¿Actividad inusual de bash en Mac OS X?

3

Entonces, cuando revisé mi computadora esta mañana, tenía el terminal abierto diciendo:

Último inicio de sesión: sábado 5 de marzo, 00:02:43 en ttys000

Verifiqué el tiempo de actividad y han pasado 27 días, 2 usuarios como siempre.

Ahora sé a ciencia cierta que en ese momento preciso dejé mi computadora portátil en la habitación de alguien durante un par de horas y cuando revisé la historia, encontré que estos comandos eran los más recientes (bastante seguros de que no era yo como yo). recordar el conjunto anterior):

cd ~/Library
cd Messages/
l
ls
cd Archive
cd ~
exit

Cuando repetí los comandos llegué a producir

Archivos adjuntos chat.db chat.db-shm chat.db-wal

Pero más allá de eso, no puedo rastrear ni entender lo que hizo el siguiente comando. Intenté cambiar el registro del historial para mostrar las marcas de fecha / hora en los registros del historial, pero todos salieron como la fecha de hoy, supongo que porque solo le apliqué el formato ahora.

No soy un programador, sé muy poco acerca de esto. Llegué tan lejos como a través de Google. ¿Alguien podría explicar qué hicieron esos comandos y si estoy siendo paranoico al sospechar que dicha persona ha intentado exportar mis mensajes? El último conjunto de comandos anterior (para el que estaba allí) había terminado en un archivo de mi trabajo más reciente de Pages que se estaba enviando a alguien a través de iMessage. ¿Podría haber sido eso? Solo un poco raro porque hubo una "salida" justo antes de este set, así que parece que hay algunas cosas separadas ... + Todavía no puedo explicar el inicio de sesión 00:02 esta mañana ... ¿Hay alguna manera de demostrarlo? lo peor, si es asi?

¡Gracias!

    
pregunta Vittoria567 05.03.2016 - 12:18

2 respuestas

2

Los comandos que enumeró en su pregunta lo llevan al archivo de mensajes de la aplicación de mensajería del usuario que ha iniciado sesión actualmente, enumera el contenido de ese directorio y luego regresa al directorio de inicio del usuario que ha iniciado sesión actualmente. Si has iniciado sesión, entonces es tu archivo de mensajes.

El comando exit sale, o cierra, la sesión del terminal, nada más.

Para ver quién ha iniciado sesión en su computadora (o la última vez que inició sesión desde dónde), escriba el comando last en su Terminal:

$ last

Para obtener una lista de los comandos que ha ejecutado, escriba:

$ history

Si desea guardar eso en un archivo para su posterior lectura, escriba esto:

$ history > ~/Desktop/history.txt

y aparecerá un archivo en tu escritorio con todos esos comandos. Puede usar la misma técnica para last , pero asegúrese de cambiar el nombre del archivo.

Ahora, si desea ver qué sucede cuando no está frente a su Mac, simplemente borre el historial antes de irse con el comando history -c . De esta manera, verá exactamente lo que se hizo cuando no estaba cerca.

Ahora, obviamente tienes un inicio de sesión de 2AM en tu computadora. Por que

a) no tienes contraseña

o

b) si tiene uno, ¿por qué se comparte con otros?

    
respondido por el Allan 05.03.2016 - 12:53
1

Puede inferir dos hechos que podrían ser útiles:

Primero, el inicio de sesión fue de ttys000. Esto significa que el inicio de sesión no fue a través de la red, sino local. Segundo, dado que hay un error tipográfico en los comandos ("l" en lugar de "ls"), ciertamente fue un ser humano que escribió estos comandos, y no un script.

Entonces, la pregunta debería ser: ¿quién tiene acceso físico a su computadora?

    
respondido por el Philipp 05.03.2016 - 12:58

Lea otras preguntas en las etiquetas