensharingd", quindi cercalo nella "Console.app" o nel terminale

cat /var/log/system.log | grep screensharingd

Tranne questo, è possibile trovare facilmente altre tracce? Guarderei gli utenti e assicurarmi che siano solo utenti validi e che nessun livello di autorizzazione sia cambiato ecc.

Vorreiancheverificaresesonoabilitatituttiiserviziremoti.Guardal'immaginequisotto.Diinteressesono"Screen Sharing", "Login remoto" e "Gestione remota". cmd + spazio - > "condividere" è il modo più semplice per arrivarci.

Non sono stato in grado di sfruttare questa vulnerabilità da remoto, tuttavia sono stato in grado di collegarmi e tentare di scalare i miei privilegi in Preferenze di Sistema usando "root" senza password.

Per rilevare questo, scansiona i log della macchina desiderata con il seguente comando in Terminale.

sudo log show --style syslog | fgrep "authenticated as user root (UID 0) for right"

L'output di questo comando mostrerà l'UID dell'utente che ha effettuato l'accesso quando è stata sfruttata questa vulnerabilità e l'ora. Prenditi il tempo e cerca le connessioni ssh o remote in quel periodo di tempo.

Aggiorna, per cercare gli accessi tramite l'account root, usa il seguente comando in Terminale.

sudo log show --style syslog | fgrep 'loginwindow' | fgrep 'root'

Non esiste un modo facile e affidabile per ottenere l'indirizzo IP del tuo aggressore a meno che non abbia fatto operazioni molto stupide (come ftp ing dal suo vero computer di attacco un altro strumento).

Tripwire

L'unico modo serio per rilevare un tale attacco o qualsiasi attacco futuro attraverso un'altra vulnerabilità di MacOS X è installare e utilizzare tripwire . tripwire è un software di registrazione delle modifiche proveniente da Unix e dal campo di sicurezza. (Puoi installarlo con Macports ).

Se hai precedentemente installato tripwire , sarai in grado di rilevare un attacco di questo tipo in 3 modi, a seconda del livello di abilità dell'attaccante.

Attacco di alto livello

Il tuo aggressore sa tripwire e sa che non può manomettere il suo database. Rimuove tutti gli accessi o cancella completamente il tuo filesystem per evitare di essere rintracciato.

Attacco di livello medio

La tua installazione tripwire è stata rimossa e il tuo accesso è stato mantenuto. Rilevererai questo attacco eliminando tripwire .

Attacco di basso livello

Il tuo aggressore non sa tripwire e tutte le sue modifiche, anche quelle del registro rimosse, saranno registrate.