ShellShock: Devo essere preoccupato per questo su OS X Mavericks?

4

Il tipo di titolo dice tutto ... Ero in procinto di creare un set piuttosto ampio di macchine Mac OS X Server quando ShellShocked ha colpito il mondo. Non appena ho visto le notizie, ho iniziato rapidamente a configurare il firewall PF. Probabilmente troppo frettolosamente, poiché sono riuscito a interrompere molti dei servizi che stavo configurando.

Ora una delle macchine Mac OS X esposte direttamente a Internet si comporta in modo molto strano. Non riesco più a collegarmi alla macchina tramite Desktop remoto o la normale finestra di accesso. (Ho ottenuto la finestra di dialogo agitazione, come se avessi inserito la password sbagliata.) Eppure posso ancora accedere tramite SSH bene.

Conosco abbastanza bene il mio sistema operativo OS X e non vedo processi inusuali. Quindi, a meno che non ci sia una sorta di kit di root per Mac OS X Mavericks nel mondo, o il mio Mac Mini server abbia scelto questo momento per manifestare qualche tipo di problema hardware, sembra che abbassare il firewall dovrebbe farmi tornare nella macchina.

È sicuro?

    
posta Kaelin Colclasure 01.10.2014 - 17:06
fonte

1 risposta

2

Vorrei sbagliare sul lato della cautela e cancellare qualsiasi server che si vede un comportamento strano su quello che è stato esposto alla rete pubblica in generale senza un firewall di registrazione e / o una sorta di tripwire o scansione di sicurezza configurata per confrontare ciò che è cambiato dall'installazione.

Penso che uno dei miei server OS X sia stato compromesso per la prima volta durante questa finestra di vulnerabilità di scripting bash. Il tempo necessario per la ricerca di un kit di root è molto più lungo del tempo necessario per effettuare un ultimo backup e quindi cancellarlo da un'unità esterna e ricominciare da capo.

Nel mio caso, ho avuto un nuovo utente denominato A Lo creato come utente standard. Piuttosto strano e molto poco raffinato di qualcuno che riesce a ottenere il controllo di un server con un indirizzo IP fisso.

Fondamentalmente, il cappello nero più sofisticato che ha compromesso il tuo computer - meno probabilmente lo noterai da un punto di vista dell'affidabilità - se noti instabilità è probabile che le persone che hanno compromesso il tuo server siano inetti o sciatti e causino alla fine dovrai reinstallare.

Per essere chiari, qualsiasi server nascosto dietro un router con NAT è molto meno vulnerabile di un server che esegue servizi live 24/7 con un IPv4 reale e statico e nessun firewall. Le persone che eseguono solo OS X non dovrebbero avere alcuna preoccupazione, a meno che non abbiano altri motivi per pensare che siano compromesse.

    
risposta data 01.10.2014 - 17:18
fonte

Leggi altre domande sui tag