Wie verhindere ich, dass die Hacker (Geheiminformationen) mein Terminal erneut manipulieren? [Closed]

1

Wie verhindere ich, dass die Hacker mein Terminal erneut manipulieren, damit mein Terminal wieder korrekt funktioniert?

Hier in den Niederlanden führen wir Cybertests in dem Unternehmen durch, in dem wir arbeiten, und die Angriffe werden von der niederländischen Regierung AIVD (der Gruppe, die auch die Fancy Bear-Hacker gefangen hat) durchgeführt. Ein Hacker hat Root-Zugriff auf mein MacBook Air. Woher weiß ich das (es wurde angekündigt, dass wir gehackt werden)? Der Hacker kann Folgendes ausführen: 

sudo hostname 192

Der Hacker hat den obigen Befehl explizit ausgeführt. Der Hacker manipuliert auch meine Bash. Ich habe die Kommandozeile ausgeführt 

sudo dscl . list /Users | grep -v '^_'

und sehe vier Benutzer:

  • Daemon
  • niemand
  • jen
  • Wurzel

Ich weiß nicht, wohin ich schauen soll, da meine Bash manipuliert wird. In meinem Terminal werden nur die Befehle angezeigt, die ich vor zwei Tagen ausgeführt habe. Die Befehle von gestern und heute werden nicht angezeigt. Auch wenn ich performe

Beispiel: 

Last login: Mon Aug 27 17:37:19 on ttys001
192:~ jen$ history -c
192:~ jen$ history -w

Last login: Mon Aug 27 17:38:49 on ttys002
192:~ jen$ history 
    1  nano doc.txt
    2  cat doc.txt

Wie verhindere ich, dass die Hacker mein Terminal erneut manipulieren, damit mein Terminal wieder korrekt funktioniert?

Ich bin kein Opfer von Social Engineering. Ich habe keine Links oder Dateien per E-Mail geöffnet oder eine Anwendung heruntergeladen. Ich benutze den Laptop nur, um sehr vertrauliche Dinge zu bearbeiten. Ich verwende auf meinem System nur von Mac gelieferte Software. (Ich habe keine Dateien per E-Mail heruntergeladen und benutze keinen Browser.) Ich benutze diesen Laptop nur zum Schreiben von E-Mails.

terminal security bash sudo jennifer ruurs
quelle
4
A hacker penetrated in my system and has root access. How do I know that? Die beiden Aussagen sind widersprüchlich. Bitte bearbeiten die Frage und klären.
Nimesh Neema
1
Ah der Alte Hacken Sie Ihren Computer und tun Sie nichts, was darauf wartet, vom Eigentümer herausgefunden zu werden .
JBis
1
Es ist hilfreich, wenn Sie eine Erklärung hinzufügen, warum Sie glauben, dass ein Hacker den Befehl ausgeführt hat /Volumes/UBUNTU\ 16_0/ubuntu ; exit; USB-Stick aushängen.
Nimesh Neema
1
Was ist Ihre Ausgabe des folgenden Befehls cat /Volumes/UBUNTU\ 16_0/ubuntu
Allan
1
Manchmal ändert sich auch der Hostname meines Macbook Pro in 192. Ich denke, es wird nur die IP-Adresse als Domain analysiert und dann das erste "Segment" als Hostname abgerufen.
Daniel Gray

Antworten:

4

Höchstwahrscheinlich sind Sie zu dem falschen Schluss gekommen, dass Ihr Mac gehackt wurde.

Die wahrscheinlichste Ursache für "unerwünschte" oder "überraschende" Hostnamenänderungen ist, dass Ihr DHCP-Server Ihrem Computer einen neuen Hostnamen gegeben hat. Der DHCP-Server kann ein Router / Modem in Ihrem eigenen Haus, ein System bei Ihrem ISP oder Hardware an jedem Ort sein, an dem Sie eine Verbindung zu einem WiFi-Netzwerk hergestellt haben (z. B. in einem Café, einer Schule oder was auch immer).

Das Entfernen von sudo-Rechten von Ihren Rechten wird dieses Problem nicht lösen, da der DHCP-Client auf Ihrem Mac Ihren Hostnamen weiterhin ändern kann.

jksoegaard
quelle
Die Hacker haben auch den Befehl ausgeführt, meinen USB-Stick zu entfernen & gt; & gt; 76 sudo tcpdump 77 / Volumes / UBUNTU \ 16_0 / ubuntu; Ausfahrt; & gt; & gt;
jennifer ruurs
3

Es gibt keinen Hinweis darauf, dass Sie gehackt wurden.

Die vier Benutzer, die Sie aufgelistet haben, haben per se keinen "root" -Zugriff und sie sind alle gültige Konten:

  • daemon - ein Benutzer, der die Hintergrundprozesse handhabt, die nicht an einen bestimmten Benutzer, den Benutzer, gebunden sind daemon ist diese Prozesse gegeben. So können Sie Ihren Mac einschalten, niemand ist angemeldet und Prozesse laufen noch.

  • nobody - Dies ist ein anderer Benutzer, dem Prozesse zugewiesen werden (z httpd ) und hat sehr eingeschränkter Zugriff auf das System. Selbst wenn jemand es hacken würde, wäre die Exposition begrenzt.

  • jen - Ich nehme an, das bist du (SE-Benutzername ist "jennifer ruurs"). Wenn Sie ein Administrator sind, haben Sie sudo Rechte, die Sie Root-Zugriff gibt

  • root - Das ist das Root-Konto. Dieses Konto braucht Root-Zugriff, insbesondere, wenn Sie zur Diagnose oder Reparatur in den Einzelbenutzermodus booten.

Der Befehl, den Sie nur erwähnt haben vorübergehend ändert den Hostnamen Ihres Computers. 

sudo hostname 192

Dies geschieht nur dann und nur dann, wenn sich der angemeldete Benutzer / die angemeldete Gruppe in der befindet /etc/sudoers Datei und sie hatten entweder das Passwort oder /etc/sudoers ist für keine Kennwortauthentifizierung konfiguriert (sehr unsicher und nicht die Standardeinstellung von macOS).

Alle oben genannten Benutzer mit Ausnahme von jen, kann nicht Greifen Sie (standardmäßig) remote auf Ihren Computer zu. Wenn Sie also davon überzeugt sind, dass Sie "gehackt" wurden, müssen Sie entweder die finden Nutzer Konto, das ihnen Zugriff gewährt, oder wenn es Ihr Konto war, verringern Sie Ihr Risiko, ändern Sie Ihr Passwort.

Allan
quelle
Die Hacker haben den Befehl 77 / Volumes / UBUNTU \ 16_0 / ubuntu ausgeführt. Ausfahrt; in meinem terminal um meinen usb stick abzuhängen
jennifer ruurs
Was bringt dich dazu, das zu denken?
Allan
Ich habe diesen Befehl in meinem Terminal gesehen. Vielen Dank für Ihre Antwort. Wie gehen Sie vor, wenn Sie den Account finden, der ihnen den Zugriff gewährt?
jennifer ruurs
Das dscl Der Befehl in Ihrer orig-Frage listet die Benutzer auf. Welche (n) erkennen Sie nicht? Zweitens, unter welchem ​​Benutzerkontext wurden der Hostname und der Befehl ausgeführt? Wenn Sie es waren, ändern Sie Ihr Passwort.
Allan
Ich war als Jen angemeldet. Die Befehle werden über mein Konto ausgeführt, aber sie manipulieren auch meine Bash. Ich kann also nicht sehen, welche Befehle sie ausführen.
jennifer ruurs
1

So beantworten Sie die Frage im Titel direkt:

Du kannst nicht.

Alles löschen, macOS neu installieren und Dateien aus dem Backup wiederherstellen ( nicht von der infizierten Maschine).

Der Vollständigkeit halber sei erwähnt, dass es Angriffe gibt, die z. Infizieren Sie die Firmware von Speichergeräten, sodass die gesamte Hardware zerstört werden muss, um 100% ige Sicherheit zu gewährleisten. Es sei denn, Sie haben Grund zu der Annahme, dass Sie von einer Regierung persönlich angegriffen werden, ist dies jedoch keine realistische Sorge. Im Gegensatz dazu ist die Infektion eines Teils der tatsächlich auf der Festplatte gespeicherten Daten um Größenordnungen einfacher und eine sehr realistische Bedrohung. Selbst wenn Sie nur Opfer eines automatisierten, nicht zielgerichteten Angriffs waren, ist das Löschen aller Daten eine notwendige Vorsichtsmaßnahme.

Warum?

Wenn ein Angreifer Root-Zugriff hat, kann er unter anderem ersetzen irgendein binär mit ihrer eigenen Version, die tun kann, was sie wollen, was bedeutet, dass Sie nicht vertrauen können etwas auf Ihrem System mehr. Im wahrsten Sinne des Wortes alles Sie versuchen zu tun, könnte am Ende etwas tun komplett anders . Wenn der Hacker wollte, könnten sie machen cat Rückgabe der behandelten Version von Dateien an z. Log-Einträge verstecken, die unerwünschte Aktivitäten anzeigen; ls zeigt möglicherweise keine vom Hacker hinzugefügten Dateien an; Jeder Texteditor könnte so tun, als würde er das, was Sie schreiben, speichern, aber tatsächlich Ihre Bearbeitungen usw. usw. ignorieren.

Kann ich meine Dateien nicht wenigstens behalten? Ich habe Dinge, die vor einiger Zeit gesichert wurden / die überhaupt nicht gesichert wurden

Der Grund, warum Sie Ihre Dateien nicht kopieren möchten, ist, dass es viele nicht ausführbare Dateitypen gibt, die eine Sicherheitsanfälligkeit ausnutzen und Ihr System erneut infizieren können. Komprimierte Archive verschiedener Typen und PDFs sind gängige Datenträger, aber keineswegs die einzige Gefahr. Du bist wahrscheinlich Sicheres Kopieren einer nicht ausführbaren Klartext-Textdatei (denken Sie jedoch daran, das kompromittierte Betriebssystem nicht zu verwenden), aber denken Sie daran, dass der Angreifer absolut alles in der absolut gewünschten Weise hätte ändern können. Behandeln Sie also alles so, wie Sie es behandeln würden Eine zufällige Datei, die versehentlich von einer schattigen Website heruntergeladen wurde.

Realistischer ...

Sie müssen auch darüber nachdenken Warum Der Hacker würde so etwas tun. Ersetzen cat und ls Mit böswilligen Versionen ist es durchaus möglich, aber die Ausgabe so komplex zu gestalten, dass Sie glauben, alles sei in Ordnung. Wenn der Hacker Sie nur ausspionieren wollte, installierte er einen Keylogger und ließ alles andere in Ruhe. Wenn sie Ihren Computer in einem Botnetz verwenden möchten, installieren sie die erforderliche Software und lassen alles andere in Ruhe. Wenn sie wollten Ihre Geld speziell, sie hätten Ransomware installiert, und das wüsstest du schon.

In keinem der oben genannten Fälle müssen Sie Ihren Bash-Verlauf bearbeiten oder den Hostnamen Ihres Computers ändern. Ein Keylogger oder ein ähnliches Rootkit kann praktisch nicht nachweisbar gemacht werden. Also dabei ein Root-Angreifer können In der Regel bedeutet dies, dass Sie niemals vermuten können, dass sie dort sind, es sei denn, Sie müssen z. Beobachten Sie, wie Ihre Last höher ist als gewöhnlich, wenn Ihr gefährdeter Computer an einem Botnetz teilgenommen hat. Oder wenn es ihnen nichts ausmacht, dass Sie wissen, dass sie dabei sind, ist es viel einfacher, einen Benutzer auszusperren (z. B. durch Ändern des Kontokennworts), als mit dem Bash-Verlauf herumzuspielen. (Oder wieder Ransomware.)

Also, was ist hier passiert und was sollten Sie tun?

Die anderen Antworten beschreiben bereits das wahrscheinlichste Szenario, dem ich persönlich zustimme: Ein paar Fehler, wie der DHCP-Server, der Ihren Hostnamen ändert. In diesem Fall sind Sie kompromisslos und in Ordnung. Die Alternative ist, dass jemand manuell in Ihren Computer eingebrochen ist und entweder ungeschickt versucht, ihn zu verstecken, oder absichtlich mit Ihnen herumspielt. Dies kann ein Familienmitglied, ein Kollege oder ein anderer Bekannter sein. Vielleicht haben sie Ihr Passwort über die Schulter gesurft. Ob dass der Fall und Sie sind sich sicher, dass sie in der Zwischenzeit keine Rootkits oder Keylogger installiert haben. Dann sollte es ausreichen, nur die relevanten Passwörter (root und Ihr Benutzer) zu ändern. Aber Sie können wirklich nicht wissen, was sie getan oder nicht getan haben, und sobald Sie bereits über Root-Zugriff verfügen, ist es äußerst einfach, ein fertiges Malware-Paket zu installieren oben alles abwischen.

temp
quelle
Ich habe gerade gehört, dass es ein Training bei der Arbeit war und dass ich versagt habe. Niemand hatte physisch Zugang zum Laptop. Lesen Sie, wie meine Bash manipuliert wird. Der Befehl sudo hostname wurde in meinem Terminal angezeigt. der teil des usb springt auf.
jennifer ruurs
1
Oh, wenn es ein künstliches Szenario (für das Training) wäre, das die ungewöhnlichen Handlungen erklärt. Ich bin mir nicht sicher, welche Art von Training es ist, aber der Großteil meiner Antwort bezieht sich immer noch auf ein realistisches Szenario: Wenn Sie wissen, dass jemand Root-Zugriff auf Ihr Konto hat, ist ALLES vom Tisch. Wenn sie erwarten würden, dass Sie etwas anderes für das Training tun, dann ist es schlechtes Training. In diesem Fall wären Sie möglicherweise einem Social-Engineering-Angriff zum Opfer gefallen, wenn Sie alles auf dem neuesten Stand gehalten und nichts unternommen hätten, um sich Schwachstellen auszusetzen (z. B. das Ausführen alter / unsicherer Software). Es ist schwer zu sagen, ohne weitere Informationen.
temp
Ich bin kein Opfer von Social Engineering und ich habe keine alte Software. Ich verwende auf meinem System nur von Mac gelieferte Software.
jennifer ruurs