Lo más probable es que hayas llegado a una conclusión incorrecta: que tu Mac fue hackeada.

La causa más probable de cambios "no deseados" o "sorprendentes" en el nombre de host es que su servidor DHCP le dio a su computadora un nuevo nombre de host. El servidor DHCP podría ser un enrutador / módem en su propia casa, un sistema en su ISP o incluso hardware en cualquier lugar donde se haya conectado a una red WiFi (como una cafetería, una escuela o cualquier otra cosa).

Eliminar los derechos de sudo de los suyos no solucionará este problema, ya que el cliente DHCP en su Mac aún podrá cambiar su nombre de host.

No hay pruebas de que haya sido hackeado.

Los cuatro usuarios que figuran en la lista no tienen acceso "raíz" per se y todos son cuentas válidas:

• daemon : un usuario para manejar los procesos en segundo plano que no están vinculados a un usuario específico, el usuario daemon recibe dichos procesos. Así es como puede encender su Mac, nadie ha iniciado sesión y los procesos aún se ejecutan.

• nobody : este es otro usuario que recibe procesos asignados (como httpd ) y tiene muy acceso limitado al sistema. Incluso si alguien lo hackeara, su exposición sería limitada.

• jen - Supongo que este es usted (el nombre de usuario de SE es "jennifer ruurs"). Si eres un usuario administrador, tienes sudo derechos que te dan acceso de root

• root - esta es la cuenta raíz. Esta cuenta necesita acceso a la raíz, especialmente si inicia en el modo de usuario único para realizar diagnósticos o reparaciones.

El comando que mencionaste solo temporalmente cambia el nombre de host de tu computadora.

sudo hostname 192

Esto solo ocurre si y solo si, el usuario / grupo en el que inició sesión como está en el archivo /etc/sudoers y tenían la contraseña o /etc/sudoers está configurado para la autenticación sin contraseña (muy insegura y no la configuración predeterminada de macOS ).

Todos los usuarios anteriores, con la excepción de jen , no (de forma predeterminada) pueden acceder a su computadora de forma remota. Por lo tanto, si está convencido de que fue "pirateado", debe encontrar la cuenta de usuario que le otorga el acceso o si fue su cuenta, mitigar su riesgo, cambiar su contraseña.

Para responder directamente a la pregunta en el título:

No puedes.

Limpie todo, reinstale macOS y restaure archivos desde la copia de seguridad ( no de la máquina infectada).

Para completar, vale la pena mencionar que existen ataques que, por ejemplo, infecte el firmware de los dispositivos de almacenamiento, lo que requiere la destrucción de todo el hardware para garantizar un 100% de seguridad. Sin embargo, a menos que tenga razones para creer que está siendo atacado personalmente por un gobierno, esto no es una preocupación realista; por el contrario, infectar cualquier parte de los datos realmente almacenados en el disco es mucho más fácil y una amenaza muy realista. Incluso si solo fue víctima de un ataque automatizado y no dirigido, limpiar todo es una precaución necesaria.

¿Por qué?

Si un atacante tiene acceso de root, puede, entre otras cosas, reemplazar el binario de cualquier con su propia versión que puede hacer lo que quiera, lo que significa que no puede confiar en nada en tu sistema más. Literalmente cualquier cosa que intentes hacer puede terminar haciendo algo completamente diferente . Si el pirata informático quisiera, podría hacer que cat devuelva la versión manipulada de los archivos, por ejemplo. ocultar las entradas del registro que muestran la actividad no deseada; ls podría no mostrar los archivos agregados por el hacker; cualquier editor de texto podría pretender guardar lo que escribes, pero en realidad ignorar silenciosamente tus ediciones, etc., etc.

¿No puedo al menos conservar mis archivos? Tengo cosas de las que se hizo una copia de seguridad hace un tiempo / no tengo ninguna copia de seguridad

La razón por la que no desea copiar sus archivos es que hay muchos tipos de archivos no ejecutables que pueden aprovechar una vulnerabilidad u otra y reinfectar su sistema. Los archivos comprimidos de varios tipos y archivos PDF son portadores comunes, pero de ninguna manera son el único peligro. Es probablemente una copia segura sobre un archivo de texto no ejecutable de texto simple (recuerde que no debe usar el sistema operativo comprometido para hacer eso), pero recuerde que el attacer podría haber cambiado absolutamente cualquier cosa en absoluto. como querían, así que trate todo como trataría un archivo aleatorio descargado accidentalmente desde un sitio web sospechoso.

Más realista ...

También debes pensar en por qué el pirata informático haría algo así. Reemplazar cat y ls con versiones malintencionadas es totalmente posible, pero hacer que la salida sea lo suficientemente sofisticada como para hacerle creer que todo está bien es mucho más complejo. Si el hacker solo quisiera espiarte, instalaría un keylogger y dejaría todo lo demás solo. Si quisieran usar su máquina en una botnet, instalarían el software necesario y dejarían todo lo demás solo. Si quisieran su dinero específicamente, habrían instalado ransomware, y eso ya lo sabría.

Ninguno de los casos anteriores implica editar el historial de bash o cambiar el nombre de host de su máquina. Un keylogger o un rootkit similar puede hacerse virtualmente indetectable. Así que mientras un atacante raíz puede hacer cualquier cosa, generalmente eso significa que nunca podrás adivinar que están ahí, excepto por ejemplo. observando que su carga es más alta de lo normal cuando su máquina comprometida participó en una red de bots. O si a ellos no les importó saber que estaban dentro, es mucho más fácil bloquear a un usuario (por ejemplo, cambiando la contraseña de la cuenta) que meterse con el historial de bash. (O, de nuevo, ransomware.)

Entonces, ¿qué pasó aquí y qué deberías hacer?

Las otras respuestas ya describen lo que personalmente considero que es el escenario más probable: algunos errores, como el servidor DHCP que cambia su nombre de host. En cuyo caso eres inflexible y bien. La alternativa es que alguien haya ingresado manualmente en su máquina y esté tratando de ocultarlo de manera torpe o intencionalmente jugando con usted. Esto podría ser un miembro de la familia, un compañero de trabajo u otro acuse de recibo; Tal vez podrían haber hojeado su contraseña. Si ese caso y está seguro de que no instalaron ningún rootkits o keyloggers mientras tanto, solo debe cambiar las contraseñas relevantes (root y su usuario) bastar. Pero realmente no puede saber lo que hicieron o no hicieron, y una vez que ya tiene acceso de root, es absolutamente trivial instalar un paquete de malware ya hecho, así que si realmente cree que alguien obtuvo acceso de root no autorizado, entonces, como se explica arriba, borra todo.