ShellShock: Muss ich mir darüber bei OS X Mavericks Sorgen machen?

4

Der Titel sagt schon alles ... Ich war gerade dabei, einen ziemlich umfangreichen Satz von Mac OS X Server-Maschinen zu entwickeln, als ShellShocked die Welt eroberte. Sobald ich die Neuigkeiten gesehen hatte, begann ich hastig mit der Konfiguration der PF-Firewall. Wahrscheinlich zu voreilig, da ich es geschafft habe, einige der von mir konfigurierten Dienste zu deaktivieren.

Jetzt verhält sich einer der Mac OS X-Computer, die direkt dem Internet ausgesetzt waren, sehr seltsam. Ich kann mich weder über Remotedesktop noch über das normale Anmeldefenster mehr am Computer anmelden. (Ich erhalte das Dialogfeld zum Schütteln, als hätte ich das falsche Passwort eingegeben.) Trotzdem kann ich mich problemlos über SSH anmelden.

Ich kenne mich in OS X ziemlich gut aus und sehe keine ungewöhnlich aussehenden Prozesse. Wenn es auf der Welt kein Root-Kit für Mac OS X Mavericks gibt oder mein Mac Mini-Server diesen Moment nur ausgewählt hat, um ein Hardwareproblem zu manifestieren, scheint es, als würde mich das Herunterfahren der Firewall wieder auf den Computer bringen.

Ist es sicher?

Kaelin Colclasure
quelle

Antworten:

2

Ich würde auf Nummer sicher gehen und jeden Server, auf dem Sie seltsames Verhalten feststellen und der im Allgemeinen dem öffentlichen Internet ausgesetzt ist, ohne eine Protokoll-Firewall und / oder eine Art Tripwire- oder Sicherheitsscan löschen, um die Änderungen seit der Installation zu vergleichen.

Ich glaube, einer meiner OS X-Server wurde zum ersten Mal in diesem Fenster mit der Sicherheitsanfälligkeit für Bash-Skripte kompromittiert. Die Zeit, die ich für die Suche nach einem Root-Kit benötigte, ist viel länger als die Zeit, die ich für die Erstellung eines letzten Backups und das anschließende Löschen von einem externen Laufwerk und den Neustart benötigte.

In meinem Fall habe ich einen neuen Benutzer namens A Lo als Standardbenutzer angelegt. Ziemlich seltsam und sehr unauffällig von jemandem, der es schafft, die Kontrolle über einen Server mit einer festen IP-Adresse zu erlangen.

Grundsätzlich gilt: Je ausgefeilter der schwarze Hut ist, der Ihren Computer in Mitleidenschaft gezogen hat - desto unwahrscheinlicher ist es, dass Sie dies unter dem Gesichtspunkt der Zuverlässigkeit bemerken. Wenn Sie eine Instabilität bemerken, ist dies wahrscheinlich darauf zurückzuführen, dass die Leute, die Ihren Server in Mitleidenschaft gezogen haben, unfähig oder schlampig sind und Sie möglicherweise dazu veranlassen neu installieren müssen.


Um ganz klar zu sein, jeder Server, der sich hinter einem Router mit NAT versteckt, ist weitaus weniger anfällig als ein Server, auf dem rund um die Uhr Live-Dienste mit einem echten statischen IPv4 und überhaupt keiner Firewall ausgeführt werden. Leute, die nur OS X ausführen, sollten überhaupt keine Bedenken haben, es sei denn, sie haben andere Gründe zu der Annahme, dass sie kompromittiert sind.

bmike
quelle
Ja, ein guter Punkt zu NAT, und ich möchte niemanden unnötig beunruhigen. Aus Gründen, auf die ich nicht eingehen möchte, habe ich mehrere Computer mit statischen, öffentlichen IP-Adressen. Ich bin mit der Konfiguration von ipfw vertraut und habe versucht, dem Spiel einen Schritt voraus zu sein und PF zu übernehmen, bevor ipfw in der nächsten OS X-Version ausläuft. Ehrlich gesagt bin ich größtenteils davon überzeugt, dass ich die PF-Regeln dieser Maschine irgendwie abgespritzt habe. Ich benutze das IceWall-GUI-Tool und es enthält ein ziemlich ausgeklügeltes Regelwerk, und ich bin immer noch ein Weg, sie alle zu verstehen. Aber dann dieses LoginWindow-Problem ...
Kaelin Colclasure
1
@KaelinColclasure Sie sind in besserer Verfassung, wenn Sie eine Firewall haben, die noch nicht optimiert ist. Alle möglichen Probleme treten auf, wenn Sie alles auf einem Mac mit einer Firewall versehen. Suchen Sie hier nach allen Problemen, die durch LittleSnitch verursacht werden. LittleSnitch ist eine geführte Firewall mit zahlreichen vorkonfigurierten Whitelists, die aktiv unterstützt und aktualisiert werden. Mit diesem Leckerbissen würde ich weniger zögern, neu zu wischen und anzufangen. Sie können jederzeit das Internetkabel abziehen und den Remotezugriff mit aktivierter / deaktivierter Firewall testen, um festzustellen, ob Betriebssystemprobleme vorliegen oder die Firewall ein ungewöhnliches Verhalten verursacht.
bmike