特殊情况下,我的 mac 被人运行了一个名叫 a.sh 的脚本,这个脚本已经不在我的电脑上了,如何检测有没有被设置后门?
qweweretrt515 · 2017-05-28 10:31:16 +08:00 · 4584 次点击这是一个创建于 2734 天前的主题,其中的信息可能已经有所发展或是发生改变。
我对 mac / Linux 不是很熟悉,我自己排查,发现被写入了 .ssh/authorized_keys 在我的目录下
除了这个,不知道如何排查 其他的 危险项目
除了把电脑抹掉重新恢复
如果要手动排查, 需要排查哪些地方
有人知道吗
第 1 条附言 · 2017-05-28 16:41:25 +08:00
情况是, 电脑是公司配的, 老同事发老个脚本,
帮我运行了, 说是安装常用的开发的软件(而我对 mac 不熟悉,就被动的从了), 其中就有一行代码,是写入 .ssh/authorized_keys
这个脚本是公司技术总监写的,代码放在公司的 git 里, 我对比过了,老同事帮我运行的脚本和公司 git 里的脚本一模一样
那个脚本因为是公司的东西, 所以我无法公开发上来给大家观摩,很抱歉
我平时就是写 django 代码 和 jquery
如果我抹掉 重新装, 要装回现在的开发环境 ,会不会很麻烦
-----------------------------------
我打算先研究下 ,这个脚本文件里面 每个脚本的含义, 等我研究完毕,就抹掉系统, 按照脚本,手动配置环境,
大家能给一些建议和帮助吗
另外,我工作是连了公司的 vpn,这个 vpn 理论上,能获取我的哪些可能的隐私?
帮我运行了, 说是安装常用的开发的软件(而我对 mac 不熟悉,就被动的从了), 其中就有一行代码,是写入 .ssh/authorized_keys
这个脚本是公司技术总监写的,代码放在公司的 git 里, 我对比过了,老同事帮我运行的脚本和公司 git 里的脚本一模一样
那个脚本因为是公司的东西, 所以我无法公开发上来给大家观摩,很抱歉
我平时就是写 django 代码 和 jquery
如果我抹掉 重新装, 要装回现在的开发环境 ,会不会很麻烦
-----------------------------------
我打算先研究下 ,这个脚本文件里面 每个脚本的含义, 等我研究完毕,就抹掉系统, 按照脚本,手动配置环境,
大家能给一些建议和帮助吗
另外,我工作是连了公司的 vpn,这个 vpn 理论上,能获取我的哪些可能的隐私?
 |
1
20015jjw 2017-05-28 10:52:06 +08:00 via Android
如果人家都 ssh 进来过了 应该就烂了?
|
 |
2
n6DD1A640 2017-05-28 10:52:29 +08:00  2
检查下启动项目
~/Library/LaunchAgents/ /Library/LaunchAgents/ /Library/LaunchDaemons/ |
 |
3
ambilight 2017-05-28 10:54:14 +08:00 via Android
都 ssh 了,想干啥都行。。。把重要资料备份下抹盘吧
|
 |
4
hjc4869 2017-05-28 12:03:35 +08:00
备份抹盘重装
|
 |
5
Doubear 2017-05-28 12:25:54 +08:00
首先拔网线
|
 |
6
changwei 2017-05-28 12:27:39 +08:00
直接 netstat 看一下是不是已经有木马驻留系统了
|
 |
7
vebuqi 2017-05-28 12:59:23 +08:00
断网 -> 备份 -> 抹盘重装
好奇什么情况下,能被人运行脚本呢 |
 |
8
wclebb 2017-05-28 13:59:44 +08:00
就算是 Windows 我也得重装系统。
别说 macOS,有这个 SSH 证书已经非常莫名其妙,属于高度危险了(可以随意命令你的电脑) 就算不抹盘,你还能安心使用? 好厉害,我做不到。 |
 |
10
kidlj 2017-05-28 15:35:30 +08:00 via iPhone
- 检查 crontab
- 检查最近某段时间添加的可执行文件 |
 |
11
holong2000 2017-05-28 15:49:38 +08:00 via iPad
楼主是怎么中招, 怎么发现的
|
 |
14
qweweretrt515 OP |
 |
15
USCONAN 2017-05-28 16:45:19 +08:00 1
先把這個證書拿出來然後反覆連斷網的同時抓一下 Log 看後台有沒有可疑行為。
然後檢查一下 LaunchAgents 和 LaunchDaemons。 最後在 Keychain 裡仔細排查一遍 都沒啥問題了之後吧這個證書做一個本地吊銷,在修改一下系統密碼就可以了吧 畢竟如果單單一個 sh 沒有 sudo 可以做的事情有限 |
|
16
USCONAN 2017-05-28 16:49:15 +08:00 1
公司 VPN 的話正常情況下所有非加密連線內容都可以認為是像 PR 公開透明的內容。
如果加密連結要經過你公司自己簽發的證書(中間人)那麼可以認為連線內容都是像 PR 公開透明的內容 |
 |
17
wwwjfy 2017-05-28 16:49:45 +08:00 1
|
|
18
USCONAN 2017-05-28 16:54:57 +08:00 1
最後仔細看了下注意到電腦是公司配的電腦
那麼問題的前提就不一樣了,如果說這台電腦是公司財產,那麼公司這個作法並沒有什麼問題,樓主不應該並且法律也不保護樓主在這台設備上做的任何與工作內容無關的私事。 |
 |
19
nutting 2017-05-28 17:26:12 +08:00 via Android 1
那个 key 估计是为了从服务反向连接你
|
 |
20
6IbA2bj5ip3tK49j 2017-05-28 18:28:02 +08:00 via Android
搞得这么复杂,问一下你们公司同事不就好了。
|
 |
21
zoues 2017-05-28 18:34:39 +08:00 via iPhone
首先 看看开了 ssh 服务没
|
 |
22
paradoxs 2017-05-28 19:49:28 +08:00
打开钥匙串访问, 把里面所有证书都删掉啊?
|
 |
23
MrMario 2017-05-28 20:17:54 +08:00 via iPhone
基于成本考虑,重装会比各项检查简单、高效。真心想藏个后门,没有详细审计的话很难找出来
|
 |
24
miao1007 2017-05-28 22:50:53 +08:00
公司的电脑就不要干私活了,要是忍不住想玩其它的,可以在手机上用流量+VPN 玩
|
Select Language