Как я не позволил хакерам (секретной информации) снова манипулировать моим терминалом [закрыто]

1

Как я не позволил хакерам снова манипулировать моим терминалом, чтобы мой терминал снова работал правильно?

Здесь, в Нидерландах, мы проводим кибер-тест в компании, в которой мы работаем, а атаки выполняются голландским правительством AIVD (группа, которая также поймала хакеров Fancy Bear). Хакер имеет root-доступ на моем MacBook Air. Откуда мне это знать (было объявлено, что нас взломают)? Хакер способен запустить: 

sudo hostname 192

Хакер явно выполнил команду выше. Хакер также манипулирует моим ударом. Я выполнил командную строку 

sudo dscl . list /Users | grep -v '^_'

и увидеть четырех пользователей:

  • демон
  • никто
  • Джен
  • корень

Я не знаю, где искать, так как мой удар управляется. В моем терминале отображаются только те команды, которые я выполнил два дня назад. Команды вчера и сегодня не показаны. Даже если я выполню

Пример: 

Last login: Mon Aug 27 17:37:19 on ttys001
192:~ jen$ history -c
192:~ jen$ history -w

Last login: Mon Aug 27 17:38:49 on ttys002
192:~ jen$ history 
    1  nano doc.txt
    2  cat doc.txt

Как я не позволил хакерам снова манипулировать моим терминалом, чтобы мой терминал снова работал правильно?

Я не жертва социальной инженерии, я не открывал ссылки или файлы по почте и не загружал какое-либо приложение. Я использую ноутбук только для работы над конфиденциальной информацией. Я использую только программное обеспечение, поставляемое Mac в моей системе. (Я не загружал файлы по почте и не использую браузер). Я использую этот ноутбук только для написания писем (и ничего более).

terminal security bash sudo jennifer ruurs
источник
4
A hacker penetrated in my system and has root access. How do I know that? Два утверждения противоречивы. пожалуйста редактировать вопрос и уточните.
Nimesh Neema
1
Ах старый взломайте свой компьютер и не делайте абсолютно ничего, ожидая, что его обнаружит владелец ,
JBis
1
Это поможет, если вы сможете добавить объяснение того, что заставляет вас думать, что хакер выполнил команду /Volumes/UBUNTU\ 16_0/ubuntu ; exit; размонтировать флешку.
Nimesh Neema
1
Каков ваш вывод следующей команды cat /Volumes/UBUNTU\ 16_0/ubuntu
Allan
1
Иногда имя хоста моего Macbook Pro также меняется на 192. Я думаю, что это просто парсинг IP-адреса в качестве домена и затем получение первого «сегмента» в качестве вашего имени хоста.
Daniel Gray

Ответы:

4

Скорее всего, вы пришли к неверному выводу - что ваш Mac был взломан.

Наиболее вероятной причиной «нежелательных» или «неожиданных» изменений имени хоста является то, что ваш DHCP-сервер дал вашему компьютеру новое имя хоста. Сервер DHCP может быть маршрутизатором / модемом в вашем собственном доме, системой вашего интернет-провайдера или даже оборудованием в любом месте, где вы подключены к сети WiFi (например, в кафе, в школе или где-либо еще).

Удаление прав sudo из ваших не поможет этой проблеме, так как клиент DHCP на вашем Mac все еще сможет изменить ваше имя хоста.

jksoegaard
источник
Хакеры также запустили команду, чтобы удалить мою флешку & gt; & gt; 76 sudo tcpdump 77 / Volumes / UBUNTU \ 16_0 / ubuntu; выход; & GT; & GT;
jennifer ruurs
3

Нет никаких доказательств того, что вас взломали.

Четыре перечисленных вами пользователя не имеют «root» доступа как такового, и все они являются действительными учетными записями:

  • daemon - пользователь для обработки фоновых процессов, которые не привязаны к конкретному пользователю, пользователю daemon дается эти процессы. Таким образом, вы можете включить свой Mac, чтобы никто не вошел в систему, а процессы все еще выполняются.

  • nobody - это другой пользователь, который получает назначенные процессы (например, httpd ) и имеет очень ограниченный доступ к системе. Даже если бы кто-то взломал его, это воздействие было бы ограничено.

  • jen - Я предполагаю, что это вы (SE имя пользователя "Дженнифер Руурс"). Если вы пользователь с правами администратора, у вас есть sudo права, которые дают вам root-доступ

  • root - это корневой аккаунт. Этот аккаунт потребности root-доступ, особенно если вы загружаетесь в однопользовательском режиме для диагностики или ремонта.

Команда, которую вы упомянули только временно меняет имя хоста вашего компьютера. 

sudo hostname 192

Это происходит только тогда и только тогда, когда пользователь / группа, в которую он вошел как /etc/sudoers файл, и они либо имели пароль или /etc/sudoers настроен для аутентификации без пароля (очень небезопасно и не по умолчанию для macOS).

Все пользователи выше, за исключением jen, не могу (по умолчанию) получить доступ к вашему компьютеру удаленно. Итак, если вы уверены, что вас «взломали», вам нужно либо найти пользователь учетная запись, которая предоставляет им доступ или, если это была ваша учетная запись, уменьшите ваш риск, измените свой пароль.

Allan
источник
Хакеры запустили команду 77 / Volumes / UBUNTU \ 16_0 / ubuntu; выход; в моем терминале размонтировать мою флешку
jennifer ruurs
Что заставляет вас думать, что?
Allan
Я видел эту команду в своем терминале. Спасибо за ответ, как найти учетную запись, которая предоставляет им доступ?
jennifer ruurs
dscl Команда в вашем вопросе ориг списки пользователей. Какие из них вы не узнаете? Во-вторых, в каком пользовательском контексте запускались имя хоста и команда? Если это был ты, то смени свой пароль.
Allan
Я вошел как Джен. Команды, которые выполняются через мою учетную запись, но они также управляют моим bash. Поэтому я не могу видеть, какие команды они запускают.
jennifer ruurs
1

Чтобы ответить на вопрос в заголовке напрямую:

Ты не можешь.

Протрите все, переустановите macOS и восстановите файлы из резервной копии ( не с зараженной машины).

Для полноты картины стоит упомянуть, что существуют атаки, например заражать прошивку запоминающих устройств, уничтожая все оборудование, чтобы обеспечить 100% безопасность. Если у вас нет оснований полагать, что правительство преследует вас лично, это не является реальной проблемой - напротив, заражение любой части данных, фактически сохраненных на диске, на несколько порядков проще и представляет собой очень реальную угрозу. Даже если вы были просто жертвой автоматической нецелевой атаки, уничтожение всего этого является необходимой мерой предосторожности.

Зачем?

Если у злоумышленника есть root-доступ, он может, среди прочего, заменить любой бинарный с собственной версией, которая может делать все что угодно, что означает, что вы не можете доверять что-нибудь в вашей системе больше. Буквально все вы пытаетесь сделать, может в конечном итоге сделать что-то совершенно разные , Если хакер хочет, они могут сделать cat верните подправленную версию файлов, например, скрыть записи журнала, показывающие нежелательную активность; ls может не показать файлы, добавленные хакером; любой текстовый редактор может претендовать на сохранение того, что вы пишете, но на самом деле молча игнорирует ваши изменения и т. д. и т. д.

Могу я хотя бы сохранить свои файлы? У меня есть вещи, которые были скопированы некоторое время назад / не копируются вообще

Причина, по которой вы не хотите копировать свои файлы, заключается в том, что существует множество типов неисполняемых файлов, которые могут использовать ту или иную уязвимость и повторно заразить вашу систему. Сжатые архивы различных типов и PDF-файлы являются распространенными носителями, но отнюдь не единственной опасностью. Вы наверное безопасное копирование в виде обычного, неисполняемого текстового файла (однако, не используйте для этого скомпрометированную ОС), но помните, что атакующий мог изменить абсолютно все абсолютно любым способом, каким он хочет, поэтому относитесь ко всему так, как вы относитесь случайный файл, случайно скачанный с теневого сайта.

Более реалистично ...

Вы также должны думать о Зачем хакер сделал бы что-то подобное. Замена cat а также ls со злонамеренными версиями это вполне возможно, но сделать вывод достаточно сложным, чтобы обмануть вас и подумать, что все в порядке, гораздо сложнее. Если бы хакер просто хотел шпионить за вами, он установил бы кейлоггер и оставил бы все остальное в покое. Если бы они хотели использовать вашу машину в ботнете, они установили бы необходимое программное обеспечение и оставили бы все остальное в покое. Если бы они хотели ваш конкретно деньги, они бы установили вымогателей, и вы бы знали это уже.

Ни в одном из перечисленных случаев нет необходимости редактировать историю bash или изменять имя хоста вашего компьютера. Кейлоггер или подобный руткит могут быть практически не обнаруживаемыми. Так что пока корневой атакующий Можно делать что-нибудь, обычно это означает, что вы никогда не сможете угадать, что они там, кроме как, например, наблюдая, как ваша нагрузка была выше, чем обычно, когда ваша скомпрометированная машина участвовала в бот-сети. Или, если они не возражают против того, что вы знаете, что они там, гораздо проще заблокировать пользователя (например, путем изменения пароля учетной записи), чем связываться с историей bash. (Или опять вымогатель.)

Итак, что здесь произошло и что вы должны сделать?

Другие ответы уже описывают то, что я лично согласен с наиболее вероятным сценарием: несколько случайностей, например, DHCP-сервер, изменяющий ваше имя хоста. В этом случае вы бескомпромиссны и в порядке. Альтернатива заключается в том, что кто-то вломился в вашу машину вручную и либо неуклюже пытается ее скрыть, либо намеренно связывается с вами. Это может быть член семьи, коллега или другое знакомство; возможно, они могли бы перебрать твой пароль. Если что дело а также вы уверены, что они не установили руткитов или клавиатурных шпионов за это время, тогда достаточно просто изменить соответствующие пароли (root и ваш пользователь). Но вы действительно не можете знать, что они делали или не делали, и как только у вас уже есть root-доступ, установить тривиальный пакет готовых вредоносных программ совершенно тривиально - так что, если вы действительно уверены, что кто-то получил несанкционированный root-доступ, то, как объяснено выше, протри все.

temp
источник
Я только что услышал, что это была тренировка на работе и что я потерпел неудачу. Никто не имел физического доступа к ноутбуку. Прочитайте, как манипулируют моим ударом. Команда sudo hostname была показана в моем терминале. часть usb, выскакивающая до.
jennifer ruurs
1
О, если бы это был искусственный сценарий (для обучения), который объясняет необычные действия. Я не уверен, что это за обучение, но большая часть моего ответа по-прежнему применима к реалистичному сценарию: если вы знаете, что у кого-то есть root-доступ к вашей учетной записи, ВСЕ не учитывается. Если они ожидают, что вы будете делать что-то другое для тренировки, тогда это плохая тренировка. В этом случае, если вы обновляли все и ничего не делали, чтобы подвергнуть себя уязвимостям (например, запускать старое / небезопасное программное обеспечение), вы могли стать жертвой атаки социальной инженерии. Трудно сказать без дополнительной информации.
temp
Я не жертва социальной инженерии, и у меня нет старого программного обеспечения. Я использую только программное обеспечение, поставляемое Mac в моей системе.
jennifer ruurs