ShellShock: ¿Debo preocuparme por esto en OS X Mavericks?

4

El tipo de título lo dice todo ... Estaba en el proceso de mostrar un conjunto bastante extenso de máquinas Mac OS X Server cuando ShellShocked llegó al mundo. Tan pronto como vi las noticias, rápidamente comencé a configurar el firewall PF. Probablemente demasiado apresuradamente, ya que logré romper varios de los servicios que estaba configurando.

Ahora, una de las máquinas Mac OS X que estuvo expuesta directamente a Internet se está comportando de manera muy extraña. Ya no puedo iniciar sesión en la máquina a través de Escritorio remoto o la ventana de inicio de sesión normal. (Aparece el cuadro de diálogo de agitación, como si hubiera ingresado la contraseña incorrecta). Sin embargo, todavía puedo iniciar sesión a través de SSH muy bien.

Conozco bastante bien el OS X, y no veo que se estén ejecutando procesos de aspecto inusual. Entonces, a menos que haya algún tipo de kit de raíz para Mac OS X Mavericks en el mundo, o mi servidor Mac Mini haya elegido este momento para manifestar algún tipo de problema de hardware, parece que desactivar el firewall debería hacer que vuelva a la máquina.

¿Es seguro?

    
pregunta Kaelin Colclasure 01.10.2014 - 17:06

1 respuesta

2

Me equivocaría en el lado de la precaución y borraría cualquier servidor en el que viera un comportamiento extraño que estuvo expuesto a la Internet pública en general sin un firewall de registro y / o algún tipo de conexión de seguridad o análisis de seguridad configurado para comparar lo que cambió desde la instalación.

Creo que uno de mis servidores OS X se vio comprometido por primera vez en esta ventana de vulnerabilidad de scripts de bash. El tiempo que me llevaría buscar un kit raíz es mucho más largo que el tiempo que tardé en hacer una última copia de seguridad y luego borrarla de una unidad externa y comenzar de nuevo.

En mi caso, tuve un nuevo usuario llamado A Lo creado como usuario estándar. Bastante extraño y muy poco sutil de alguien que logra obtener el control de un servidor con una dirección IP fija.

Básicamente, cuanto más sofisticado sea el sombrero negro que ha comprometido su computadora, es menos probable que lo note desde un punto de vista de confiabilidad. Si observa inestabilidad, es probable que las personas que han comprometido su servidor sean ineptas o descuidadas, para que eventualmente tengas que reinstalar.

Para ser claros, cualquier servidor que esté oculto detrás de un enrutador con NAT es mucho menos vulnerable que un servidor que ejecuta servicios en vivo 24/7 con un IPv4 real, estático y sin firewall. Las personas que simplemente ejecutan OS X no deberían tener ninguna preocupación a menos que tengan otras razones para pensar que están comprometidas.

    
respondido por el bmike 01.10.2014 - 17:18

Lea otras preguntas en las etiquetas