Mi iMac ha sido hackeado a través de sshd. ¿Ahora que?

Mi iMac funciona con Mac OS X Yosimite 10.10.1

He activado accidentalmente "Conexión remota" en las preferences de sistema de mi Mac, por lo que el sshd se estaba ejecutando.

Acabo de notificar en la window del monitor de networking de Little Snitch, que registró cerca de 90 conexiones de diferentes serveres a sshd. Comprobé las direcciones IP en http://ipinfo.io y todas las direcciones IP registradas se encuentran en China, Hong Kong y Corea del Sur.

Parece ser bastante malo.

Miré un poco en el protocolo de networking disponible de Little Snitch y descubrí que las direcciones IP que aparecían en el logging sshd también aparecieron en los loggings de varios otros processs, incluyendo

  • sh
  • DDService64d (aparentemente DDService64d es parte del Drobo Dashboard – Tengo un Drobo 5N instalado en mi LAN)
  • lanzó

todo con el usuario "root" (incluyendo los loggings sshd). Pensé que la raíz del usuario estaba deshabilitada por defecto en Mac OS X, pero esto podría ser resultado del hack …

Así que la pregunta ahora es cómo proceder?

  • Por supuesto, desconecté "Remote Login" (sshd) en la máquina.
  • Desactivé el usuario root con el command "dsenableroot -d" terminal
  • He cambiado mi contraseña de administrador

Yo uso un módem por cable para la connection a Internet (FritzBox 6360). UPnP está activado (y utilizo esta function para varias aplicaciones). Allí donde varias asignaciones al puerto 22. He eliminado todos estos.

Pero probablemente esto no será suficiente.

Dado que mi computadora definitivamente está comprometida, no confío más en ello. ¿Qué debería hacer ahora? Borrar todo y volver a instalar todos los nuevos? Eso sería una enorme cantidad de time bajando por el desagüe.

¿Y cuál es el acceso DDService64d? ¿Está mi Drobo 5N comprometido también? ¿Hay una manera de comprobar esto?

Mi copy de security de TimeMachine también se guarda en el Drobo 5N, así que incluso si decido borrar el equipo y comenzar de nuevo, ¿cómo puedo estar seguro, que no se ve comprometida de nuevo por la copy de security de TimeMachine en el Drobo?

¿Algún consejo?

  • ¿Cómo reasigno la tecla F3 a otra aplicación?
  • Deshabilitar la aceleración del ratón
  • ¿Cuál es la mejor herramienta de remapeador de keys?
  • Cómo pasar teclas de acceso rápido de keyboard de VMWare Windows VM de nuevo a host OSX?
  • Algunos atajos de dvorak no funcionan. 10.8.2
  • ¿Cómo puedo montar un sistema de files ext4 en OS X?
  • 2 responses to “Mi iMac ha sido hackeado a través de sshd. ¿Ahora que?”

      Zaggo said:

      Si está absolutamente seguro de que su Mac ha sido hackeado, le recomiendo encarecidamente que borre su disco duro, reinstale OS X y copie manualmente los datos de Time Machine:

      1. Haga una copy de security de su Mac.
      2. Reinicie y mantenga presionado Comando + R para ingresar a la recuperación de OS X ( http://support.apple.com/es/HT4718 ).
      3. Seleccione 'Utilidad de disco' y vuelva a formatear su disco duro ( http://support.apple.com/kb/PH5849 ).
      4. Salga de 'Disk Utility' y select 'Reinstall OS X'. Tenga en count que (desde http://support.apple.com/en-us/HT4718 ):

        La reinstallation de OS X mediante Recuperación requiere acceso de banda ancha a Internet mediante una connection Wi-Fi o Ethernet. OS X se descarga a través de Internet desde Apple cuando OS X Recovery se utiliza para la reinstallation. Debe utilizar DHCP en su networking Wi-Fi o Ethernet para reinstalar OS X mediante la Recuperación de OS X. Si compró OS X desde el Mac App Store, es posible que se le pida que ingrese el ID de Apple y la contraseña que utilizó para comprar OS X.

      5. Cuando OS X esté en funcionamiento, conecte la unidad externa de Time Machine, ábrala en Finder, abra la carpeta con el nombre de su Mac y luego la carpeta 'Latest' ( http://www.macissues.com/2014/04/14 / how-to-restre-files-from-time-machine-manualmente / ).
      6. Vaya a "Aplicaciones" y copie las aplicaciones no pertenecientes a Mac App Store a "/ Applications". Tenga en count que algunas aplicaciones (por ejemplo, VMware Fusion) no funcionarán correctamente si se copyn, debe volver a instalarlas con el instalador proporcionado por el fabricante.
      7. Instale aplicaciones de Mac App Store desde la App Store.
      8. Vaya a 'Usuarios / [su nombre de usuario]' y copie documentos, imágenes, películas, música y cualquier otra carpeta que contenga datos importantes en su nueva carpeta principal.

      9. Me abstendría de copyr 'Biblioteca', aunque es donde se encuentran sus ajustes. Si tiene correo iCloud, contactos, calendars, recordatorios, Safari, notas y la synchronization de llavero habilitado la mayoría de sus ajustes se rebuildán muy bien. Es posible que desee copyr selectivamente la configuration de la aplicación desde 'Soporte de biblioteca / aplicación' después de comprobar el contenido de los files.

      10. Si comparte su Mac con otras personas repita los pasos 8. y 9. para sus counts.

      iCloud synchronization es especialmente importante para el llavero , y hablo de la experiencia: Tuve un time bastante difícil de exportar e importar llavero después de instalar OS X Yosemite desde cero sin la restauración de una copy de security de Time Machine.

      Un consejo : Es una buena práctica que la count de inicio de session que utiliza diariamente no tenga derechos administrativos. Debe crear una count administrativa en su lugar. Lo llamo generalmente admin :

      introduzca la descripción de la imagen aquí

      mientras que mi count es 'Estándar'. El efecto secundario es que OS X le pedirá que escriba la contraseña de admin vez en cuando, por ejemplo para editar la configuration en Preferences del Sistema:

      introduzca la descripción de la imagen aquí

      ¡Buena suerte!

      daniel azuelos said:

      Fecha primer impacto

      Identifique lo mejor que pueda la date del primer ataque . Porque toda la copy de security después de esta date está dañada y no se puede confiar. (Por cierto, no hay necesidad de hacer una copy de security de un sistema potencialmente peligroso.)

      Mire el logging más antiguo en /var/log/system.log mostrando un acceso ssh anormal, es decir, desde una IP en la que no estaba.

      Tamaño del daño

      Una vez que haya identificado esta date aproximada, estime el perímetro del daño causado por su atacante.

      Si el evento ocurrió hace 14 días, utilice un command find para identificar todos los files que sus atacantes modificaron en su sistema:

       /usr/bin/sudo find / -mtime -15 -mtime +13 -ls 

      Insisto en usar /usr/bin/sudo porque es posible que su sudo dentro de tu PATH haya sido reemplazado.

      Un método más seguro es hacer toda esta investigación con:

      • usted Mac desenchufado de cualquier forma de networking (totalmente aislado),
      • con una versión segura de su Yosemite en una llave USB o una unidad externa (si no tiene una, no la construya a partir de su sistema peligroso, pídale a un colega que le haga uno en un sistema seguro).

      Restaurar datos seguros

      Desde una versión segura de su Yosemite en un USB o una unidad externa:

      • un formatting total de su disco interno,

      • una nueva installation de Yosemite.

      Restaurar el rest de los datos de los usuarios de una copy de security anterior a la date del primer ataque, en mi ejemplo de 15 días de antigüedad.

      Evitar las debilidades más comunes

      Cierre cualquier acceso de invitado.

      Cambiar la contraseña de todos los usuarios (me refiero a un cambio real, no cambiar de password a password1 , cambio de {}=øph0! O Mißm4tcH …).

      Cambiarlos en cualquier otro sistema en el que podría haber utilizado las mismas passwords. Considerarlos todos como peligrosos … desde hace 14 días.

      Mantenga el uso compartido ( System Preferences > Sharing ) al mínimo que realmente necesita.

      Volver a la superficie

      Ahora puede configurar su Mac a una configuration de networking normal y volver a la superficie de Internet :).

    Loving Apple Products like poisoning (iPhone, iPad, iMac, Macbook, iWatch).