Attività bash insolita di Mac OS X?

3

Così, stamattina, quando ho controllato il mio computer, avevo il terminale aperto che diceva:

Ultimo accesso: sab 5 mar 00:02:43 su ttys000

Ho controllato l'uptime e sono passati 27 giorni, 2 utenti come al solito.

Ora so per certo che in quel preciso momento avevo lasciato il mio portatile nella stanza di qualcuno per un paio d'ore e quando ho guardato attraverso la storia, ho scoperto che questi comandi erano più recenti (sono sicuro che non ero io richiama il set precedente):

cd ~/Library
cd Messages/
l
ls
cd Archive
cd ~
exit

Quando ho ripetuto i comandi che ho ottenuto fino a produrre

Allegati chat.db chat.db-shm chat.db-wal

Ma oltre a ciò non riesco a rintracciare o capire cosa ha fatto il prossimo comando. Ho cercato di cambiare il log della cronologia per mostrare i timbri di data / ora sui log della cronologia, ma sono usciti tutti come data di oggi, suppongo perché ho appena applicato il formato al momento.

Non sono un programmatore, so v v poco di tutto ciò. Arrivato fino a quel punto ^ attraverso Google. Qualcuno potrebbe spiegare per favore quali sono stati i comandi più probabili e se sono paranoico nel sospettare che quella persona abbia tentato di esportare i miei messaggi? L'ultimo set di comandi precedente (per il quale ero lì) era terminato in un archivio del mio lavoro di Pages più recente inviato a qualcuno tramite iMessage - potrebbe essere stato così? Solo un po 'strano perché c'era un "exit" proprio prima di questo set, quindi sembra che qualcosa di separato ... + Non riesco ancora a spiegare l'accesso 00:02 questa mattina ..... C'è un modo per provare il peggio, se è così?

Grazie!

    
posta Vittoria567 05.03.2016 - 12:18
fonte

2 risposte

2

I comandi che hai elencato nella tua domanda ti portano nell'archivio dei messaggi di Messaging App dell'utente attualmente connesso, elenca il contenuto di quella directory e poi torna alla home directory dell'utente attualmente loggato. Se hai effettuato l'accesso, allora è l'archivio dei messaggi.

Il comando exit chiude, o chiude, la sessione Terminale, niente di più.

Per vedere chi ha effettuato l'accesso al tuo computer (o quando hai effettuato l'ultimo accesso da dove), digita il comando last nel tuo terminale:

$ last

Per ottenere un elenco dei comandi che hai eseguito, digita:

$ history

Se vuoi salvarlo in un file per una lettura successiva, digita questo:

$ history > ~/Desktop/history.txt

e un file apparirà sul desktop con tutti questi comandi. Puoi utilizzare la stessa tecnica per last ma assicurati di rinominare il file.

Ora, se vuoi vedere cosa succede quando non sei di fronte al tuo Mac, basta cancellare la cronologia prima di partire con il comando history -c . In questo modo, vedrai esattamente cosa è stato fatto quando non eri nei paraggi.

Ora, ovviamente hai un accesso 2AM al tuo computer. Perché

a) non hai una password

o

b) se ne hai uno, perché è condiviso con altri?

    
risposta data 05.03.2016 - 12:53
fonte
1

Puoi dedurre due fatti che potrebbero essere utili:

Innanzitutto, il login era da ttys000. Ciò significa che l'accesso non era tramite la rete, ma locale. In secondo luogo, dato che c'è un errore di battitura nei comandi ("l" invece di "ls") sicuramente era un essere umano che digita questi comandi, e non uno script.

Quindi la domanda dovrebbe essere: chi ha accesso fisico al tuo computer?

    
risposta data 05.03.2016 - 12:58
fonte

Leggi altre domande sui tag