Mi iMac ha sido hackeado a través de sshd. ¿Ahora que?

3

Mi iMac ejecuta Mac OS X Yosimite 10.10.1

Accidentalmente tuve habilitado el "Inicio de sesión remoto" en las preferencias del sistema de mi Mac, por lo que se estaba ejecutando el sshd.

Acabo de notificar en la ventana del monitor de red de Little Snitch, que registró aproximadamente 90 conexiones desde diferentes servidores a sshd. Revisé las direcciones IP en enlace y todas las direcciones IP registradas están ubicadas en China, Hong Kong y Corea del Sur.

Parece ser bastante malo.

Miré a mi alrededor un poco en el protocolo de red disponible de Little Snitch y descubrí que las direcciones IP que aparecen en el registro sshd también aparecían en los registros de otros procesos, incluido

  • sh
  • DDService64d (aparentemente DDService64d es parte del Drobo Panel de control: tengo un Drobo 5N instalado en mi LAN)
  • launchd

todo con el usuario "root" (incluidos los registros sshd). Pensé que el usuario root estaba deshabilitado por defecto en Mac OS X, pero esto podría ser todo resultado del hackeo ...

¿Entonces la pregunta ahora es cómo proceder?

  • Por supuesto, desactivé "Inicio de sesión remoto" (sshd) en la máquina.
  • Deshabilité el usuario root con el comando de terminal "dsenableroot -d"
  • He cambiado mi contraseña de administrador

Uso un cable módem para la conexión a Internet (FritzBox 6360). UPnP está activado (y uso esta función para varias aplicaciones). Allí donde varias asignaciones al puerto 22. Eliminé todas estas.

Pero probablemente esto no sea suficiente.

Ya que mi computadora definitivamente está comprometida, realmente ya no confío en eso. ¿Qué debería hacer ahora? ¿Borrar todo y volver a instalar todo lo nuevo? Eso sería una gran cantidad de tiempo para ir por el desagüe.

¿Y qué hay del acceso DDService64d? ¿Está mi Drobo 5N también comprometido? ¿Hay alguna manera de verificar esto?

La copia de seguridad de Mi TimeMachine también se guarda en el Drobo 5N, por lo que incluso si decido borrar la computadora y comenzar de nuevo, ¿cómo puedo estar seguro de que la copia de seguridad de TimeMachine en el Drobo no se verá comprometida?

¿Algún consejo?

    
pregunta Zaggo 21.01.2015 - 15:32

2 respuestas

4

Si está absolutamente seguro de que su Mac ha sido pirateada, le recomiendo encarecidamente que borre su disco duro, reinstale OS X y copie manualmente sus datos desde Time Machine:

  1. Haz una copia de seguridad de tu Mac.
  2. Reinicia y mantén presionado Command + R para ingresar a OS X Recovery ( enlace ).
  3. Seleccione 'Utilidad de disco' y reformatee su disco duro ( enlace ).
  4. Salga de 'Utilidad de disco' y seleccione 'Reinstalar OS X'. Tenga en cuenta que (desde enlace ):
      

    La reinstalación de OS X usando Recovery requiere acceso de banda ancha a la   Internet mediante una conexión Wi-Fi o Ethernet. OS X se descarga a través de   Internet de Apple cuando OS X Recovery se utiliza para la reinstalación.   Debe usar DHCP en su red Wi-Fi o Ethernet para reinstalar OS X   utilizando OS X Recovery. Si compraste OS X desde la Mac App Store,   se le puede solicitar que ingrese el ID y la contraseña de Apple que solía usar   compra OS X.

  5. Cuando OS X esté funcionando, conecte su unidad externa de Time Machine, ábrala en el Finder, abra la carpeta con el nombre de su Mac y luego la carpeta "Última" ( enlace ).
  6. Vaya a 'Aplicaciones' y copie las aplicaciones que no sean de Mac App Store a '/ Aplicaciones'. Tenga en cuenta que algunas aplicaciones (por ejemplo, VMware Fusion) no funcionarán correctamente si se copian, debe reinstalarlas con el instalador provisto por el fabricante.
  7. Instale las aplicaciones de Mac App Store desde la App Store.
  8. Vaya a 'Usuarios / [su nombre de usuario]' y copie Documentos, Imágenes, Películas, Música y cualquier otra carpeta que contenga datos importantes en su nueva carpeta de inicio.

  9. Me abstendré de copiar 'Biblioteca', aunque ahí es donde se encuentran sus configuraciones. Si tiene habilitada la sincronización de iCloud Mail, Contactos, Calendarios, Recordatorios, Safari, Notas y Llavero, la mayoría de sus configuraciones se reconstruirán sin problemas. Es posible que desee copiar de forma selectiva la configuración de la aplicación desde 'Soporte de biblioteca / aplicaciones' después de verificar el contenido de los archivos.

  10. Si comparte su Mac con otras personas, repita los pasos 8. y 9. para sus cuentas.

La sincronización de iCloud es especialmente importante para Keychain , y hablo por experiencia: me costó bastante exportar e importar Keychain después de instalar OS X Yosemite desde cero sin restaurar desde una copia de seguridad de Time Machine.

Un consejo : es una buena práctica que la cuenta de inicio de sesión que usa a diario no tenga derechos administrativos. Debe crear una cuenta administrativa en su lugar. Normalmente lo llamo admin :

mientrasmicuentaes'Estándar'.ElefectosecundarioesqueOSXlepediráqueescribalacontraseñadeadmindevezencuando,porejemplo,paraeditarlaconfiguraciónenPreferenciasdelsistema:

¡Buena suerte!

    
respondido por el jaume 21.01.2015 - 16:58
3

Fecha 1er impacto

Identifique lo mejor que pueda la fecha del primer ataque . Porque todas las copias de seguridad después de esta fecha están dañadas y no se puede confiar. (Por cierto, no es necesario hacer una copia de seguridad de un sistema potencialmente peligroso).

Observe el registro más antiguo en /var/log/system.log que muestra% an_de% de acceso anormal, es decir, desde una IP en la que no estaba.

Tamaño del daño

Una vez que haya identificado esta fecha aproximada, calcule el perímetro del daño causado por su attaquant.

Si el evento ocurrió hace 14 días, use un comando ssh para identificar todos los archivos que sus atacantes modificaron en su sistema:

/usr/bin/sudo find / -mtime -15 -mtime +13 -ls

Insisto en usar find porque es posible que tu /usr/bin/sudo en tu PATH haya sido reemplazado.

Un método más seguro es hacer toda esta investigación con:

  • Mac desconectado de cualquier forma de red (totalmente aislado),
  • con una versión segura de su Yosemite en una llave USB o en una unidad externa (si no tiene una, no la genere a partir de su sistema peligroso, pídale a un colega que le haga una en un sistema seguro).

Restaurar datos seguros

Desde una versión segura de su Yosemite en un USB o en una unidad externa, haga lo siguiente:

  • un formato total de su disco interno,

  • una nueva instalación de Yosemite.

Restaure el resto de los datos de sus usuarios a partir de una copia de seguridad anterior a la fecha del primer ataque, en mi ejemplo, hace 15 días.

Evita las debilidades más comunes

Cierra cualquier acceso de invitado.

Cambie la contraseña de todos los usuarios (me refiero a un cambio real, no cambie de sudo a password , cambie para password1 o {}=øph0! ...).

Cámbielos en cualquier otro sistema donde podría haber utilizado las mismas contraseñas. Considera a todos ellos como peligrosos ... desde los 14 días.

Sigue compartiendo ( Mißm4tcH ) al mínimo que realmente necesita.

Volver a la superficie

Ahora puede configurar su Mac a una configuración de red normal y volver a la superficie de Internet :).

    
respondido por el daniel Azuelos 17.03.2015 - 02:18

Lea otras preguntas en las etiquetas