Я прошу прощения за размещение в длине, но я думал, что завершенность будет иметь большую ценность:
20120822, мой браузер не разрешал домен, поэтому я зашел в свой терминал, чтобы проверить и посмотреть! Я нахожу эти сумасшедшие команды остатком:
mac-mini$ su Password:
sh-3.2# sudo /Applications/TextEdit.app/Contents/MacOS/TextEdit /etc/hosts
Mar 22 23:07:08 my-Mac-mini.local TextEdit[88957] <Error>: kCGErrorIllegalArgument: _CGSFindSharedWindow: WID -1
Mar 22 23:07:08 my-Mac-mini.local TextEdit[88957] <Error>: kCGErrorFailure: Set a breakpoint @ CGErrorBreakpoint() to catch errors as they are logged.
Mar 22 23:07:08 my-Mac-mini.local TextEdit[88957] <Error>: kCGErrorIllegalArgument: CGSSetWindowShadowAndRimParametersWithStretch: Invalid window 0xffffffff
2012-03-22 23:07:19.202 TextEdit[88957:7207] PersistentUI: LSSharedFileListInsertItemURL() failed at inserting URL file://localhost/etc/hosts
Что еще хуже, я обнаружил, что была копия "logmein", которая была удалена. Вот немного истории:
20 /Library/Application\ Support/LogMeIn/uninstaller.command ; exit;
21 killall Toolkit
22 "/Library/Application Support/LogMeIn/bin/LogMeIn.app/Contents/Resources/logmeinserverctl" stop
23 launchctl stop /Library/LaunchDaemons/com.logmein.logmeinserver.plist
24 launchctl unload /Library/LaunchDaemons/com.logmein.logmeinserver.plist
25 launchctl unload /Library/LaunchAgents/com.logmein.LMILaunchAgentFixer.plist
26 launchctl unload /Library/LaunchAgents/com.logmein.logmeingui.plist
27 launchctl unload /Library/LaunchAgents/com.logmein.logmeinguiagent.plist
28 rm -rf /Library/LaunchAgents/com.logmein.LMILaunchAgentFixer.plist
29 rm -rf /Library/LaunchAgents/com.logmein.logmeingui.plist
30 rm -rf /Library/LaunchAgents/com.logmein.logmeinguiagent.plist
31 rm -rf /Library/LaunchDaemons/com.logmein.logmeinserver.plist
32 rm -rf "/Library/Application Support/LogMeIn/"
33 rm -rf /Library/Logs/LogMeIn/
34 rm -rf /Library/Receipts/LogMeIn\ Server\ Installer.pkg/
35 rm -rf /Library/Receipts/LogMeIn\ Installer.pkg/
36 rm -rf /Library/Printers/LogMeIn
37 rm -rf /usr/libexec/cups/backend/LogMeInBackend
38 rm -rf /usr/libexec/cups/filter/LogMeInFilter
39 rm -rf /usr/libexec/cups/filter/commandtoLogMeIn
40 rm -rf "/Applications/LogMeIn/LogMeInUninstaller.app"
41 rm -rf "/Applications/LogMeIn/StartLogMeIn.app"
42 rm -rf "/Applications/LogMeIn/Toolkit.app"
43 if [ -e "/Applications/LogMeIn/LogMeInPluginUninstaller.app" ];
then echo not removing LogMeIn directory; else rm -rf "/Applications/LogMeIn/"; fi
44 rm -rf "/Library/Receipts/LogMeIn Installer.pkg"
45 rm -rf "/Library/Receipts/logmein.pkg"
46 rm -rf "/private/var/db/receipts/com.logmein.logmeinserverinstaller.bom"
47 rm -rf "/private/var/db/receipts/com.logmein.logmeinserverinstaller.plist"
48 dscl . -delete /users/LogMeInRemoteUser
49 killall LMILaunchAgentFixer
Затем я захожу и ищу этот логин, но кроме деинсталлятора, он не существует. Файлы показывают более старую временную метку примерно с марта, но все еще заставляют меня нервничать ..
Я проверяю больше истории как su и нахожу:
5 sudo /Applications/TextEdit.app/Contents/MacOS/TextEdit /etc/hosts
6 stty -onlcr -echo echonl
7 /usr/bin/atos -p "1" -printHeader
8 /usr/bin/atos -p "10" -printHeader
9 /usr/bin/atos -p "11" -printHeader
10 /usr/bin/atos -p "12" -printHeader
11 /usr/bin/atos -p "13" -printHeader
12 /usr/bin/atos -p "14" -printHeader
13 /usr/bin/atos -p "15" -printHeader
14 /usr/bin/atos -p "16" -printHeader
15 /usr/bin/atos -p "17" -printHeader
16 /usr/bin/atos -p "18" -printHeader
17 /usr/bin/atos -p "19" -printHeader
18 /usr/bin/atos -p "21" -printHeader
19 /usr/bin/atos -p "24" -printHeader
20 /usr/bin/atos -p "25" -printHeader
21 /usr/bin/atos -p "27" -printHeader
22 /usr/bin/atos -p "29" -printHeader
23 /usr/bin/atos -p "30" -printHeader
24 /usr/bin/atos -p "33" -printHeader
25 /usr/bin/atos -p "35" -printHeader
26 /usr/bin/atos -p "39" -printHeader
27 /usr/bin/atos -p "40" -printHeader
28 /usr/bin/atos -p "42" -printHeader
29 /usr/bin/atos -p "44" -printHeader
30 /usr/bin/atos -p "46" -printHeader
31 /usr/bin/atos -p "48" -printHeader
32 /usr/bin/atos -p "53" -printHeader
33 /usr/bin/atos -p "90" -printHeader
34 /usr/bin/atos -p "91" -printHeader
35 /usr/bin/atos -p "96" -printHeader
36 /usr/bin/atos -p "108" -printHeader
37 /usr/bin/atos -p "110" -printHeader
38 /usr/bin/atos -p "119" -printHeader
39 /usr/bin/atos -p "122" -printHeader
40 /usr/bin/atos -p "123" -printHeader
41 /usr/bin/atos -p "128" -printHeader
42 /usr/bin/atos -p "129" -printHeader
43 /usr/bin/atos -p "131" -printHeader
44 /usr/bin/atos -p "132" -printHeader
45 /usr/bin/atos -p "133" -printHeader
46 /usr/bin/atos -p "134" -printHeader
47 /usr/bin/atos -p "139" -printHeader
48 /usr/bin/atos -p "141" -printHeader
49 /usr/bin/atos -p "144" -printHeader
50 /usr/bin/atos -p "149" -printHeader
51 /usr/bin/atos -p "154" -printHeader
52 /usr/bin/atos -p "160" -printHeader
53 /usr/bin/atos -p "161" -printHeader
54 /usr/bin/atos -p "164" -printHeader
55 /usr/bin/atos -p "197" -printHeader
56 /usr/bin/atos -p "209" -printHeader
57 /usr/bin/atos -p "212" -printHeader
58 /usr/bin/atos -p "1593" -printHeader
59 /usr/bin/atos -p "1594" -printHeader
60 /usr/bin/atos -p "17892" -printHeader
61 /usr/bin/atos -p "82995" -printHeader
62 /usr/bin/atos -p "82996" -printHeader
63 /usr/bin/atos -p "82997" -printHeader
64 /usr/bin/atos -p "BezelUIServer" -printHeader
65 /usr/bin/atos -p "83003" -printHeader
66 /usr/bin/atos -p "taskgated" -printHeader
67 /usr/bin/atos -p "83006" -printHeader
68 /usr/bin/atos -p "83007" -printHeader
69 /usr/bin/atos -p "83010" -printHeader
70 /usr/bin/atos -p "com.apple.hiserv" -printHeader
71 /usr/bin/atos -p "83014" -printHeader
72 /usr/bin/atos -p "83015" -printHeader
Теперь, может быть, я был пьян, когда все это произошло, но я почти уверен, что не выполнил все эти команды.
Из первой строки я вижу, что они смотрят на файл hosts, так что я нашел это:
127.0.0.1 localhost
255.255.255.255 broadcasthost
::1 localhost
fe80::1%lo0 localhost
Что ж, я изменил мой су проход и регулярный пас, я стер хосты и надеюсь, что это предотвратит дальнейшее заражение?
Или я просто обманываю себя и должен просто переформатировать весь мой компьютер?
Ответы:
Линия
и повторный
происходит от программы Stackshot, которая используется для создания дампа стека для всех запущенных процессов.
Я нашел такие же записи в своем журнале и стал очень подозрительным, но после некоторого поиска в Google я обнаружил, что Control-Option-Command-Shift-период (одновременно) запускает стопку, которая, к моему удивлению, на самом деле производит эти записи в
/var/root/.sh_history
,Я был бы признателен, если бы кто-то, кто знает больше об OS X, мог объяснить, почему скрипт оболочки, работающий в фоновом режиме, делает это.
Для меня это должно было произойти, когда я (достаточно глупо) решил почистить клавиатуру во время работы Mac. :)
источник
Это действительно звучит так, будто кто-то возился с вашим Mac. Если у вас не запущен ssh-сервер для удаленного доступа, это похоже на то, что у вас есть физический доступ к вашему компьютеру. Возможно, хорошей идеей было изменить свои пароли, вы также должны убедиться, что компьютер заблокирован, когда вас нет рядом, чтобы другие люди не имели к нему доступа. Кроме того, имейте в виду, что каждая машина способна взломать нужные навыки, поэтому лучше всего регулярно проверять наличие странных вещей, которые выглядят неправильно. Я думаю, что вы проделали большую работу, поймав это.
источник