3 votos

jennifer ruurs avatar

Cómo prevenir el los hackers (intel secreto) manipulando mi terminal otra vez

Preguntado el 27 de Agosto, 2018
Cuando se hizo la pregunta
683 visitas
Cuantas visitas ha tenido la pregunta
3 Respuestas
Cuantas respuestas ha tenido la pregunta
Cerrada
Estado actual de la pregunta

¿Cómo me lo impidió que los hackers de la manipulación de mi terminal nuevo, así que mi terminal funciona correcto de nuevo?

Aquí en los países Bajos realizamos cybertest en la empresa donde trabajamos y los ataques son realizados por el gobierno holandés AIVD (el grupo que también llamó la Fantasía Oso hackers). Un hacker tiene acceso root en mi MacBook Air. ¿Cómo puedo saber que(se anunció que íbamos a conseguir hackeado)? El hacker es capaz de ejecutar la:

sudo hostname 192

El hacker explícitamente ejecutó el comando de arriba. El hacker también manipula mi bash. He ejecutado el comando de la línea de

sudo dscl . list /Users | grep -v '^_'

y ver a cuatro usuarios:

  • demonio
  • nadie
  • jen
  • Raíz

No sé dónde mirar desde mi bash es manipulado. En mi terminal sólo los comandos que he realizado hace dos días se muestran. Los comandos de ayer y de hoy no se muestran. Incluso si puedo realizar

Ejemplo:

Last login: Mon Aug 27 17:37:19 on ttys001
192:~ jen$ history -c
192:~ jen$ history -w

Last login: Mon Aug 27 17:38:49 on ttys002
192:~ jen$ history 
    1  nano doc.txt
    2  cat doc.txt

¿Cómo me lo impidió que los hackers de la manipulación de mi terminal nuevo, así que mi terminal funciona correcto de nuevo?

Yo no soy víctima de la ingeniería social, no me abre los enlaces o archivos a través de correo electrónico o descargado alguna aplicación. Yo uso el portátil sólo para trabajar en altamente confidencial cosas. Yo sólo utiliza software entregado por Mac en mi sistema. (Yo no descargar cualquier tipo de archivos a través de correo electrónico y no quiero usar cualquier navegador) yo uso el portátil para escribir mails(no más).

Preguntado el 27 de Agosto, 2018 por jennifer ruurs

Respuestas

¿Demasiados anuncios?

5voto

Jose Chavez avatar
Jose Chavez Puntos 645

Lo más probable es que han surgido a una conclusión errónea - de que el Mac fue hackeado.

La causa más probable de "no deseados" o "sorprendente" nombre de host de los cambios es que el servidor DHCP le dio a su equipo un nuevo nombre de host. El servidor DHCP puede ser un router/módem en su propia casa, un sistema en el ISP o el hecho de hardware en cualquier lugar que usted se ha conectado a una red WiFi (como una tienda de café, escuela o lo que sea).

La eliminación de sudo derechos de suyo no ayudar a este problema, ya que el cliente DHCP en tu Mac todavía será capaz de cambiar su nombre de host.

Respondido el 27 de Agosto, 2018 por Jose Chavez (645 Puntos )

4voto

Douglas avatar
Douglas Puntos 10417

No hay ninguna evidencia de que has sido hackeado.

Los cuatro usuarios que aparecen no tienen "root" de acceso de por sí y todas son válidas las cuentas:

  • daemon - un usuario para manejar los procesos de fondo que no están vinculados a un usuario específico, el usuario daemon es dado a aquellos procesos. Esto es cómo usted puede tener su Mac activado, nadie registra y procesa ejecutar.

  • nobody - este es otro usuario que se asigna procesos (como httpd) y tiene muy limitado el acceso al sistema. Incluso si alguien fuera a entrar ilegalmente en él, es la exposición sería limitado.

  • jen - Supongo que esto es lo que SE (nombre de usuario es "jennifer ruurs"). Si eres un usuario administrador, usted tiene sudo de los derechos que le da acceso root

  • root - este de la cuenta de root. Esta cuenta las necesidades de acceso de la root, especialmente si usted arrancar en modo de Usuario Único para el diagnóstico o reparaciones.

El comando que se menciona sólo temporalmente cambia el nombre de host de su equipo.

sudo hostname 192

Esto sólo ocurre si, y sólo si, el usuario/grupo que se registra en como es en el /etc/sudoers archivo y que tenía la contraseña o /etc/sudoers está configurado para no autenticación de contraseña (muy insegura y no predeterminada macOS).

Todos los usuarios de arriba, con la excepción de jen, no (por defecto) acceder a su ordenador de forma remota. Por lo tanto, si usted está convencido de que fueron "hackeados", usted necesita encontrar el usuario de la cuenta que se les conceda el acceso o si fue por su cuenta, mitigar el riesgo, el cambio de su contraseña.

Respondido el 27 de Agosto, 2018 por Douglas (10417 Puntos )

3voto

temp avatar
temp Puntos 27

Para responder a la pregunta en el título directamente:

Usted no puede.

Limpie todo, vuelva a instalar macOS y restaurar los archivos de copia de seguridad (no desde la máquina infectada).

Para exhaustividad, cabe mencionar que existen ataques que, por ejemplo, infectar el firmware de los dispositivos de almacenamiento, lo que exige todo el hardware a ser destruido para garantizar el 100% de seguridad. A menos que tenga razones para creer que usted está personalmente dirigida por un gobierno, sin embargo, esto no es un realista - la preocupación por el contrario, infectando a cualquier parte de los datos almacenados en el disco es órdenes de magnitud más fácil y una muy realista amenaza. Incluso si usted fuera la víctima de un sistema automatizado, no focalizados ataque, destruyendo todo lo que es una precaución necesaria.

Por qué?

Si un atacante tiene acceso de root, se puede, entre otras cosas, reemplazar cualquier archivo binario con su propia versión de que pueden hacer lo que quieran, lo que significa que no se puede confiar en nada en su sistema. Literalmente cualquier cosa que intente hacer podría terminar haciendo algo completamente diferente. Si el hacker quería, pueden hacer que cat de devolución versión falsificada de archivos, por ejemplo, ocultar las entradas de registro que muestra una actividad no deseada; ls podría no mostrar archivos añadidos por el hacker; cualquier editor de texto puede pretender guardar lo que escribir, pero en realidad silenciar sus ediciones, etc., etc.

No puedo, al menos, mantener mis archivos? Tengo cosas que fueron respaldadas hace un tiempo/no están respaldados en todo

La razón que usted no desea copiar los archivos a través de es que hay un montón de no-tipos de archivos ejecutables que pueden explotar alguna vulnerabilidad o de otros y de infectar su sistema. Comprime archivos de diversos tipos de documentos Pdf y son los portadores comunes, pero no es el único peligro. Usted es probablemente seguro de copiar un texto, no ejecutable archivo de texto (recuerda no utilizar el peligro OS para hacer que, a pesar de que), pero recuerde que el attacer podría haber cambiado absolutamente en nada, absolutamente en cualquier forma que ellos quisieran,para tratar todo como trataría a un archivo aleatorio descargado accidentalmente desde la sombra de una página web.

De manera más realista...

Usted también tiene que pensar acerca de por qué el hacker podría hacer algo como eso. Reemplazando cat y ls con versiones maliciosas es totalmente posible, pero hacer que la salida lo suficientemente sofisticados como para engañar pensando que todo está bien es mucho más compleja. Si el hacker sólo quería espiar a usted, que había instalar un keylogger y dejar todo lo demás solo. Si querían utilizar su máquina en una red de bots, que había instalar el software necesario y dejar todo lo demás solo. Si querían su dinero específicamente, se habría instalado ransomware, y no supiéramos ya.

Ninguno de los anteriores casos, se trataría de la edición de su bash historia, o cambiar el nombre de host de la máquina. Un keylogger o similar rootkit puede ser prácticamente indetectable. Así, mientras que una root atacante puede hacer nada, que por lo general significa que usted nunca será capaz de adivinar que están allí, excepto, por ejemplo, mediante la observación de su carga de ser más alto que de costumbre cuando su máquina comprometida participado en una red de bots. O si no cuenta usted saber que estaban en, es mucho, mucho más fácil de bloqueo de un usuario (por ejemplo, mediante el cambio de la contraseña de la cuenta) que lío con el bash de la historia. (O, de nuevo, ransomware.)

Entonces, ¿qué pasó aquí y ¿qué debe hacer?

Las otras respuestas ya describir lo que yo personalmente está de acuerdo es el más probable escenario: un par de casualidades, como el servidor DHCP de cambiar su nombre de host. En el que caso de que usted está intransigente y fina. La alternativa es que alguien manualmente rompió en su máquina, y es torpemente tratando de ocultarlo, o intencionalmente jugar con usted. Esto podría ser un miembro de la familia o un compañero de trabajo, o de otros acquiantance; tal vez se podría haber hombro-surfeado su contraseña. Si ese el caso y estás seguro de que no instalar cualquier rootkit o keyloggers en el ínterin, a continuación, sólo el cambio de las correspondientes contraseñas (de la root, y su usuario) debería ser suficiente. Pero usted realmente no puede saber lo que hizo o no hizo, y una vez que ya tienes acceso root es completamente trivial para instalar un ready-made de malware paquete - así que si usted realmente cree que alguien ganado no autorizado acceso de root, entonces, como se explicó anteriormente, limpie todo.

Respondido el 27 de Agosto, 2018 por temp (27 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X