特殊情况下,我的 mac 被人运行了一个名叫 a.sh 的脚本,这个脚本已经不在我的电脑上了,如何检测有没有被设置后门?

2017-05-28 10:31:16 +08:00
 qweweretrt515

我对 mac / Linux 不是很熟悉,我自己排查,发现被写入了 .ssh/authorized_keys 在我的目录下

除了这个,不知道如何排查 其他的 危险项目

除了把电脑抹掉重新恢复

如果要手动排查, 需要排查哪些地方

有人知道吗

4609 次点击
所在节点    问与答
24 条回复
20015jjw
2017-05-28 10:52:06 +08:00
如果人家都 ssh 进来过了 应该就烂了?
n6DD1A640
2017-05-28 10:52:29 +08:00
检查下启动项目
~/Library/LaunchAgents/
/Library/LaunchAgents/
/Library/LaunchDaemons/
ambilight
2017-05-28 10:54:14 +08:00
都 ssh 了,想干啥都行。。。把重要资料备份下抹盘吧
hjc4869
2017-05-28 12:03:35 +08:00
备份抹盘重装
Doubear
2017-05-28 12:25:54 +08:00
首先拔网线
changwei
2017-05-28 12:27:39 +08:00
直接 netstat 看一下是不是已经有木马驻留系统了
vebuqi
2017-05-28 12:59:23 +08:00
断网 -> 备份 -> 抹盘重装

好奇什么情况下,能被人运行脚本呢
wclebb
2017-05-28 13:59:44 +08:00
就算是 Windows 我也得重装系统。
别说 macOS,有这个 SSH 证书已经非常莫名其妙,属于高度危险了(可以随意命令你的电脑)

就算不抹盘,你还能安心使用?
好厉害,我做不到。
Showfom
2017-05-28 15:18:41 +08:00
@wclebb 还得知道密码才可以 sudo
kidlj
2017-05-28 15:35:30 +08:00
- 检查 crontab
- 检查最近某段时间添加的可执行文件
holong2000
2017-05-28 15:49:38 +08:00
楼主是怎么中招, 怎么发现的
1314258
2017-05-28 15:55:22 +08:00
@wclebb .ssh/authorized_keys 如果单有这个证书,怎么随意命令我的电脑?
wclebb
2017-05-28 16:17:23 +08:00
@1314258 想了想,好像是我想多了。
qweweretrt515
2017-05-28 16:42:29 +08:00
@vebuqi
@holong2000

情况是, 电脑是公司配的, 老同事发了个脚本,帮我运行了

我最近才发现, 那个脚本写入了 authorized_keys,已经好几个月了
USCONAN
2017-05-28 16:45:19 +08:00
先把這個證書拿出來然後反覆連斷網的同時抓一下 Log 看後台有沒有可疑行為。
然後檢查一下 LaunchAgents 和 LaunchDaemons。
最後在 Keychain 裡仔細排查一遍

都沒啥問題了之後吧這個證書做一個本地吊銷,在修改一下系統密碼就可以了吧

畢竟如果單單一個 sh 沒有 sudo 可以做的事情有限
USCONAN
2017-05-28 16:49:15 +08:00
公司 VPN 的話正常情況下所有非加密連線內容都可以認為是像 PR 公開透明的內容。
如果加密連結要經過你公司自己簽發的證書(中間人)那麼可以認為連線內容都是像 PR 公開透明的內容
wwwjfy
2017-05-28 16:49:45 +08:00
你能看到代码的脚本就是标题里那个 a.sh 吗?还是有人用 ssh 证书登录了运行的?
往好了想,我自己用的 setup.sh 就会加 ssh 公钥,新的机器或者服务器跑一遍,啥都装好了
写这个脚本的人估计(不小心 /有意)把自己的加进去了吧
USCONAN
2017-05-28 16:54:57 +08:00
最後仔細看了下注意到電腦是公司配的電腦
那麼問題的前提就不一樣了,如果說這台電腦是公司財產,那麼公司這個作法並沒有什麼問題,樓主不應該並且法律也不保護樓主在這台設備上做的任何與工作內容無關的私事。
nutting
2017-05-28 17:26:12 +08:00
那个 key 估计是为了从服务反向连接你
6IbA2bj5ip3tK49j
2017-05-28 18:28:02 +08:00
搞得这么复杂,问一下你们公司同事不就好了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/364397

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX