Ist mein Mac gehackt? Seltsame Dinge gefunden

4518
illyabbi

Ich entschuldige mich für das ausführliche Posten, aber ich dachte, die Vollständigkeit wäre mehr Wert:

20120822, mein Browser hat keine Domain aufgelöst, also bin ich in mein Terminal gegangen, um zu überprüfen und zu sehen! Ich finde diese verrückten Befehle übrig:

mac-mini$ su Password: sh-3.2# sudo /Applications/TextEdit.app/Contents/MacOS/TextEdit /etc/hosts Mar 22 23:07:08 my-Mac-mini.local TextEdit[88957] <Error>: kCGErrorIllegalArgument: _CGSFindSharedWindow: WID -1 Mar 22 23:07:08 my-Mac-mini.local TextEdit[88957] <Error>: kCGErrorFailure: Set a breakpoint @ CGErrorBreakpoint() to catch errors as they are logged. Mar 22 23:07:08 my-Mac-mini.local TextEdit[88957] <Error>: kCGErrorIllegalArgument: CGSSetWindowShadowAndRimParametersWithStretch: Invalid window 0xffffffff 2012-03-22 23:07:19.202 TextEdit[88957:7207] PersistentUI: LSSharedFileListInsertItemURL() failed at inserting URL file://localhost/etc/hosts 

Um das Ganze noch schlimmer zu machen, stellte ich fest, dass eine Kopie von "logmein" gelöscht wurde. Hier ist etwas Geschichte:

20 /Library/Application\ Support/LogMeIn/uninstaller.command ; exit;  21 killall Toolkit  22 "/Library/Application Support/LogMeIn/bin/LogMeIn.app/Contents/Resources/logmeinserverctl" stop  23 launchctl stop /Library/LaunchDaemons/com.logmein.logmeinserver.plist  24 launchctl unload /Library/LaunchDaemons/com.logmein.logmeinserver.plist  25 launchctl unload /Library/LaunchAgents/com.logmein.LMILaunchAgentFixer.plist  26 launchctl unload /Library/LaunchAgents/com.logmein.logmeingui.plist  27 launchctl unload /Library/LaunchAgents/com.logmein.logmeinguiagent.plist  28 rm -rf /Library/LaunchAgents/com.logmein.LMILaunchAgentFixer.plist  29 rm -rf /Library/LaunchAgents/com.logmein.logmeingui.plist  30 rm -rf /Library/LaunchAgents/com.logmein.logmeinguiagent.plist  31 rm -rf /Library/LaunchDaemons/com.logmein.logmeinserver.plist  32 rm -rf "/Library/Application Support/LogMeIn/"  33 rm -rf /Library/Logs/LogMeIn/  34 rm -rf /Library/Receipts/LogMeIn\ Server\ Installer.pkg/  35 rm -rf /Library/Receipts/LogMeIn\ Installer.pkg/  36 rm -rf /Library/Printers/LogMeIn  37 rm -rf /usr/libexec/cups/backend/LogMeInBackend  38 rm -rf /usr/libexec/cups/filter/LogMeInFilter  39 rm -rf /usr/libexec/cups/filter/commandtoLogMeIn  40 rm -rf "/Applications/LogMeIn/LogMeInUninstaller.app"  41 rm -rf "/Applications/LogMeIn/StartLogMeIn.app"  42 rm -rf "/Applications/LogMeIn/Toolkit.app"  43 if [ -e "/Applications/LogMeIn/LogMeInPluginUninstaller.app" ];  then echo not removing LogMeIn directory; else rm -rf "/Applications/LogMeIn/"; fi  44 rm -rf "/Library/Receipts/LogMeIn Installer.pkg"  45 rm -rf "/Library/Receipts/logmein.pkg"  46 rm -rf "/private/var/db/receipts/com.logmein.logmeinserverinstaller.bom"  47 rm -rf "/private/var/db/receipts/com.logmein.logmeinserverinstaller.plist"  48 dscl . -delete /users/LogMeInRemoteUser  49 killall LMILaunchAgentFixer 

Ich gehe dann hinein und suche nach diesem Logmein, aber anders als das Deinstallationsprogramm existiert es nicht. Die Dateien zeigen einen älteren Zeitstempel von etwa März, machen mich aber immer noch nervös.

Ich überprüfe mehr Geschichte als su und finde:

5 sudo /Applications/TextEdit.app/Contents/MacOS/TextEdit /etc/hosts  6 stty -onlcr -echo echonl 7 /usr/bin/atos -p "1" -printHeader  8 /usr/bin/atos -p "10" -printHeader  9 /usr/bin/atos -p "11" -printHeader  10 /usr/bin/atos -p "12" -printHeader  11 /usr/bin/atos -p "13" -printHeader  12 /usr/bin/atos -p "14" -printHeader  13 /usr/bin/atos -p "15" -printHeader  14 /usr/bin/atos -p "16" -printHeader  15 /usr/bin/atos -p "17" -printHeader  16 /usr/bin/atos -p "18" -printHeader  17 /usr/bin/atos -p "19" -printHeader  18 /usr/bin/atos -p "21" -printHeader  19 /usr/bin/atos -p "24" -printHeader  20 /usr/bin/atos -p "25" -printHeader  21 /usr/bin/atos -p "27" -printHeader  22 /usr/bin/atos -p "29" -printHeader  23 /usr/bin/atos -p "30" -printHeader  24 /usr/bin/atos -p "33" -printHeader  25 /usr/bin/atos -p "35" -printHeader  26 /usr/bin/atos -p "39" -printHeader  27 /usr/bin/atos -p "40" -printHeader  28 /usr/bin/atos -p "42" -printHeader  29 /usr/bin/atos -p "44" -printHeader  30 /usr/bin/atos -p "46" -printHeader  31 /usr/bin/atos -p "48" -printHeader  32 /usr/bin/atos -p "53" -printHeader  33 /usr/bin/atos -p "90" -printHeader  34 /usr/bin/atos -p "91" -printHeader  35 /usr/bin/atos -p "96" -printHeader  36 /usr/bin/atos -p "108" -printHeader  37 /usr/bin/atos -p "110" -printHeader  38 /usr/bin/atos -p "119" -printHeader  39 /usr/bin/atos -p "122" -printHeader  40 /usr/bin/atos -p "123" -printHeader  41 /usr/bin/atos -p "128" -printHeader  42 /usr/bin/atos -p "129" -printHeader  43 /usr/bin/atos -p "131" -printHeader  44 /usr/bin/atos -p "132" -printHeader  45 /usr/bin/atos -p "133" -printHeader  46 /usr/bin/atos -p "134" -printHeader  47 /usr/bin/atos -p "139" -printHeader  48 /usr/bin/atos -p "141" -printHeader  49 /usr/bin/atos -p "144" -printHeader  50 /usr/bin/atos -p "149" -printHeader  51 /usr/bin/atos -p "154" -printHeader  52 /usr/bin/atos -p "160" -printHeader  53 /usr/bin/atos -p "161" -printHeader  54 /usr/bin/atos -p "164" -printHeader  55 /usr/bin/atos -p "197" -printHeader  56 /usr/bin/atos -p "209" -printHeader  57 /usr/bin/atos -p "212" -printHeader  58 /usr/bin/atos -p "1593" -printHeader  59 /usr/bin/atos -p "1594" -printHeader  60 /usr/bin/atos -p "17892" -printHeader  61 /usr/bin/atos -p "82995" -printHeader  62 /usr/bin/atos -p "82996" -printHeader  63 /usr/bin/atos -p "82997" -printHeader  64 /usr/bin/atos -p "BezelUIServer" -printHeader  65 /usr/bin/atos -p "83003" -printHeader  66 /usr/bin/atos -p "taskgated" -printHeader  67 /usr/bin/atos -p "83006" -printHeader  68 /usr/bin/atos -p "83007" -printHeader  69 /usr/bin/atos -p "83010" -printHeader  70 /usr/bin/atos -p "com.apple.hiserv" -printHeader  71 /usr/bin/atos -p "83014" -printHeader  72 /usr/bin/atos -p "83015" -printHeader 

Vielleicht war ich betrunken, als das alles passierte, aber ich bin mir ziemlich sicher, dass ich nicht alle diese Befehle ausgeführt habe.

Von der ersten Zeile aus kann ich sehen, dass sie die hosts-Datei betrachten.

127.0.0.1 localhost 255.255.255.255 broadcasthost ::1 localhost fe80::1%lo0 localhost 

Nun, ich habe mein su geändert und regelmäßig bestanden und die Hosts gelöscht und hoffe, dass dies weitere Kontaminationen verhindert?

Oder täusche ich mich einfach und sollte meinen ganzen Computer nur umformatieren?

4
Hört sich an, als ob jemand nichts Gutes vorhatte. Obwohl es für mich so aussieht, war dies jemand mit physischem Zugriff auf Ihren Computer. Tanner Faulkner vor 12 Jahren 2
Macs können nicht gehackt werden. ta.speot.is vor 11 Jahren 3
@ ta.speot.is - Ha, ha !! Daniel R Hicks vor 11 Jahren 2
log-me-in wird für Remote-Helpdesk-Sitzungen verwendet. Haben Sie jemals jemanden online an Ihrem System gearbeitet? Bei der Ausführung wird ein Code erstellt, den Sie angeben müssen, dass die Person, die die Verbindung herstellt, die Verbindung nicht einfach so herstellen kann. Ähnlich wie Go-To-My-PC, jedoch mit der zusätzlichen Berechtigungsprüfung. Fiasco Labs vor 11 Jahren 0

2 Antworten auf die Frage

3
Joppe

Die Linie

stty -onlcr -echo echonl 

und das wiederholt sich

/usr/bin/atos -p "XXX" -printHeader 

stammt aus dem Stackshot-Programm, mit dem ein Stack-Dump für alle laufenden Prozesse erstellt wird.

Ich fand die gleichen Einträge in meinem Protokoll und wurde wirklich misstrauisch, aber nach einigem Control-Option-Command-Shift-PeriodGoogeln erfuhr ich, dass das Drücken (gleichzeitig) Stackshot startet, was zu meiner Überraschung tatsächlich zu diesen Einträgen führt /var/root/.sh_history.

Ich würde mich freuen, wenn jemand, der sich mit OS X auskennt, erklären könnte, warum dies ein Shell-Skript im Hintergrund ausführt.

Für mich muss das passiert sein, als ich (dumm genug) beschloss, meine Tastatur zu reinigen, während der Mac lief. :)

2
ThatGuy2748

Es klingt tatsächlich so, als hätte jemand mit Ihrem Mac herumgespielt. Wenn Sie nicht über einen SSH-Server verfügen, der den Remotezugriff zulässt, klingt dies wie jemand, der physischen Zugriff auf Ihren Computer hat. Es ist wahrscheinlich eine gute Idee, Ihre Passwörter zu ändern. Sie sollten auch sicherstellen, dass der Computer gesperrt ist, wenn Sie nicht in der Nähe sind, damit andere Personen keinen Zugriff darauf haben. Denken Sie auch daran, dass jede Maschine mit den richtigen Fähigkeiten gehackt werden kann. Daher sollten Sie regelmäßig nach fremden Dingen suchen, die nicht richtig aussehen. Ich denke, du hast einen großartigen Job gemacht, als du es gefunden hast.