En macOS Alta de la Sierra, donde puedo encontrar las direcciones IP que ha iniciado sesión en mi Mac a través de Compartir la Pantalla o ssh?
Que podrían ser útiles en la luz de la recientemente descubierta de inicio de sesión root de la vulnerabilidad.
Como @Melvin puntos, un parche que se acaba de publicar. Pero a la pregunta en cuestión, la fácil es la respuesta es no, eran de root en su máquina. Es comprometida, período, por definición, no se puede confiar en él si usted sospecha que está en peligro.
Para más detalles, si alguien tiene acceso de root de forma remota a su máquina, usted nunca va a ser capaz de sí las huellas de los que si saben de lo que están haciendo y la limpieza de sus pistas.
Esto no era "alguien logró que la clave para el jefe de la oficina y metido un poco allí", esto es "alguien metió la llave maestra, fondos ilimitados y un número ilimitado de contrucción de la tripulación con un tiempo ilimitado en la mano". Si usted sospecha que donde comprometida, formatear y volver a instalar.
Para responder a la pregunta en términos simples (es decir, cómo alguien sin el prereq habilidades de limpieza de pistas, probablemente, dejar pistas).
Vamos a empezar con el ssh, para una discusión completa ver a esta pregunta. En breve búsqueda por ssh o sshd (el "servidor" parte de ssh) en la Consola".aplicación" o por terminal:
cat /var/log/system.log | grep sshd
El problema con sshd es que normalmente nada está realmente conectado (problemas de seguridad AFAIK).
El mismo problema existe con el VNC / uso Compartido de Pantalla y el mando Apple Remote Desktop / Gestión Remota, véase, por ejemplo, este, este y este, que normal aceptan conexiones no se registran. Sólo se negó. Se negó haría probablemente provienen de "screensharingd", así de búsqueda para que en la Consola".aplicación" o terminal
cat /var/log/system.log | grep screensharingd
Excepto esto ¿qué otras pistas que fácilmente podría ser encontrado? Me gustaría ver a través de los usuarios y asegurarse de que sólo los usuarios válidos y que no hay niveles de permiso han cambiado, etc.
También me gustaría comprobar si alguno de los servicios remotos están habilitados. Ver imagen de abajo. De interés son "Compartir Pantalla", "inicio de Sesión Remoto" y "Administración Remota". cmd + espacio -> "compartir" es la forma más fácil de llegar allí.
No he sido capaz de explotar esta vulnerabilidad de forma remota, sin embargo, yo era capaz, a la vez que ha iniciado sesión y tratando de escalar mis privilegios en las Preferencias del Sistema uso de "root" sin contraseña.
Para detectar esto, escanear el registro de la máquina que desee con el siguiente comando en el Terminal.
sudo log show --style syslog | fgrep "authenticated as user root (UID 0) for right"
La salida de este comando le mostrará el UID del usuario que ha iniciado sesión en cuando esta vulnerabilidad ha sido explotada, y el tiempo. Tomar el tiempo y mirar por ssh o conexiones remotas alrededor de ese marco de tiempo.
Actualización, para la búsqueda de los inicios de sesión a través de la cuenta de root, utilice el siguiente comando en la Terminal.
sudo log show --style syslog | fgrep 'loginwindow' | fgrep 'root'
AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.
