My iMac è stato violato tramite sshd. E adesso?

Naviga le tue risposte
3

My iMac esegue Mac OS X Yosimite 10.10.1

Ho accidentalmente attivato il "Login remoto" nelle preferenze di sistema del mio Mac, quindi l'sshd era in esecuzione.

Mi sono appena segnalato nella finestra del monitor di rete di Little Snitch, che ha registrato circa 90 connessioni da diversi server a sshd. Ho controllato gli indirizzi IP su link e tutti gli indirizzi IP registrati si trovano in Cina, Hong Kong e Corea del Sud.

Sembra essere piuttosto brutto.

Mi sono guardato un po 'nel protocollo di rete disponibile di Little Snitch e ho scoperto che gli indirizzi IP che compaiono nel registro sshd sono anche presenti nei log di diversi altri processi, tra cui

  • sh
  • DDService64d (apparentemente DDService64d fa parte del Drobo Dashboard: ho un Drobo 5N installato nella mia LAN)
  • launchd

tutto con utente "root" (compresi i log sshd). Pensavo che la root utente fosse disabilitata di default su Mac OS X, ma questo potrebbe essere tutti i risultati dell'hack ...

Quindi la domanda ora è come procedere?

  • Naturalmente ho spento "Login remoto" (sshd) sulla macchina.
  • Ho disabilitato l'utente root con il comando terminale "dsenableroot -d"
  • Ho cambiato la mia password amministratore

Uso un modem via cavo per la connessione a Internet (FritzBox 6360). UPnP è acceso (e utilizzo questa funzionalità per diverse app). Lì dove ho trovato diversi mapping alla porta 22. Ho rimosso tutti questi elementi.

Ma probabilmente questo non sarà sufficiente.

Dato che il mio computer è definitivamente compromesso, non mi fido più di questo. Cosa dovrei fare ora? Cancellare il tutto e reinstallare tutto nuovo? Sarebbe un'enorme quantità di tempo andando in malora.

E cos'è l'accesso a DDService64d? Anche il mio Drobo 5N è compromesso? C'è un modo per controllare questo?

Anche il mio backup TimeMachine viene salvato su Drobo 5N, quindi, anche se decido di cancellare il computer e ricominciare tutto da capo, come posso essere sicuro che non viene nuovamente compromesso dal backup TimeMachine sul Drobo?

Qualche consiglio?

    
posta Zaggo 21.01.2015 - 15:32
fonte

2 risposte

4

Se sei assolutamente certo che il tuo Mac sia stato violato ti consiglio caldamente di cancellare il tuo disco rigido, reinstallare OS X e copiare manualmente i tuoi dati da Time Machine:

  1. Esegui il backup del tuo Mac.
  2. Riavvia e tieni premuto Command + R per accedere a OS X Recovery ( link ).
  3. Seleziona "Utility Disco" e riformatta il disco rigido ( link ).
  4. Esci da 'Utility Disco' e seleziona 'Reinstalla OS X'. Tieni presente che (dal link ):

    Reinstalling OS X using Recovery requires broadband access to the Internet using a Wi-Fi or Ethernet connection. OS X is downloaded over the Internet from Apple when OS X Recovery is used for reinstallation. You must use DHCP on your Wi-Fi or Ethernet network to reinstall OS X using OS X Recovery. If you bought OS X from the Mac App Store, you may be prompted to enter the Apple ID and password you used to purchase OS X.

  5. Quando OS X è attivo e funzionante, collega la tua unità Time Machine esterna, aprila in Finder, apri la cartella che porta il nome del tuo Mac e poi la cartella 'Più recenti' ( link ).
  6. Vai su "Applicazioni" e copia nuovamente le applicazioni di App Store non Mac in "/ Applicazioni". Si noti che alcune app (ad esempio VMware Fusion) non funzioneranno correttamente se copiate, è necessario reinstallarle con il programma di installazione fornito dal produttore.
  7. Installa le applicazioni per Mac App Store da App Store.

  8. Individua "Utenti / [nome utente]" e copia documenti, immagini, filmati, musica e qualsiasi altra cartella contenente dati importanti nella nuova cartella Inizio.

  9. Mi asterrò dal copiare "Libreria", sebbene sia lì che si trovano le tue impostazioni. Se hai la sincronizzazione di iCloud Mail, Contatti, Calendari, Promemoria, Safari, Notes e Portachiavi abilitata la maggior parte delle tue impostazioni si ricostruirà perfettamente. Potresti voler copiare selettivamente le impostazioni dell'applicazione da "Libreria / Supporto applicazioni" dopo aver controllato il contenuto dei file.

  10. Se condividi il tuo Mac con altre persone, ripeti i passaggi 8 e 9 per i loro account.

La sincronizzazione di iCloud è particolarmente importante per Keychain e parlo per esperienza: ho avuto difficoltà ad esportare e importare Keychain dopo aver installato OS X Yosemite da zero senza ripristinare da un backup di Time Machine.

Un consiglio : è consigliabile che l'account di accesso che utilizzi quotidianamente non abbia diritti amministrativi. Dovresti invece creare un account amministrativo. Di solito lo chiamo admin :

mentreilmioaccountè'Standard'.L'effettocollateraleècheOSXtichiederàdidigitarelapassworddiadminognitanto,adesempiopermodificareleimpostazioniinPreferenzediSistema:

Buona fortuna!

    
risposta data 21.01.2015 - 16:58
fonte
3

Data 1 ° impatto

Identifica nel miglior modo possibile la data del primo attacco . Perché tutto il backup dopo questa data è danneggiato e non può essere considerato attendibile. (A proposito, non c'è bisogno di fare un backup di un sistema potenzialmente pericoloso.)

Guarda il registro più vecchio in /var/log/system.log che mostra l'accesso anormale ssh , cioè da un indirizzo IP che non eri.

Dimensione del danno

Una volta identificata questa data approssimativa, stimare il perimetro del danno causato dal tuo attaquant.

Se l'evento si è verificato 14 giorni fa, usa un comando find per identificare tutti i file che i tuoi attaccanti hanno modificato sul tuo sistema: 

/usr/bin/sudo find / -mtime -15 -mtime +13 -ls

Insisto sull'uso di /usr/bin/sudo perché è possibile che il tuo sudo all'interno del tuo PATH sia stato sostituito.

Un metodo più sicuro è fare tutte queste indagini con:

  • tu Mac scollegato da qualsiasi forma di rete (totalmente isolata),
  • con una versione sicura di Yosemite su una chiave USB o un'unità esterna (se non ne hai uno, non costruirlo dal tuo sistema pericoloso, chiedi a un collega di farne uno su un sistema sicuro).

Ripristina dati sicuri

Da una versione sicura di Yosemite su un'unità USB o esterna:

  • un formato totale del tuo disco interno,

  • una nuova installazione di Yosemite.

Ripristina il resto dei dati degli utenti da un backup precedente alla data del primo attacco, nel mio esempio di 15 giorni.

Evita i più comuni punti deboli

Chiudi qualsiasi accesso ospite.

Cambia la password di tutti gli utenti (intendo un vero cambiamento, non passare da password a password1 , cambiare per {}=øph0! o Mißm4tcH ...).

Cambiateli su qualsiasi altro sistema se avessi potuto usare le stesse password. Considerali tutti pericolosi ... da 14 giorni.

Continua a condividere ( System Preferences > Sharing ) al minimo necessario.

Torna alla superficie

Ora puoi configurare il tuo Mac su una normale configurazione di rete e tornare alla superficie di Internet:).

    
risposta data 17.03.2015 - 02:18
fonte

Leggi altre domande sui tag

Marcatura automatica della posta indesiderata come già letto La memoria o lo spazio di archiviazione nel Mac mini 2018 sono sostituibili dall'utente dopo l'acquisto?