Come ho impedito agli hacker (informazioni segrete) di manipolare di nuovo il mio terminale [chiuso]

1

Come faccio a impedire agli hacker di manipolare nuovamente il mio terminale in modo che il mio terminale funzioni di nuovo correttamente?

Qui nei Paesi Bassi eseguiamo cybertest nella compagnia in cui lavoriamo e gli attacchi sono eseguiti dal governo olandese AIVD (il gruppo che ha catturato anche gli hacker Fancy Bear). Un hacker ha accesso root sul mio MacBook Air. Come faccio a saperlo (è stato annunciato che saremmo stati hackerati)? L'hacker è in grado di eseguire:

sudo hostname 192

L'hacker ha eseguito esplicitamente il comando sopra. L'hacker manipola anche il mio bash. Ho eseguito la riga di comando

sudo dscl . list /Users | grep -v '^_'

e vedi quattro utenti:

  • daemon
  • nessuno
  • jen
  • root

Non so dove guardare dato che la mia bash è stata manipolata. Nel mio terminale vengono mostrati solo i comandi che ho eseguito due giorni fa. I comandi di ieri e di oggi non sono mostrati. Anche se eseguo

Esempio:

Last login: Mon Aug 27 17:37:19 on ttys001
192:~ jen$ history -c
192:~ jen$ history -w

Last login: Mon Aug 27 17:38:49 on ttys002
192:~ jen$ history 
    1  nano doc.txt
    2  cat doc.txt 

Come faccio a impedire agli hacker di manipolare nuovamente il mio terminale in modo che il mio terminale funzioni di nuovo correttamente?

Non sono vittima di ingegneria sociale, non ho aperto alcun collegamento o file via mail o scaricato alcune applicazioni. Uso il laptop solo per lavorare su materiale altamente confidenziale. Uso solo il software fornito da Mac sul mio sistema. (Non ho scaricato alcun file via mail e non uso alcun browser) Uso questo portatile per scrivere solo mail (Niente di più).

    
posta jennifer ruurs 27.08.2018 - 14:04
fonte

3 risposte

4

Molto probabilmente sei arrivato a una conclusione errata - che il tuo Mac è stato violato.

La causa più probabile di modifiche al nome host "indesiderate" o "sorprendenti" è che il server DHCP ha assegnato al computer un nuovo nome host. Il server DHCP potrebbe essere un router / modem nella tua stessa casa, un sistema presso il tuo ISP o addirittura hardware ovunque tu sia connesso a una rete WiFi (come un bar, una scuola o qualsiasi altra cosa).

Rimuovere i diritti sudo dal tuo non aiuterà questo problema, poiché il client DHCP sul tuo Mac sarà ancora in grado di cambiare il tuo nome host.

    
risposta data 27.08.2018 - 14:49
fonte
3

Non ci sono prove che tu sia stato violato.

I quattro utenti che sei elencato non hanno accesso "root" e sono tutti account validi:

  • daemon - un utente che gestisce i processi in background che non sono legati a un utente specifico, a questi processi viene assegnato l'utente daemon . In questo modo puoi attivare il Mac, nessuno ha eseguito l'accesso e i processi continuano a essere eseguiti.

  • nobody - questo è un altro utente a cui vengono assegnati processi (come httpd ) e ha molto accesso limitato al sistema. Anche se qualcuno dovesse hackerarlo, l'esposizione sarebbe limitata.

  • jen - Presumo che tu sia tu (il nome utente SE è "jennifer ruurs"). Se sei un utente amministratore, hai sudo di diritti che ti dà accesso root

  • root - questo è l'account root. Questo account richiede l'accesso root, specialmente se si avvia in modalità Utente singolo per la diagnostica o le riparazioni.

Il comando che hai menzionato solo temporaneamente modifica il nome host del tuo computer.

sudo hostname 192

Questo succede solo se e solo se, l'utente / gruppo che ha effettuato l'accesso come è nel file /etc/sudoers e hanno o la password o /etc/sudoers è configurato per l'autenticazione senza password (impostazione macOS molto insicura e non predefinita ).

Tutti gli utenti di cui sopra, ad eccezione di jen , non possono (per impostazione predefinita) accedere al computer da remoto. Quindi, se sei convinto di essere "hackerato", devi trovare l'account utente che concede loro l'accesso o se è il tuo account, ridurre i rischi, cambiare la password.

    
risposta data 27.08.2018 - 15:03
fonte
1

Per rispondere direttamente alla domanda nel titolo:

Non puoi.

Cancella tutto, reinstalla macOS e ripristina i file dal backup ( non dalla macchina infetta).

Per completezza, vale la pena menzionare che esistono attacchi che, ad es. infettare il firmware dei dispositivi di archiviazione, rendendo necessario l'intero hardware da distruggere per garantire il 100% di sicurezza. A meno che tu non abbia ragione di credere che tu sia stato personalmente preso di mira da un governo, però, questa non è una preoccupazione realistica - al contrario, l'infettare qualsiasi parte dei dati effettivamente archiviati su disco è più facile e una minaccia molto realistica. Anche se tu fossi solo la vittima di un attacco automatico e non mirato, pulire tutto è una precauzione necessaria.

Perché?

Se un utente malintenzionato ha accesso root, può, tra le altre cose, sostituire qualsiasi binario con la propria versione che può fare quello che vuole, il che significa che non ci si può fidare di nulla sul tuo sistema più. Quasi letteralmente qualsiasi cosa che provi a fare potrebbe finire per fare qualcosa completamente diverso . Se l'hacker lo desidera, potrebbe restituire cat per restituire la versione dei file corretta ad es. nascondere le voci del registro che mostrano attività indesiderate; ls potrebbe non riuscire a mostrare i file aggiunti dall'hacker; qualsiasi editor di testo potrebbe pretendere di salvare ciò che scrivi ma in realtà ignorare silenziosamente le tue modifiche, ecc. ecc.

Non posso almeno mantenere i miei file? Ho elementi di cui è stato eseguito il backup qualche tempo fa / non ho eseguito il backup affatto

La ragione per cui non vuoi copiare i tuoi file è che ci sono un sacco di tipi di file non eseguibili che possono sfruttare alcune vulnerabilità o altro e reinfettare il tuo sistema. Archivi compressi di vario tipo e PDF sono portatori comuni, ma non rappresentano l'unico pericolo. È probabilmente sicuro copiare su un file di testo in chiaro, non eseguibile (ricorda di non usare il sistema operativo compromesso per farlo, però), ma ricorda che l'attacer avrebbe potuto cambiare assolutamente qualsiasi cosa in assolutamente qualsiasi modo che volevano, quindi trattare tutto come si tratterebbe di un file casuale scaricato per errore da un sito Web ombreggiato.

Più realisticamente ...

Devi anche pensare a perché l'hacker farebbe qualcosa del genere. Sostituire cat e ls con versioni maligne è interamente possibile, ma rendere l'output abbastanza sofisticato da indurvi a pensare che tutto sia a posto è molto più complesso. Se l'hacker voleva solo spiarti, installava un keylogger e lasciava tutto il resto da solo. Se volevano usare la macchina in una botnet, installerebbero il software necessario e lascerebbero tutto il resto da soli. Se volevano i tuoi soldi in particolare, avrebbero installato ransomware e lo sapresti già.

Nessuno dei casi sopra citati comporta la modifica della cronologia di bash o la modifica del nome host della macchina. Un keylogger o un rootkit simile può essere reso praticamente inosservabile. Quindi, mentre un utente malintenzionato può fare qualcosa, di solito ciò significa che non sarai mai in grado di indovinare che ci sono, tranne per es. osservando che il carico è più elevato del solito quando la macchina compromessa ha partecipato a una botnet. O se non gli dispiacesse sapere che erano dentro, è molto, molto più facile bloccare semplicemente un utente (ad esempio cambiando la password dell'account) piuttosto che fare casino con la cronologia di bash. (O, ancora, ransomware).

Quindi cosa è successo qui e cosa dovresti fare?

Le altre risposte già descrivono ciò che personalmente sono d'accordo è lo scenario più probabile: alcuni tipi di influenza, come il server DHCP che cambia il tuo nome host. Nel qual caso sei intransigente e bene. L'alternativa è che qualcuno abbia fatto irruzione manualmente nella tua macchina e stia cercando goffamente di nasconderlo o intenzionalmente di scherzare con te. Questo potrebbe essere un membro della famiglia, o un collega, o altra acquiescenza; forse potrebbero aver infranto la tua password. Se che il caso e sei sicuro di non aver installato nessun rootkit o keylogger nel frattempo, allora basta cambiare le password rilevanti (root e dell'utente) essere abbastanza. Ma non puoi davvero sapere cosa hanno fatto o non hanno fatto, e una volta che hai già accesso root è assolutamente banale installare un pacchetto malware già pronto, quindi se davvero credi che qualcuno abbia ottenuto un accesso root non autorizzato, allora, come spiegato sopra, cancella tutto.

    
risposta data 27.08.2018 - 16:50
fonte

Leggi altre domande sui tag