Was bedeutet das und was mache ich dagegen? Entscheidende Überprüfung des Dateisystems: Fix von Bogus GID 80 auf Pfad / sbin / launchd

2017
Andrew Luhring

Vor ein paar Tagen wurde meine Website gehackt und eine schädliche Datei mit dem Namen images.plUpload wurde hochgeladen, die eine Hintertür erstellt, die es dem Autor der Datei ermöglicht, hochzuladen / herunterzuladen / zu tun, was immer sie wollen. Später fand ich heraus, dass es enthält PHP.C99-7.

Ich habe diese Datei bemerkt, eine Sicherungskopie des Inhalts der Website erstellt und die Datei dann entfernt. Das Backup befindet sich auf meinem MacBook Pro (läuft mit Mountain Lion). Am selben Tag begann mein MBP komisch zu wirken. Ich habe die Arbeit als Sicherheitsvorkehrung abgebrochen (ich bin ein Website-Entwickler), damit ich Schadenskontrolle durchführen kann.

Ich habe einen vollständigen ClamXav-Scan des MBP durchgeführt (neueste ML-Version mit der neuesten Sicherheitsversion), aber er fand nichts Außergewöhnliches außer der PHP-Datei, die ClamXav als identifizierte PHP.C99-7. Die Datei wurde in die Quarantäne verschoben.

Ich entschied, dass ich sicherstellen sollte, dass der MBP keine weitere Malware enthält, da dies doch eine Hintertür war. Ich habe das System heruntergefahren, im Zieldatenträger-Modus gestartet und dann einen weiteren ClamXav-Scan mit meinem 2007 Intel Mac Pro (G5) (unter OS X 10.6.8) ausgeführt. 5 Stunden später keine Ergebnisse. 5 Stunden 5 Minuten später 17 Infektionen gefunden. Die Dateien wurden auf meinem Mac Pro in die Quarantäne verschoben.

2 Tage später (heute) beginnt der Mac Pro komisch zu wirken. Ich bekomme eine Reihe von Fehlern in Bezug auf falsch konfigurierte .kext-Dateien oder etwas. Ich schalte es aus und drücke Command+ Option+ Shift+ Powerbis ich blinkende Lichter bekomme. Drücken Sie dann Command+ Option+ P+ Rund halten Sie die Taste gedrückt, bis ich drei Glockenspiele höre. Zum Schluss drücken Sie Command+ V, um sicherzugehen, aber an diesem Punkt bekomme ich eine anormale Ausgabe:

 Bug: launchctl.c :3576 (25952):17: ioctl(s6, SIOCAIFADDR_IN6, &ifra6 != -1  running fsck on the boot volume... csrusbbluetooth blah (is normal) Executing fsck_hfs (version diskdev_cmds-491.6~3). hfs: Removed 1 orphaned / unlinked files and 0 directories -crucial filesystem check: fixing bogus GID 80 on path: /sbin/launchd -(a)crucial filesystem check: adding missing mode bits 01002 on path: /tmp/ -(b)crucial filesystem check: fixing bogus GID 80 on path: /tmp/

Wiederholen Sie (a) und (b) mit:

 /var/tmp/ /var/folders /var/db/launchd.db /var/db/launchd.db/com.apple.launchd launchctl: Dubious permissions on file (skipping): /Library/LaunchDaemons launchctl: Dubious permissions on file (skipping): /System/Library/LaunchDaemons launchctl: Dubious permissions on file (skipping): /etc/mach_init.d

Und dann passiert nichts, es bleibt nur in der letzten Zeile.

Ich habe noch keinen Einzelbenutzer- oder abgesicherten Modus ausgeführt, werde mich bei dessen Bericht erstatten, aber weiß inzwischen jemand, was dies bedeutet und wie kann ich das beheben?

2
Der abgesicherte Modus hat beim Apfel nicht funktioniert. Andrew Luhring vor 12 Jahren 0
Der Einzelbenutzermodus funktioniert, aber jetzt habe ich keine Ahnung, was ich tun soll ... Andrew Luhring vor 12 Jahren 0
im Einzelbenutzermodus nach den '/ sbin / fsck -fy / sbin / mount -uw /, wenn Sie das System beenden möchten: exit `-Befehle, es heißt:` -sh: __rvm_add_to_path: Befehl nicht gefunden `... nein Ahnung, was das bedeutet. Andrew Luhring vor 12 Jahren 0
Nachdem ich / sbin / fsck -fy ausgeführt hat, führt er die Überprüfung durch und nachdem er zu dem Punkt gelangt, an dem Folgendes angezeigt wird: *** Das Volume (myHD) scheint in Ordnung zu sein. es sagt (wörtlich): ***** DATEISYSTEM wurde modifiziert *****: / root # so yeah ... der Computer funktioniert immer noch, aber was bedeutet das ***** DATEISYSTEM wurde modifiziert ** *** Andrew Luhring vor 12 Jahren 0
und ich versuche wirklich, diese Kommentare zu formatieren, aber es klappt einfach nicht. Es tut uns leid. Andrew Luhring vor 12 Jahren 0
Entschuldigung, dass Ihnen damals niemand helfen konnte. Ich habe ein ähnliches Problem (Fehler: launchctl.c: 3576 (25952): 17: ioctl (s6, SIOCAIFADDR_IN6, &: fra6)! = -1). Haben Sie eine Lösung gefunden? mareoraft vor 8 Jahren 0
Nee. Soweit ich mich erinnere, führte ich als Nächstes Reparatur-Disk-Berechtigungen aus. Ich denke, das Zeug in launchd sind Programme, die beim Starten ausgeführt werden. Sie könnten also versuchen, Ihren (möglicherweise infizierten) Mac im Zieldatenträger-Modus zu starten und seine Festplattenberechtigungen remote zu reparieren (um zu vermeiden, dass das Programm ausgeführt wird, das ausgeführt wird.) starten). Andrew Luhring vor 8 Jahren 1
Ich war ziemlich sicher, dass ich am Ende des Tages ein Backup von meinem Computer machte und osx neu installierte. Im Nachhinein bin ich ziemlich sicher, dass ein Teil wegen des Exploits nicht nötig war (es war eine PHP-Backdoor ... wenn Ihr Computer ein Server ist, ist das eine andere Geschichte, aber auf einem Computer, der kein Server ist, habe ich Ich bin mir ziemlich sicher, dass es harmlos ist.) Ich habe es letztendlich geärgert, um die Berechtigungen und andere Probleme zu beheben, die entstanden sind, als ich im Einzelbenutzermodus über meinen Kopf gegangen bin. Andrew Luhring vor 8 Jahren 1

0 Antworten auf die Frage

Verwandte Probleme