9 votos

Usuario no registrado avatar

Terminal de Mac encontrado abierto con el texto "man James". ¿Me han hackeado?

Preguntado el 24 de Diciembre, 2021
Cuando se hizo la pregunta
3230 visitas
Cuantas visitas ha tenido la pregunta
4 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Encontré una ventana de terminal abierta con lo siguiente.

Corrí /bin/bash -x y parece que se accedió a VMware y a las herramientas GPG.

También ha añadido algo sospechoso a mis elementos de inicio de sesión... ¿me han hackeado? También quién es "James"

enter image description here

enter image description here

Esta es la salida de bash -x . No veo cómo podría haber hecho esto accidentalmente:

Last login: Fri Dec 24 13:49:08 on ttys000
+ '[' -x /usr/libexec/path_helper ']'
++ /usr/libexec/path_helper -s
+ eval 'PATH="/usr/local/bin:/usr/bin:/bin:/usr/sbin:/sbin:/Applications/VMware' 'Fusion.app/Contents/Public:/usr/local/MacGPG2/bin";' export 'PATH;'
++ PATH='/usr/local/bin:/usr/bin:/bin:/usr/sbin:/sbin:/Applications/VMware Fusion.app/Contents/Public:/usr/local/MacGPG2/bin'
++ export PATH
+ '[' /bin/bash '!=' no ']'
+ '[' -r /etc/bashrc ']'
+ . /etc/bashrc
++ '[' -z '\s-\v\$ ' ']'
++ PS1='\h:\W \u\$ '
++ shopt -s checkwinsize
++ '[' -r /etc/bashrc_Apple_Terminal ']'
++ . /etc/bashrc_Apple_Terminal
+++ '[' -z '' ']'
+++ PROMPT_COMMAND=update_terminal_cwd
+++ '[' 0 -eq 0 ']'
+++ '[' -n B3526B6E-3B69-45CD-8A59-121709AEFBEA ']'
+++ '[' '!' -e /Users/USER/.bash_sessions_disable ']'
+++ SHELL_SESSION_DID_INIT=1
+++ SHELL_SESSION_DIR=/Users/USER/.bash_sessions
+++ SHELL_SESSION_FILE=/Users/USER/.bash_sessions/B3526B6E-3B69-45CD-8A59-121709AEFBEA.session
+++ mkdir -m 700 -p /Users/USER/.bash_sessions
+++ '[' -r /Users/USER/.bash_sessions/B3526B6E-3B69-45CD-8A59-121709AEFBEA.session ']'
+++ '[' 1 -eq 1 ']'
+++ SHELL_SESSION_HISTFILE=/Users/USER/.bash_sessions/B3526B6E-3B69-45CD-8A59-121709AEFBEA.history
+++ SHELL_SESSION_HISTFILE_NEW=/Users/USER/.bash_sessions/B3526B6E-3B69-45CD-8A59-121709AEFBEA.historynew
+++ SHELL_SESSION_HISTFILE_SHARED=/Users/USER/.bash_history
+++ '[' -s /Users/USER/.bash_sessions/B3526B6E-3B69-45CD-8A59-121709AEFBEA.history ']'
+++ PROMPT_COMMAND='shell_session_history_check; update_terminal_cwd'
+++ SHELL_SESSION_TIMESTAMP_FILE=/Users/USER/.bash_sessions/_expiration_check_timestamp
+++ trap shell_session_update EXIT

The default interactive shell is now zsh.
To update your account to use zsh, please run `chsh -s /bin/zsh`.
For more details, please visit https://support.apple.com/kb/HT208050.
++ shell_session_history_check
++ '[' 0 -eq 0 ']'
++ SHELL_SESSION_DID_HISTORY_CHECK=1
++ shell_session_history_allowed
++ '[' -n /Users/USER/.bash_history ']'
++ local allowed=0
++ shopt -q histappend
++ '[' -n '' ']'
++ allowed=1
++ '[' 1 -eq 1 ']'
++ return 0
++ shell_session_history_enable
++ umask 077
++ /usr/bin/touch /Users/USER/.bash_sessions/B3526B6E-3B69-45CD-8A59-121709AEFBEA.historynew
++ HISTFILE=/Users/USER/.bash_sessions/B3526B6E-3B69-45CD-8A59-121709AEFBEA.historynew
++ SHELL_SESSION_HISTORY=1
++ '[' 'shell_session_history_check; update_terminal_cwd' = shell_session_history_check ']'
++ [[ shell_session_history_check; update_terminal_cwd =~ (.*)(; *shell_session_history_check *| *shell_session_history_check *; *)(.*) ]]
++ PROMPT_COMMAND=update_terminal_cwd
++ update_terminal_cwd
++ local url_path=
++ local i ch hexch LC_CTYPE=C LC_COLLATE=C LC_ALL= LANG=
++ (( i = 0 ))
++ (( i < 19 ))
++ ch=/
++ [[ / =~ [/._~A-Za-z0-9-] ]]
++ url_path+=/
++ (( ++i ))
++ (( i < 19 ))
++ ch=U
++ [[ U =~ [/._~A-Za-z0-9-] ]]
++ url_path+=U
++ (( ++i ))
++ (( i < 19 ))
++ ch=s
++ [[ s =~ [/._~A-Za-z0-9-] ]]
++ url_path+=s
++ (( ++i ))
++ (( i < 19 ))
++ ch=e
++ [[ e =~ [/._~A-Za-z0-9-] ]]
++ url_path+=e
++ (( ++i ))
++ (( i < 19 ))
++ ch=r
++ [[ r =~ [/._~A-Za-z0-9-] ]]
++ url_path+=r
++ (( ++i ))
++ (( i < 19 ))
++ ch=s
++ [[ s =~ [/._~A-Za-z0-9-] ]]
++ url_path+=s
++ (( ++i ))
++ (( i < 19 ))
++ ch=/
++ [[ / =~ [/._~A-Za-z0-9-] ]]
++ url_path+=/
++ (( ++i ))
++ (( i < 19 ))
++ ch=t
++ [[ t =~ [/._~A-Za-z0-9-] ]]
++ url_path+=t
++ (( ++i ))
++ (( i < 19 ))
++ ch=r
++ [[ r =~ [/._~A-Za-z0-9-] ]]
++ url_path+=r
++ (( ++i ))
++ (( i < 19 ))
++ ch=a
++ [[ a =~ [/._~A-Za-z0-9-] ]]
++ url_path+=a
++ (( ++i ))
++ (( i < 19 ))
++ ch=v
++ [[ v =~ [/._~A-Za-z0-9-] ]]
++ url_path+=v
++ (( ++i ))
++ (( i < 19 ))
++ ch=i
++ [[ i =~ [/._~A-Za-z0-9-] ]]
++ url_path+=i
++ (( ++i ))
++ (( i < 19 ))
++ ch=s
++ [[ s =~ [/._~A-Za-z0-9-] ]]
++ url_path+=s
++ (( ++i ))
++ (( i < 19 ))
++ ch=d
++ [[ d =~ [/._~A-Za-z0-9-] ]]
++ url_path+=d
++ (( ++i ))
++ (( i < 19 ))
++ ch=a
++ [[ a =~ [/._~A-Za-z0-9-] ]]
++ url_path+=a
++ (( ++i ))
++ (( i < 19 ))
++ ch=r
++ [[ r =~ [/._~A-Za-z0-9-] ]]
++ url_path+=r
++ (( ++i ))
++ (( i < 19 ))
++ ch=g
++ [[ g =~ [/._~A-Za-z0-9-] ]]
++ url_path+=g
++ (( ++i ))
++ (( i < 19 ))
++ ch=i
++ [[ i =~ [/._~A-Za-z0-9-] ]]
++ url_path+=i
++ (( ++i ))
++ (( i < 19 ))
++ ch=e
++ [[ e =~ [/._~A-Za-z0-9-] ]]
++ url_path+=e
++ (( ++i ))
++ (( i < 19 ))
++ printf '\e]7;%s\a' file://USER-MacBook-Pro.local/Users/USER
USER-MacBook-Pro:~ USER$
Preguntado el 24 de Diciembre, 2021 por Usuario no registrado

Respuestas

¿Demasiados anuncios?

27voto

200_success avatar
200_success Puntos 319

Puede que te hayan hackeado, puede que no. Pero el hecho de que tengas una ventana "man James" abierta es un pobre indicador de un hackeo, y es mucho más probable que hayas provocado accidentalmente la apertura de esa ventana tú mismo.

Así es como podría haberse desencadenado:

  • Haga doble clic en la palabra "James" para seleccionarla en alguna aplicación, por ejemplo, en esta página de su navegador web.
  • Golpea - - M en su teclado, lo que desencadena el servicio "Open man page in Terminal".

El indicador de que el servicio "Open man page in Terminal" se activó es el hecho de que la ventana se abrió con un fondo amarillo. Si un atacante hubiera abierto esa ventana de cualquier otra manera, probablemente no se habría tomado la molestia de hacerla amarilla.

Además, la existencia de un atajo de teclado en la configuración por defecto de MacOS sugiere que puede haberlo activado usted mismo accidentalmente. Para ver dónde está definido ese atajo de teclado, ve a "Servicios de atajos de teclado de Preferencias del Sistema".

En cuanto a la bash -x salida, todo me parece muy inocuo. Esos son sólo los comandos que se ejecutan automáticamente cada vez que se lanza un shell, normalmente de forma silenciosa, para componer el prompt dinámico del shell. Ver /etc/bashrc en una instalación de cualquier versión reciente de MacOS.

Respondido el 25 de Diciembre, 2021 por 200_success (319 Puntos )

20voto

siva avatar
siva Puntos 23

Dudo man James se ejecutó directamente, es decir, por alguien que escribió eso en la Terminal. La ventana en su captura de pantalla muestra el tema por defecto para la salida de la página de manual.

Hay un servicio de texto por defecto proporcionado por Terminal que abre una página de manual para el texto seleccionado. Creo que el texto 'James' fue pulsado con el botón derecho y el servicio seleccionado, o seleccionado y el atajo de teclado presionado.

Respondido el 24 de Diciembre, 2021 por siva (23 Puntos )

7voto

Matthew A. Flinchbaugh avatar
Matthew A. Flinchbaugh Puntos 41

Todo lo que podemos decir es que algo o alguien en su Mac utilizó Terminal para ejecutar man James .

  • corriendo bash -x después no ayuda, puede que quieras mirar el historial de bash sin embargo
  • La salida del Terminal en la segunda captura de pantalla muestra cómo se define el PATH (asumiendo que has instalado VMware y GPG)
  • Toolbox Tool Launcher parece ser una entrada para una aplicación que ya no está instalada (haga clic en el signo amarillo para ver los detalles)

Además, el código que muestras como ejecutado es el habitual que se ejecuta al iniciar bash o zsh, ver /etc/profile , /etc/bashrc y /etc/bashrc_Apple_Terminal .

Respondido el 24 de Diciembre, 2021 por Matthew A. Flinchbaugh (41 Puntos )

6voto

JakeGould avatar
JakeGould Puntos 1926

No te han hackeado.

De alguna manera, un atajo de teclado se activó accidentalmente.

Esto se menciona en Respuesta de 200_success Pero estoy publicando mi propia respuesta para añadir detalles y referencias más específicas.

Hay un atajo de teclado predeterminado/incorporado llamado: "Abrir página de hombre en la Terminal" que se activa al resaltar el texto y pulsar esta combinación de teclas: (Shift) + (Command) + M

Keyboard shortcuts.

Acabo de hacer eso mientras resaltaba el nombre de mi unidad principal del sistema - "Primaria" - y este es el resultado:

The output of “Shift+Command+M” when highlighting text.

Hay que tener en cuenta algunas cosas sobre esa captura de pantalla del terminal:

  • El amarillo no es el color por defecto del terminal, que suele ser un fondo blanco básico con texto negro.
  • La barra de título tiene el texto, man Primary que refleja que el comando se ejecuta a través de un script. Abre una ventana de Terminal y el texto por defecto es básicamente [username] — -bash —80x24 e incluso si corres man Primary por su cuenta el título no cambiaría a eso.

Además, la salida del bash -x simplemente muestra los comandos de inicio que se ejecutan cuando una sesión de terminal - o sesión de inicio de sesión SSH a su máquina - cuando se abre una ventana de Terminal. Cuando se ejecuta bash -x abre Bash en modo de rastreo como se explica aquí :

" Imprime una traza de comandos simples, comandos for, comandos case, comandos select y aritmética para comandos y sus argumentos o listas de palabras asociadas después de ser expandidos y antes de ser ejecutados. El valor de la variable PS4 se expande y el valor resultante se imprime antes del comando y sus argumentos expandidos."

Lo que básicamente significa que lanza una sesión de Bash en un modo verboso que muestra exactamente lo que Bash está haciendo cuando se inicia. Por ejemplo, esto es lo que el bash -x de la salida en mi máquina:

+ export PATH=/usr/local/bin:/usr/local/sbin:/usr/local/bin:/usr/bin:/bin:/usr/sbin:/sbin
+ PATH=/usr/local/bin:/usr/local/sbin:/usr/local/bin:/usr/bin:/bin:/usr/sbin:/sbin
+ export PATH=/usr/local/bin:/usr/local/sbin:/usr/local/bin:/usr/bin:/bin:/usr/sbin:/sbin
+ PATH=/usr/local/bin:/usr/local/sbin:/usr/local/bin:/usr/bin:/bin:/usr/sbin:/sbin

Mi configuración de Bash es bastante simple, pero si usted fuera a buscar en el .bash_history , .bash_profile y .bashrc archivos en su terminal vería elementos que son el equivalente de su salida de alguna manera.

Respondido el 26 de Diciembre, 2021 por JakeGould (1926 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X