En macOS High Sierra, ¿dónde puedo encontrar las direcciones IP que iniciaron sesión en mi Mac a través de Screen Sharing o ssh?
Eso sería útil a la luz de la vulnerabilidad de inicio de sesión raíz descubierta recientemente.
Como señala @Melvin, se acaba de lanzar un parche. Pero a la pregunta en cuestión, la respuesta fácil es no , eran root en su máquina. Está comprometido, punto, por definición, no puedes confiar en nada si sospechas que estuvo comprometido.
Para profundizar más, si alguien obtuviera acceso remoto a la raíz de su máquina, nunca podría ver los rastros de eso si saben lo que están haciendo y limpian sus huellas.
Esto no fue "alguien obtuvo la llave de la oficina del jefe y se metió un poco allí", esto es "alguien obtuvo la llave maestra, fondos ilimitados y un equipo de construcción ilimitado con tiempo ilimitado disponible". Si sospecha que se vio comprometido, formatee y vuelva a instalar.
Para responder a la pregunta en términos simples (es decir, cómo alguien sin las habilidades previas de limpieza de huellas probablemente dejaría huellas).
Comencemos con ssh, para una discusión completa, vea esta pregunta . En resumen, busque ssh o sshd (la parte "servidor" de ssh) en "Console.app" o por terminal:
cat /var/log/system.log | grep sshd
El problema con sshd es que normalmente nada se registra realmente (preocupaciones de seguridad AFAIK).
El mismo problema existe con VNC / Screen Sharing y Apple Remote Desktop / Remote Management, vea por ejemplo this , this y this , que las conexiones normales aceptadas no se registran. Solo los rechazados. Los rechazados probablemente vendrían de "screensharingd", así que búsquelo en "Console.app" o terminal
cat /var/log/system.log | grep screensharingd
Excepto esto, ¿qué otras pistas se podrían encontrar fácilmente? Revisaría a los usuarios y me aseguraría de que solo sean usuarios válidos y que no hayan cambiado los niveles de permiso, etc.
También verificaría si algún servicio remoto está habilitado. Vea la imagen a continuación. Son de interés "Pantalla compartida", "Inicio de sesión remoto" y "Administración remota". cmd + espacio -> "compartir" es la forma más fácil de llegar allí.
No he podido explotar esta vulnerabilidad de forma remota, sin embargo, pude mientras estaba conectado y tratando de escalar mis privilegios en Preferencias del sistema usando "root" sin contraseña.
Para detectar esto, escanee los registros de la máquina deseada con el siguiente comando en la Terminal.
sudo log show --style syslog | fgrep "authenticated as user root (UID 0) for right"
El resultado de este comando le mostrará el UID del usuario que inició sesión cuando se explotó esta vulnerabilidad y la hora. Tómese el tiempo y busque ssh o conexiones remotas en ese período de tiempo.
Actualice, para buscar inicios de sesión a través de la cuenta raíz, use el siguiente comando en la Terminal.
sudo log show --style syslog | fgrep 'loginwindow' | fgrep 'root'
No existe una manera fácil y confiable de obtener la dirección IP de su atacante a menos que haya realizado operaciones muy estúpidas (como ftp
usar otra herramienta desde su computadora de ataque real).
La única forma seria de detectar un ataque de este tipo o cualquier ataque futuro a través de otra vulnerabilidad de MacOS X es instalar y usar tripwire . tripwire
es un software de registro de modificaciones proveniente del campo Unix y de seguridad. (Puedes instalarlo con Macports
).
Si lo instaló anteriormente, tripwire
podría detectar un ataque exitoso de cualquiera de las 3 formas, según el nivel de habilidad del atacante.
Su atacante sabe tripwire
y sabe que no puede alterar su base de datos. Él elimina todos sus accesos o borra completamente su sistema de archivos para evitar ser rastreado.
tripwire
Se eliminó su instalación y se mantuvo su acceso. Detectará este ataque mediante la eliminación de tripwire
.
Su atacante no lo sabe tripwire
y todas sus modificaciones, incluso las pistas de registro eliminadas, serán registradas.
Terminal Lateral