Kann nicht von Mac / Linux-Malware oder Hardware-Fehlern befreit werden

1805
scissortail

Mein MacBook hat jetzt eine permanente Hintertür für einige Hacker, die ich scheinbar nicht loswerden kann. Ich habe sogar versucht, von einem Linux-USB-Stick zu booten und alles einschließlich der EFI-Partition zu löschen. Jedes Mal, wenn ich versuche, meine Verbindung neu zu installieren, wird diese "SlingShot" -Funktion entführt und an einen Server weitergeleitet, auf dem eine infizierte Installation ausgeführt wird:

NetworkFinishOSRSHostInfoLookup: Resolved OSRS Hostname [osrecovery.apple.com] to 17.164.1.12, Port 80 GetStationAddressViaIpAgent: Client IP Address: 172.20.10.6 GetStationAddressViaIpAgent: Client Subnet Mask: 255.255.255.240 GetStationAddressViaIpAgent: Router IP Address: 172.20.10.1 GetStationAddressViaIpAgent: DnsServer 0 Address: 172.20.10.1 NetworkFinishOSRSHostInfoLookup: Resolved DNS Address on interface with address 172.20.10.6 NetworkFinishOSRSHostInfoLookup: Got 1 Network Interfaces. NetworkFinishOSRSHostInfoLookup: Handle 0 was used for successful DNS resolution of OSRS. SlingShot: Got OSRS Info: Hostname osrecovery.apple.com, Host IP 17.164.1.12, Port: 80 SlingShotSetupAuthParams: Got MLB SN 'XXXXXXXXXXXXXXX' NetworkResolveDomainName: Resolved IP Address for 'oscdn.apple.com': 23.62.239.26 DownloadChunkedAsset: Downloading 44 chunks. NetworkResolveDomainName: Resolved IP Address for 'oscdn.apple.com': 23.62.239.26 SlingShotUpdateProgressUI: Recent download rate 0 dropped below 5 KBps, starting download stall timer. SlingShotUpdateProgressUI: 30 sec avg 0 KBps, 541 KBps new total, last total 0 KBps, now 270 KBps SlingShotUpdateProgressUI: Recent download rate 5 is above minimum 5 KBps, cancelling download stall timer. SlingShotUpdateProgressUI: 30 sec avg 24 KBps, 748 KBps new total, last total 934 KBps, now 841 KBps SlingShotUpdateProgressUI: 30 sec avg 23 KBps, 385 KBps new total, last total 429 KBps, now 407 KBps SlingShotUpdateProgressUI: 30 sec avg 24 KBps, 269 KBps new total, last total 286 KBps, now 277 KBps SlingShotUpdateProgressUI: 30 sec avg 57 KBps, 499 KBps new total, last total 446 KBps, now 472 KBps SlingShotUpdateProgressUI: 30 sec avg 90 KBps, 645 KBps new total, last total 608 KBps, now 626 KBps 

Beim Booten von der Wiederherstellungs-HD oder sogar von Apples Network Recovery Drive bleibt ich immer noch in dieser Umleitung hängen, und jedes Mal wird ein beschädigtes System installiert. Irgendwie kann sich dieser Fehler auf meinem System auch nach einem Löschvorgang authentifizieren.

Scheint aber Hardware zu sein. Beim Booten von Kali Linux auf einem USB-Stick werden im Bootprotokoll folgende Einträge angezeigt, die einen Mac-Firmware-Fehler anzeigen:

[ 0.020231] [Firmware Bug]: ioapic 2 has no mapping iommu, interrupt remapping will be disabled [ 0.020291] Not enable interrupt remapping [ 0.020292] Failed to enable irq remapping. You are vulnerable to irq-injection attacks. 

Kurz darauf folgt das System durch Interruptsignale aus dem Netzwerk?

[ 0.174491] ACPI: Interpreter enabled [ 0.174496] ACPI Exception: AE_NOT_FOUND, While evaluating Sleep State [\_S1_] (20140926/hwxface-580) [ 0.174499] ACPI Exception: AE_NOT_FOUND, While evaluating Sleep State [\_S2_] (20140926/hwxface-580) [ 0.174509] ACPI: (supports S0 S3 S4 S5) [ 0.174510] ACPI: Using IOAPIC for interrupt routing [ 0.174530] PCI: Using host bridge windows from ACPI; if necessary, use "pci=nocrs" and report a bug [ 0.180547] ACPI: PCI Root Bridge [PCI0] (domain 0000 [bus 00-ff]) [ 0.180552] acpi PNP0A08:00: _OSC: OS assumes control of [PCIeHotplug SHPCHotplug AER PCIeCapability] [ 0.180903] acpi PNP0A08:00: [Firmware Info]: MMCONFIG for domain 0000 [bus 00-9a] only partially covers this bridge 

Später gibt es Einträge, die uPnP-Funktionen zeigen, die sich scheinbar als Kern-Audiodateien zu verkleiden scheinen, und ich habe auf meinem Linux-Laptop dasselbe mit PulseAudio festgestellt. Und uPnP wurde auf meinem router nun schon eine zeit lang deaktiviert.

Außerdem wurde bei jeder Linux-Distribution, die ich versucht habe, von einer Festplatte heruntergeladen und installiert oder installiert wurde, dieselbe Sicherheitslücke. Auch wenn ich zu einem völlig anderen Netzwerk gehe. Der Fehler ist also auf meinem Computer, bleibt aber durch ein Wischen bestehen. Jeder Computer und Router wurde gelöscht und von Grund auf neu installiert, aber es kommt immer noch in alles und ich habe immer noch keine Kontrolle über meine Netzwerkverbindungen.

Ziemlich sicher, dass dies alles von meinem iPhone aus begann und über die Authentifizierung "Trust this Computer" abgerufen wurde, aber ich habe mein iPhone seit dem Start nicht an einen Laptop angeschlossen. Und es gibt viele weitere Details und lustige Momente, beispielsweise einen Apache-Server, der 15 Minuten nach einem Wipe-Vorgang bereitgestellt wird, mein USB-Stick gelöscht und der Hub deaktiviert wurde, als ich versuchte, die Serverdateien als Beweismittel zu kopieren, und AppleCare teilt mir mit, dass sie nichts sehen besonders ungewöhnlich über irgendetwas davon.

Aber ... Angenommen, dies ist hauptsächlich in den Boot-Konfigurationsdateien enthalten. Wie kann ich diese Dateien auf Mac und Linux bereinigen, um sicherzustellen, dass sie sich nicht immer selbst replizieren? Oder was soll ich tun, um die Dinge abzusperren?

2
Was ist an dem System, das nach der Internetwiederherstellung installiert wird, beschädigt? Warum denken Sie, dass der vom Linux-Installationsprogramm gemeldete Firmwarefehler mehr ist als nur ein typischer Programmierfehler, ein Firmwarefehler oder eine fehlende Funktion? Warum glauben Sie, es ist korrupte / gehackte / gehackte Firmware? Und was sagt Ihnen das dritte Protokoll-Snippet, dass Sie Interrupts vom Netzwerk erhalten? Spiff vor 9 Jahren 0

2 Antworten auf die Frage

6
Spiff

Ich denke, Sie haben sich in ein paranoides Tizzy verwandelt, indem Sie die schlechteste Interpretation einer Reihe von Protokollnachrichten verwenden, die Sie nicht wirklich verstehen.

Ich bin mir ziemlich sicher, dass SlingShot der interne Name von Apple für das ist, was als "OS X Internet Recovery" bekannt ist. Wenn die Festplatte Ihres Mac vollständig gelöscht wurde (selbst die normalerweise versteckte Wiederherstellungspartition ist nicht vorhanden), versucht Ihr Mac, einen Apple-Server (möglicherweise auf einem Akamai / EdgeSuite-CDN-Server gehostet) zu booten Lieblings-CDN).

Dieser Artikel enthält einige Informationen zur Internetwiederherstellung (sowie zur Wiederherstellung der Wiederherstellungspartition für lokale Festplatten): https://support.apple.com/de-de/HT4718

Ich denke, der "Firmware-Bug", den das Linux-Installationsprogramm meldet, ist entweder nur ein Fehler oder ein übereifriger Installer, der diesen Fehler als "Fehler" bezeichnet, wenn die Firmware nicht über eine bestimmte Sicherheitsfunktion verfügt, die der Installer erhofft hatte. Ich sehe keine Anzeichen dafür, dass es sich um ein beschädigtes, gehacktes oder gekapertes Firmware-Image handelt.

Bitte beachten Sie, dass Motherboards häufig "Bridge-Chips" besitzen, um einen Bus an einen anderen Bus anzuschließen (wie das Verbinden von zwei PCI-Bussen miteinander), und "Interrupt-Routing" bezieht sich auf die Route von Chip zu Chip Interrupt-Signale führen über das Motherboard. Bei diesem "Bridging" und "Routing" dreht sich alles um Chips und Busse und andere elektronische Schaltungen auf der Hauptplatine, nicht um LAN / Internet-Netzwerke.

Ich habe umfangreichere Protokolle, die aber zu lang sind. Wie würde ich das posten? Ich kann jedoch auch sagen, dass der Apple-Typ, mit dem ich gesprochen habe, den Akamai-Server-Deal nicht kannte, und nachdem ich die Neuinstallation auf diese Weise heruntergeladen hatte, fand ich Protokolldateien, in denen nachfolgende Downloads von Gatekeeper-Konfigurationsdateien, RAS-Setup-Dateien und Chinesisch angezeigt wurden Sprachunterstützung. Das war alles, während ich schlief. Viele andere Dinge wie das. Ich habe auch Wireshark-Protokolle, die alle möglichen abnormalen Verhaltensweisen mit IP-Adressen zeigen, die ich nicht herumfliegen sehe, wenn ich hier sitze und nichts tue. scissortail vor 9 Jahren 0
Bitte haben Sie auch Verständnis dafür, dass ich vor zwei Wochen nichts über Linux, Boot-Prozesse oder Routing wusste. Ich habe in den letzten Wochen versucht, mir einen Crash-Kurs zu geben, und habe alles getan, was ich weiß, um dieses Problem zu beheben, zusätzlich zum Umgang mit dem technischen Support von Apple. Ich kann nicht genau erklären, was falsch ist, weil ich nicht weiß, und ich weiß nicht, welche der Millionen Zeilen von Protokollen relevant sind ... Aber ich habe den Protokollen seit Jahren Beachtung geschenkt. Definitiv lang genug, um zu wissen, dass es viele Dinge gibt, die nicht normal sind. scissortail vor 9 Jahren 0
Sie können lange Texte an gist.github.com oder pastebin.com senden und dann von Ihrem Post aus darauf verlinken. Wenn Sie die Begrenzungen für die Anzahl der Links, die von neuen Benutzern vorgenommen werden können, voll einschränken, sollten Sie die URL als Text eingeben, ohne einen Link zu erstellen. Gatekeeper-, Remote Access- und chinesische Sprachdateien sind alles Namen in einer Standardinstallation von OS X. Moderne Betriebssysteme verfügen über viele Hintergrundprozesse, die mit vielen Servern und CDNs kommunizieren, sodass Sie immer viele IP-Adressen sehen, die Sie nicht kennen. Fallen Sie nicht aus, wenn Sie die Hostnamen nach diesen IP-Adressen durchsucht haben und sichergestellt haben, dass sie nicht Apple oder Akamai sind. Spiff vor 9 Jahren 0
Alles in allem denke ich, dass Sie sich auf das konzentrieren sollten, was Sie ursprünglich tun wollten (Linux installieren, OS X neu installieren oder was auch immer Ihr Ziel war) und separate Fragen aufschreiben, wenn Sie dabei Hilfe benötigen. Nichts, das Sie bisher geteilt haben, sieht im geringsten verdächtig aus. Wenn Sie die Protokollnachrichten beiseite legen, die Sie nicht verstehen, ist mit Ihrem Computer tatsächlich etwas nicht in Ordnung? Hast du irgendwelche Probleme? Spiff vor 9 Jahren 0
0
JohnnyVegas

Entweder ist es ein integraler Bestandteil des Netzwerks, in dem Sie sich befinden, oder Ihr Router wurde beschädigt und es wurde DNS verwendet.