Il mio iMac è stato violato tramite sshd. E adesso?


3

My iMac esegue Mac OS X Yosemite 10.10.1

Ho accidentalmente attivato il "Login remoto" nelle preferenze di sistema del mio Mac, quindi era in esecuzione sshd.

Ho appena ricevuto la notifica nella finestra del monitor di rete di Little Snitch, che ha registrato circa 90 connessioni da diversi server a sshd. Ho controllato gli indirizzi IP http://ipinfo.io e tutti gli indirizzi IP registrati si trovano in Cina, a Hong Kong e in Corea del Sud.

Sembra essere piuttosto male.

Mi sono guardato un po 'nel protocollo di rete disponibile di Little Snitch e ho scoperto che gli indirizzi IP che compaiono nel registro di sshd sono anche presenti nei log di diversi altri processi, tra cui

  • sh
  • DDService64d (apparentemente DDService64d fa parte del Drobo Dashboard: ho un Drobo 5N installato nella mia LAN)
  • launchd

tutto con utente "root" (compresi i log sshd). Pensavo che la root utente fosse disabilitata di default su Mac OS X, ma questo potrebbe essere il risultato dell'hack ...

Quindi la domanda ora è come procedere?

  • Naturalmente ho spento "Login remoto" (sshd) sulla macchina.
  • Ho disabilitato l'utente root con il comando terminale "dsenableroot -d"
  • Ho cambiato la mia password amministratore

Uso un modem via cavo per la connessione a Internet (FritzBox 6360). UPnP è acceso (e utilizzo questa funzionalità per diverse app). Là dove diverse mappature alla porta 22. Ho rimosso tutte queste.

Ma probabilmente questo non sarà abbastanza.

Dato che il mio computer è definitivamente compromesso, non mi fido più di questo. Cosa dovrei fare ora? Cancellare il tutto e reinstallare tutto nuovo? Sarebbe un'enorme quantità di tempo andando in malora.

E cos'è l'accesso a DDService64d? Anche il mio Drobo 5N è compromesso? C'è un modo per controllare questo?

Il mio backup TimeMachine viene anche salvato su Drobo 5N, quindi, anche se decido di cancellare il computer e ricominciare tutto da capo, come posso essere sicuro che non viene nuovamente compromesso dal backup TimeMachine sul Drobo?

Qualche consiglio?


3
Una connessione non significa nulla. Erano in grado di accedere? Puoi incollare le voci del registro in modo appropriato?
Matteo

Tutto quello che ho finora è un'istantanea di Little Snitch Network Monitor. Come mai sembrano esserci più che semplici richieste di connessione. Ad esempio, una voce di log di sshd dice che ci sono stati 3,2MB di traffico verso il basso / 1,76MB durante una connessione ssh (22) con uno degli indirizzi IP cinesi "sconosciuti".
Zaggo

OK, questo non è assolutamente normale ...
Matteo

Mi chiedo se l'intera faccenda abbia qualcosa a che fare con questo: furbo.org/2015/01/22/fear-china
Zaggo

2
Little Snitch è uno strumento di monitoraggio dei firewall. Controlla le connessioni in entrata e in uscita e ti avvisa, ma non ti dice se ci sono stati tentativi di connessione riuscito . Cioè: non è un'indicazione che sei stato violato, solo che sono stati fatti dei tentativi. Devi cercare dentro /var/log/system.log e vedere se uno dei tentativi di accesso ssh è riuscito. Il traffico di rete può rappresentare solo ripetuti tentativi di trovare un account valido per accedere come. Ecco un esempio di tentativi di accesso non riusciti da questo file di registro: gist.github.com/ianchesal/3d73b5b018d2b811df87
Ian C.

Risposte:


4

Se sei assolutamente certo che il tuo Mac sia stato violato, ti consiglio vivamente di cancellare il tuo disco rigido, reinstallare OS X e copiare manualmente i tuoi dati da Time Machine:

  1. Esegui il backup del tuo Mac.
  2. Riavvia e tieni premuto Command + R per accedere a OS X Recovery ( http://support.apple.com/en-us/HT4718 ).
  3. Seleziona "Utility Disco" e riformatta il tuo disco rigido ( http://support.apple.com/kb/PH5849 ).
  4. Esci da 'Utility Disco' e seleziona 'Reinstalla OS X'. Si noti che (da http://support.apple.com/en-us/HT4718 ):

    Richiede la reinstallazione di OS X utilizzando Recovery accesso a banda larga al   Internet utilizzando una connessione Wi-Fi o Ethernet. OS X viene scaricato sopra   Internet da Apple quando viene utilizzato OS X Recovery per la reinstallazione.   È necessario utilizzare DHCP sulla rete Wi-Fi o Ethernet per reinstallare OS X   usando OS X Recovery. Se hai acquistato OS X dal Mac App Store, tu   potrebbe essere richiesto di inserire il ID Apple e password eri solito   acquista OS X.

  5. Quando OS X è attivo e funzionante, collega la tua unità Time Machine esterna, aprila in Finder, apri la cartella che porta il tuo Mac e poi la cartella 'Più recenti' ( http://www.macissues.com/2014/04/14/how-to-restore-files-from-time-machine-manually/ ).
  6. Passare a "Applicazioni" e copiare nuovamente le applicazioni di App Store non Mac in "/ Applicazioni". Si noti che alcune app (ad esempio VMware Fusion) non funzioneranno correttamente se copiate, è necessario reinstallarle con il programma di installazione fornito dal produttore.
  7. Installa le applicazioni Mac App Store dall'App Store.
  8. Passare a "Utenti / [nome utente]" e copiare Documenti, Immagini, Filmati, Musica e qualsiasi altra cartella che contiene dati importanti nella nuova cartella Inizio.

  9. Mi asterrò dal copiare "Libreria", sebbene sia lì che si trovano le tue impostazioni. Se hai la sincronizzazione di iCloud Mail, Contatti, Calendari, Promemoria, Safari, Notes e Portachiavi abilitata la maggior parte delle tue impostazioni si ricostruirà perfettamente. Si consiglia di copiare selettivamente le impostazioni dell'applicazione da "Libreria / Supporto applicazioni" dopo aver controllato il contenuto dei file.

  10. Se condividi il tuo Mac con altre persone, ripeti i passaggi 8 e 9 per i loro account.

La sincronizzazione di iCloud è particolarmente importante per Keychain , e parlo per esperienza: ho avuto difficoltà ad esportare e importare Keychain dopo aver installato OS X Yosemite da zero, senza ripristinare da un backup di Time Machine.

Un consiglio : È consigliabile che l'account di accesso utilizzato quotidianamente non disponga di diritti amministrativi. Dovresti invece creare un account amministrativo. Di solito lo chiamo admin:

enter image description here

mentre il mio account è 'Standard'. L'effetto collaterale è che OS X ti chiederà di digitare admin la password di tanto in tanto, ad esempio per modificare le impostazioni in Preferenze di Sistema:

enter image description here

In bocca al lupo!


3

Data 1 ° impatto

Identificare nel miglior modo possibile data del primo attacco . Perché tutto il backup dopo questa data è danneggiato e non può essere considerato attendibile. (A proposito, non c'è bisogno di fare un backup di un sistema potenzialmente pericoloso.)

Guarda il registro più vecchio /var/log/system.log mostrando anormale ssh accesso, cioè da un IP che non eri.

Dimensione del danno

Una volta identificata questa data approssimativa, stimare il perimetro del danno causato dall'atleta.

Se l'evento si è verificato 14 giorni fa, usa a find comando per identificare tutti i file che i tuoi attaccanti hanno modificato sul tuo sistema:

/usr/bin/sudo find / -mtime -15 -mtime +13 -ls

Insisto per usare /usr/bin/sudo perché è possibile che il tuo sudo all'interno del tuo PERCORSO potrebbe essere stato sostituito.

Un metodo più sicuro è fare tutte queste indagini con:

  • tu Mac scollegato da qualsiasi forma di rete (totalmente isolata),
  • con una versione sicura di Yosemite su una chiave USB o un'unità esterna (se non ne hai uno, non costruirlo dal tuo sistema pericoloso, chiedi a un collega di farne uno su un sistema sicuro).

Ripristina dati sicuri

Da una versione sicura del tuo Yosemite su una USB o un'unità esterna fai:

  • un formato totale del tuo disco interno,

  • una nuova installazione di Yosemite.

Ripristina il resto dei dati degli utenti da un backup precedente alla data del primo attacco, nel mio esempio di 15 giorni.

Evita le più comuni debolezze

Chiudere qualsiasi accesso ospite.

Cambia la password di tutti gli utenti (intendo un vero cambiamento, non passare da password a password1, Cambia per {}=øph0! o Mißm4tcH ...).

Cambiarli su qualsiasi altro sistema se avessi potuto usare le stesse password. Considerali tutti pericolosi ... da 14 giorni.

Continua a condividere ( System Preferences > Sharing ) al minimo necessario.

Ritorna in superficie

Ora puoi configurare il tuo Mac su una normale configurazione di rete e tornare alla superficie di Internet :).

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.