Mi iMac ha sido pirateado a través de sshd. ¿Ahora que?

Mi iMac ejecuta Mac OS X Yosimite 10.10.1

Accidentalmente tuve habilitado el "Acceso remoto" en las preferences del sistema de mi Mac, por lo que se estaba ejecutando el sshd.

  • ¿Cómo solucionar el error de OS X Lion?
  • ¿Qué aplicaciones en mi Mac necesitan actualizaciones de security?
  • ¿De qué directorys debo hacer una copy de security para save todos mis datos?
  • Java 8, la actualización 73 no está instalando
  • ¿Cómo cambio el color del puntero del mouse OS X?
  • ¿Hay alguna herramienta o enfoque de scripting para cambiar la disposition de las pantallas?
  • Acabo de notificar en la window del monitor de networking de Little Snitch que ha registrado aproximadamente 90 conexiones de diferentes serveres a sshd. Revisé las direcciones IP en http://ipinfo.io y todas las direcciones IP registradas están ubicadas en China, Hong Kong y Corea del Sur.

    Parece ser bastante malo.

    Miré un poco en el protocolo de networking disponible de Little Snitch y descubrí que las direcciones IP que aparecían en el logging sshd también aparecían en los loggings de varios otros processs, incluidos

    • sh
    • DDService64d (al parecer, DDService64d es parte del Drobo Dashboard – Tengo un Drobo 5N instalado en mi LAN)
    • lanzamiento

    todo con el usuario "raíz" (incluidos los loggings sshd). Pensé que el usuario root estaba deshabilitado de forma pnetworkingeterminada en Mac OS X, pero esto podría ser todos los resultados del hack …

    Entonces, la pregunta ahora es ¿cómo proceder?

    • Por supuesto, apagué el "Inicio de session remoto" (sshd) en la máquina.
    • Inhabilité el usuario raíz con el command de terminal "dsenableroot -d"
    • Cambié mi contraseña de administrador

    Uso un cable módem para connection a Internet (FritzBox 6360). UPnP está encendido (y yo uso esta característica para varias aplicaciones). Hubo varias asignaciones en el puerto 22. Eliminé todo esto.

    Pero probablemente esto no será suficiente.

    Como mi computadora definitivamente está comprometida, ya no confío en ella. ¿Qué debería hacer ahora? ¿Borrar todo y volver a instalar todo nuevo? Eso sería una gran cantidad de time yendo por el desagüe.

    ¿Y qué hay del acceso DDService64d? ¿Mi Drobo 5N también está comprometido? ¿Hay alguna manera de verificar esto?

    Mi copy de security TimeMachine también se guarda en el Drobo 5N, por lo que incluso si decido borrar la computadora y volver a empezar, ¿cómo puedo estar seguro de que la copy de security TimeMachine en el Drobo no la compromete de nuevo?

    ¿Algún consejo?

  • Para detener un process en Matlab con el keyboard Dvorak
  • ¿Puedo usar FileVault solo para carpetas específicas?
  • Recuperar SSHD corrupto
  • actualizar un viejo iMac
  • Administrar conexiones medidas en OSX
  • ¿Cómo desactivo las antialias de text (suavizado de fonts) en Terminal y globalmente para todas las aplicaciones?
  • 2 Solutions collect form web for “Mi iMac ha sido pirateado a través de sshd. ¿Ahora que?”

    Si está absolutamente seguro de que su Mac ha sido pirateada, le recomiendo encarecidamente que borre su disco duro, reinstale OS X y copie manualmente sus datos de Time Machine:

    1. Haga una copy de security de su Mac.
    2. Reinicie y mantenga presionado Command + R para ingresar a OS X Recovery ( http://support.apple.com/en-us/HT4718 ).
    3. Seleccione 'Utilidad de Discos' y vuelva a formatear su disco duro ( http://support.apple.com/kb/PH5849 ).
    4. Salga de 'Disk Utility' y select 'Reinstalar OS X'. Tenga en count que (desde http://support.apple.com/en-us/HT4718 ):

      Reinstalar OS X usando Recovery requiere acceso de banda ancha a Internet usando una connection Wi-Fi o Ethernet. OS X se descarga a través de Internet desde Apple cuando OS X Recovery se utiliza para la reinstallation. Debe usar DHCP en su networking Wi-Fi o Ethernet para reinstalar OS X usando OS X Recovery. Si compró OS X de la Mac App Store, se le pedirá que ingrese la ID y contraseña de Apple que utilizó para comprar OS X.

    5. Cuando OS X esté en funcionamiento, conecte su unidad Time Machine externa, ábrala en Finder, abra la carpeta que lleva el nombre de su Mac y luego la carpeta 'Últimas' ( http://www.macissues.com/2014/04/14 / how-to-restre-files-from-time-machine-manual / ).
    6. Navegue hasta 'Aplicaciones' y copie las aplicaciones de la Tienda de aplicaciones que no sean Mac a 'Aplicaciones'. Tenga en count que algunas aplicaciones (por ejemplo, VMware Fusion) no funcionarán correctamente si se copyn, debe reinstalarlas con el instalador proporcionado por el fabricante.
    7. Instale las aplicaciones de Mac App Store desde App Store.
    8. Busque "Usuarios / [su nombre de usuario]" y copie Documentos, Imágenes, Películas, Música y cualquier otra carpeta que contenga datos importantes en su nueva carpeta de inicio.

    9. Me abstendría de copyr 'Biblioteca', aunque ahí es donde se encuentran las configuraciones. Si tiene iCloud Mail, Contactos, Calendarios, Recordatorios, Safari, Notas y la synchronization de Llavero habilitada la mayoría de sus configuraciones se rebuildán ellos mismos muy bien. Es posible que desee copyr selectivamente la configuration de la aplicación de 'Biblioteca / Soporte de aplicación' después de verificar los contenidos de los files.

    10. Si comparte su Mac con otras personas, repita los pasos 8. y 9. para sus counts.

    La synchronization de iCloud es especialmente importante para Keychain , y hablo por experiencia: Me costó mucho exportar e importar Keychain después de instalar OS X Yosemite desde cero sin restaurar desde una copy de security de Time Machine.

    Un consejo : es una buena práctica que la count de inicio de session que utiliza a diario no tenga derechos administrativos. Debería crear una count administrativa en su lugar. Yo generalmente lo llamo admin :

    enter image description here

    mientras que mi count es 'Estándar'. El efecto secundario es que OS X le pedirá que escriba la contraseña de admin vez en cuando, por ejemplo, para editar la configuration en Preferences del Sistema:

    enter image description here

    ¡Buena suerte!

    Fecha del primer impacto

    Identifica lo mejor que puedas la date del primer ataque . Porque todas las copys de security posteriores a esta date están dañadas y no se puede confiar en ellas. (Por cierto, no es necesario hacer una copy de security de un sistema potencialmente peligroso).

    Mire el logging más antiguo en /var/log/system.log muestra el acceso ssh anormal, es decir, desde un IP en el que no se encontraba.

    Tamaño del daño

    Una vez que haya identificado esta date aproximada, estime el perímetro del daño causado por su atacante.

    Si el evento ocurrió hace 14 días, use un command find para identificar todos los files que sus atacantes modificaron en su sistema:

     /usr/bin/sudo find / -mtime -15 -mtime +13 -ls 

    Insisto en usar /usr/bin/sudo porque es posible que tu sudo dentro de tu PATH haya sido reemplazado.

    Un método más seguro es hacer toda esta investigación con:

    • tu Mac desconectada de cualquier forma de networking (totalmente aislada),
    • con una versión segura de su Yosemite en una llave USB o en una unidad externa (si no tiene una, no la construya desde su sistema peligroso, pídale a un colega que lo haga uno en un sistema seguro).

    Restaurar datos seguros

    Desde una versión segura de su Yosemite en un USB o una unidad externa, haga lo siguiente:

    • un formatting total de su disco interno,

    • una nueva installation de Yosemite.

    Restaure el rest de los datos de sus usuarios a partir de una copy de security anterior a la date del primer ataque, en mi ejemplo 15 días de antigüedad.

    Evita las debilidades más comunes

    Cierre cualquier acceso de invitado.

    Cambiar la contraseña de todos los usuarios (me refiero a un cambio real, no cambiar de password a password1 , cambiar por {}=øph0! O Mißm4tcH …).

    Cámbialos en cualquier otro sistema si hubieras usado las mismas passwords. Considere todos ellos como peligrosos … desde hace 14 días.

    Siga compartiendo ( System Preferences > Sharing ) al mínimo que realmente necesita.

    Regreso a la superficie

    Ahora puede configurar su Mac a una configuration de networking normal y regresar a la superficie de Internet :).

    Loving Apple Products like poisoning (iPhone, iPad, iMac, Macbook, iWatch).