Vulnerabilidad de la raíz de High Sierra: ¿cómo comprobar si alguien inició sesión de forma remota?

Como señala @Melvin, se acaba de lanzar un parche. Pero para la pregunta en cuestión, la respuesta fácil es no , fueron raíz en su máquina. Está comprometido, punto, por definición, no puede confiar nada en él si sospecha que fue comprometido.

Para más detalles, si alguien tuviera acceso a la raíz de forma remota a su máquina, nunca podría ver las huellas de eso si supiera lo que están haciendo y limpie sus huellas.

Esto no fue "alguien recibió la llave de la oficina del jefe y se metió un poco por ahí", esto es "alguien recibió la llave maestra, fondos ilimitados y un equipo de construcción ilimitado con tiempo ilimitado a la mano". Si sospechas que estás comprometido, formatea y reinstala.

Para responder a la pregunta en términos sencillos (es decir, cómo es probable que alguien sin las habilidades de prerrequisito de limpieza de pistas deje pistas).

Empecemos con ssh, para una discusión completa, vea esta pregunta . En una búsqueda corta de ssh o sshd (la parte "server" de ssh) en "Console.app" o por terminal:

cat /var/log/system.log | grep sshd

El problema con sshd es que normalmente no se registra nada (la seguridad es AFAIK).

El mismo problema existe con VNC / Compartir pantalla y Apple Remote Desktop / Remote Management, vea por ejemplo this , this y this , que las conexiones normales aceptadas no se registran. Sólo los rechazados. Los rechazados probablemente provendrían de "screensharingd", así que búsquelo en "Console.app" o terminal

cat /var/log/system.log | grep screensharingd

Excepto esto, ¿qué otras pistas se pueden encontrar fácilmente? Miraría a los usuarios y me aseguraría de que solo sean usuarios válidos y que no hayan cambiado los niveles de permisos, etc.

Tambiénverificaríasilosserviciosremotosestánhabilitados.Vealaimagendeabajo.Deinterésson"Compartir pantalla", "Inicio de sesión remoto" y "Gestión remota". cmd + espacio - > "compartir" es la forma más fácil de llegar allí.

No he podido explotar esta vulnerabilidad de forma remota, sin embargo, pude iniciar sesión e intentar aumentar mis privilegios en las Preferencias del Sistema usando "root" sin contraseña.

Para detectar esto, escanee los registros de la máquina deseada con el siguiente comando en la Terminal.

sudo log show --style syslog | fgrep "authenticated as user root (UID 0) for right"

La salida de este comando le mostrará el UID del usuario que inició sesión cuando se explotó esta vulnerabilidad y la hora. Tómese el tiempo y busque conexiones ssh o remotas alrededor de ese período de tiempo.

Actualizar, para buscar inicios de sesión a través de la cuenta raíz, use el siguiente comando en la Terminal.

sudo log show --style syslog | fgrep 'loginwindow' | fgrep 'root'

No hay una manera fácil y confiable de obtener la dirección IP de su atacante a menos que realice operaciones muy estúpidas (como ftp ing desde su computadora de ataque real, otra herramienta).

Tripwire

La única forma seria de detectar tal ataque o cualquier ataque futuro a través de otra vulnerabilidad de MacOS X es instalar y usar cable trampa . tripwire es un software de registro de modificaciones que proviene del campo Unix y seguridad. (Puedes instalarlo con Macports ).

Si anteriormente instaló tripwire , sería capaz de detectar un ataque tan exitoso en cualquiera de las 3 formas, dependiendo del nivel de habilidad del atacante.

Ataque de alto nivel

Su atacante conoce tripwire y sabe que no puede manipular su base de datos. Elimina todos tus accesos o borra completamente tu sistema de archivos para evitar que te rastreen de nuevo.

Ataque de nivel medio

Su instalación tripwire se eliminó y su acceso se mantuvo. Detectarás este ataque eliminando tripwire .

Ataque de nivel bajo

Su atacante no sabe tripwire y todas sus modificaciones, incluso las pistas de registro eliminadas, se registrarán.