V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
deadtomb
V2EX  ›  macOS

有人通过 screen sharing 登陆了我的电脑,但在 system.log 里面查不到登陆日志,有可能是什么原因呢?

  •  
  •   deadtomb · 2021-04-06 23:36:28 +08:00 · 3855 次点击
    这是一个创建于 1338 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今晚本来已经躺上床了,电脑( imac )突然被唤醒了(本来是 sleep 了),之后切换到一个屏幕显示 screen locked by adminstratorb (但我电脑上并没有 administrtorb 这个用户),我解锁后发现顶端提示一个 IP 地址在远程控制我的电脑,并且感觉到他在操作我的鼠标。吓得我赶紧断网,之后在 system.log 里面查询发现并没有远程登陆记录(查找了 screensharingd 和 RemonteManagement 这两个关键字)。但我确信是看到电脑被人远程登陆并控制了。去哪里能查到这个记录呢?

    40 条回复    2021-04-19 09:13:10 +08:00
    revalue
        1
    revalue  
       2021-04-06 23:42:55 +08:00
    你谁啊?

    如果技术难度高,有人如果有这个能力,愿意花这个时间来登你的电脑吧,时间成本值不值。如果是普通人,概率相当于中一次百万大奖吧。否则那就剩下熟人所为了。

    如果技术难度低,可能就是广撒网扫漏洞,全程都是脚本自动化的。扫到之后可以打 log 或者 report,但是那个人瞄一眼 log 要是对你的电脑有兴趣才会继续关注到你。
    ferock
        2
    ferock  
       2021-04-06 23:45:23 +08:00 via iPhone
    你应该先想想怎么关闭你的远程服务
    deadtomb
        3
    deadtomb  
    OP
       2021-04-06 23:45:35 +08:00
    @revalue 我确实看不懂您的回复。。
    deadtomb
        4
    deadtomb  
    OP
       2021-04-06 23:46:07 +08:00
    @ferock 我需要用它。所以我目前不打算关。
    littlewing
        5
    littlewing  
       2021-04-07 00:32:07 +08:00 via iPhone
    楼主是开了远程连接并且暴露在公网?
    IgniteWhite
        6
    IgniteWhite  
       2021-04-07 00:33:33 +08:00 via iPhone
    没设置密码?
    Tink
        7
    Tink  
       2021-04-07 00:42:09 +08:00 via Android
    公网上暴露了?
    BUCKS
        8
    BUCKS  
       2021-04-07 02:18:28 +08:00   ❤️ 10
    @deadtomb 一楼这口气像红卫兵
    deadtomb
        9
    deadtomb  
    OP
       2021-04-07 03:57:43 +08:00
    是的,公网暴露了,端口被扫到倒不奇怪,但我有密码的,并且我电脑上没有 administratorb 这个用户,所以感觉很奇怪,想排查一下原因。
    @littlewing
    @IgniteWhite
    @Tink
    deadtomb
        10
    deadtomb  
    OP
       2021-04-07 04:00:16 +08:00
    @BUCKS 我是真没看懂他的回复。。。我只是在提问怎么查看远程登陆的 log 。。
    guoqiyi
        11
    guoqiyi  
       2021-04-07 04:14:34 +08:00
    @BUCKS 一上来就扣帽子,你也是
    IgniteWhite
        12
    IgniteWhite  
       2021-04-07 05:06:46 +08:00
    @deadtomb 问题不大,我也暴露公网,目前没遇到被扫到…不过我是偶尔 frp 转发,不会一直开着
    domodomo
        13
    domodomo  
       2021-04-07 05:26:49 +08:00
    没查到应该是黑客抹掉了记录吧,基本操作而已
    你这是被人扫到端口,不知道利用了什么漏洞或者是破解了你的密码要不就是你中了木马,新建了一个 adminstratorb 用户,估计是管理员账户,然后抹掉了自己的登陆 ip 地址记录
    直接暴露在公网很危险的,如果是简单密码并不能有效的保护你,感觉暴力破解就行了,系统升到最新,换个复杂一点的密码,都暴露公网了防火墙是一定要的,防火墙限制一下连入 ip 段可以减少很多攻击。
    ferock
        14
    ferock  
       2021-04-07 06:16:23 +08:00 via iPhone
    @deadtomb #4

    那你至少应该加一层 vpn 啊
    deadtomb
        15
    deadtomb  
    OP
       2021-04-07 10:17:17 +08:00 via iPhone
    @IgniteWhite 我这个就是家里的电脑。。估计实现不了 frp 。。frp 要在公网 ip 电脑上装服务吧,我这个就是个电信的光猫。。
    revalue
        16
    revalue  
       2021-04-07 10:52:49 +08:00 via Android
    @deadtomb 如果你是普通人,排除熟人作案后,大可不必担心。

    打补丁,关远程,虽然这些治标不治本,但是完全足够
    xieshaohu
        17
    xieshaohu  
       2021-04-07 11:57:16 +08:00
    把系统设置里的“共享”,“屏幕共享”取消勾选
    deadtomb
        18
    deadtomb  
    OP
       2021-04-07 15:49:06 +08:00 via iPhone
    @domodomo 谢谢回复。以前比较大意总觉得 macos 没有漏洞也不会中毒哈哈。他除了抹掉了登陆记录那个 administratorb 账户也不见了。那这么说他其实并没有破解我的密码对吧?只是利用 whatever 方法新建一个管理账户。限 ip 我主要也不确定自己从哪登陆(我是希望自己能从任何地方登陆。。),所以没法建一个白名单,我也不知道 hacker 从哪登陆也没法建黑名单。。。感觉似乎无解啊。。。
    deadtomb
        19
    deadtomb  
    OP
       2021-04-07 15:50:52 +08:00 via iPhone
    @ferock 谢谢哈。我想请教下(我是技术小白)像我这台 imac 是躲在两层路由之后的,可以加 vpn 吗
    deadtomb
        20
    deadtomb  
    OP
       2021-04-07 15:58:41 +08:00
    @revalue
    @xieshaohu
    我是不能更普通的普通人哈。也没有人知道我的密码。所以人家应该就是扫描扫到的。但我需要使用远程,所以不能关闭,所以发帖是想请教大家看看别人是通过什么方式登陆我的电脑的,从而再想想怎么减少风险(我本来疑惑是一是我电脑有密码,二是电脑上也没有 administratorb 这个账户,前面有朋友回复说可能是中了木马新建了一个账户并抹掉了记录,我再顺路请教下有什么 macos 下的查杀木马工具)
    deadtomb
        21
    deadtomb  
    OP
       2021-04-07 16:20:26 +08:00
    大神们,是不是这个远程登陆 log 不在 system.log 里面?我刚刚自己用另外一台电脑登陆了几次,之后去 system.log 里找也没找到登陆日志。所以究竟在哪里查看被远程登陆的记录啊?
    ferock
        22
    ferock  
       2021-04-07 16:48:36 +08:00
    @deadtomb #15

    那别人怎么进来的?所以你是不是要考虑一下你的 icloud 账号是不是泄漏了
    q1angch0u
        23
    q1angch0u  
       2021-04-07 19:08:29 +08:00
    emmmmm 基于 macOS 是 unix……盲猜 last 会有登陆记录
    deadtomb
        24
    deadtomb  
    OP
       2021-04-07 20:46:39 +08:00
    @ferock 我确实是搞不清楚别人是怎么进来的,所以发帖在咨询啊。。。icloud 应该没关系吧,通过 icloud 账户能远程登陆电脑吗?
    deadtomb
        25
    deadtomb  
    OP
       2021-04-07 20:47:45 +08:00
    @q1angch0u
    试了下 last 会显示最近一条,last -100 仍然也只显示最近一条。。。。这是怎么回事。。。这个是不是只能显示目前仍然在登陆状态的登陆记录啊?
    ferock
        26
    ferock  
       2021-04-07 21:33:42 +08:00
    @deadtomb #24

    可以
    deadtomb
        27
    deadtomb  
    OP
       2021-04-07 22:03:23 +08:00
    @ferock 真的吗太好了 怎么实现呢?我一直苦恼需要用 ddns,如果能用 icloud 账号远程的话我都不需要 ddns 了
    ferock
        28
    ferock  
       2021-04-07 22:05:11 +08:00 via iPhone
    @deadtomb #27

    看 apple 官网说明
    deadtomb
        29
    deadtomb  
    OP
       2021-04-08 10:46:39 +08:00
    @ferock https://support.apple.com/guide/mac-help/share-the-screen-of-another-mac-mh14066/11.0/mac/11.0
    找到这个文章,里面说在 finder 中的 network 连接另一台电脑后有 screen sharing 图标但是我找了半天都没找到 screen sharing 图标在哪。。。。
    deadtomb
        30
    deadtomb  
    OP
       2021-04-08 10:49:06 +08:00
    另外我感觉对方是用的 remote management 协议而不是 screen sharing,因为他使用了 curtain 模式(屏幕上显示了一把锁我看不到他在操作电脑)
    Chihaya0824
        31
    Chihaya0824  
       2021-04-09 09:13:51 +08:00
    @deadtomb 你直接 spotlight 搜索 screen sharing 就有了
    deadtomb
        32
    deadtomb  
    OP
       2021-04-09 21:29:00 +08:00
    @Chihaya0824 我搜到的是 screen sharing 这个应用(当然还有这个帖子的浏览记录),但 screen sharing 这个应用是客户端吧,打开也没有什么地方可以查本机被登陆的记录
    Chihaya0824
        33
    Chihaya0824  
       2021-04-11 20:12:26 +08:00
    @deadtomb Try this
    log show --last 3d --predicate 'processImagePath CONTAINS "screensharingd" AND eventMessage CONTAINS "Authentication"'
    deadtomb
        34
    deadtomb  
    OP
       2021-04-13 23:01:38 +08:00
    @Chihaya0824 我得到了这样的提示:log: Could not open local log store: The log archive is corrupt or incomplete and cannot be read
    加了 sudo 也没用,奇怪了。我去到 /var/logs 目录下发现有 4 个文件分别是 keybagd.log.0 keybagd.log.1 keybagd.log.2 keybagd.log.3 我手动打开找了 screensharingd 这个关键字也没找到。我按日期找了当时那个时间前后的 log,发现 7 号晚上 11 点多这段时间没有 log 。( 7 号的最后一条只到 10 点的样子,然后就是 8 号的 Log 了)
    Chihaya0824
        35
    Chihaya0824  
       2021-04-14 08:53:34 +08:00
    @deadtomb 是不是他连上来第一件事情就是删了 log,论黑客的自我修养( doge
    deadtomb
        36
    deadtomb  
    OP
       2021-04-14 11:45:18 +08:00
    @Chihaya0824 是啊 楼上也有人说可能他删了 log 。。。由于没有记录,我也不知道他是怎么登陆进来的,所以也没有找到方法提高安全性,所以。。。如果他想再进来我感觉就随时可以来。。。只是上次刚好被我看到了而已。。。
    deadtomb
        37
    deadtomb  
    OP
       2021-04-14 12:43:19 +08:00
    @ferock 我试出原因了,如果另一台电脑跟目前这台在同一个网络内会有 screen sharing 的图标,如果没在一个网络内可以连上但没有 screen sharing
    Chihaya0824
        38
    Chihaya0824  
       2021-04-14 14:39:33 +08:00
    @deadtomb 虽然可能有点跑题,但是我你可以先怀疑一下内网设备。我有一次发现夏普的电视更新了安卓系统以后,每天会定时在晚上 6 点开始对我内网对各种开了 samba 服务的机器进行 ssh 暴力破解,还好我服务器报警了有人在暴力破解,然后我就的把那个电视的联网能力直接取消了
    deadtomb
        39
    deadtomb  
    OP
       2021-04-18 23:33:20 +08:00
    @Chihaya0824 这么吓人吗 是电视上的安卓中了病毒?应该不是原生设备所为吧?我内网设备都比较弱鸡应该没这个能力,另外当时我看到他的 IP 开头是 183 开头的应该是外网的人吧(当时被控制时屏幕顶部有个提示显示了对方的 IP )
    Chihaya0824
        40
    Chihaya0824  
       2021-04-19 09:13:10 +08:00
    @deadtomb 183 看起来是外网的 ip
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5799 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 01:43 · PVG 09:43 · LAX 17:43 · JFK 20:43
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.