电脑又被人通过 screen sharing 远程登陆了。。。真是醉了。。。

@ihwbunny 对这两个是我建的账户。我是 11.4 。last 那些登陆记录是我自己登陆的，帖子中描述的事情是 6 月 14 日晚上的，但 last 中最近一次是 6 月 7 号。上次也是这样，没有登陆记录，log 里面也找不到。dscl . list /Users 列出的是账户全名还是用户名啊？锁屏界面看到的这两个账户各种地方都找不到，上个帖子说是人家用完就删了，我就是搞不明白是什么原理，如何建的账户以及如何又删掉的。

@yihy8023 懂了。感谢。

试了 zerotier，主要有两个问题，一是速度太慢几乎无法正常使用，二是电脑待机时无法通过它唤醒。感觉这些内网穿透类的东西不是我需要的，在实用性上远远无法匹敌端口映射啊。我觉得还是想办法找到对方的 IP 并屏蔽之比较实际。

@deadtomb 建了删账户很简单，但你不是断网了吗，没时间删的啊，除非你有联回去了。下面的命令看全名：
dscl . list /users RealName
Remote Management/Screen Sharing，都说的是同一个东西，Screensharing 是 1 对 1，Apple Remote Desktop 的 admin 端可以一对多。
11.4 要想开启 RM，必须是或者用户手动开启，或者用 MDM 的配置描述文件控制。自己查查是否被 MDM 管理+装了描述文件，在系统偏好设置中或者命令行 [sudo] profiles list

@ihwbunny 执行结果是这样的：

(base) iMac:~ friend$ dscl . list /users RealName
_amavisd AMaViS Daemon
_analyticsd Analytics Daemon
_appinstalld App Install Daemon
_appleevents AppleEvents Daemon
_applepay applepay Account
_appowner Application Owner
_appserver Application Server
_appstore Mac App Store Service
_ard Apple Remote Desktop
_assetcache Asset Cache Service
_astris Astris Services
_atsserver ATS Server
_avbdeviced Ethernet AVB Device Daemon
_BGMXPCHelper Background Music XPC Helper
_calendar Calendar
_captiveagent captiveagent
_ces Certificate Enrollment Service
_clamav ClamAV Daemon
_cmiodalassistants CoreMedia IO Assistants User
_coreaudiod Core Audio Daemon
_coremediaiod Core Media IO Daemon
_coreml CoreML Services
_ctkd ctkd Account
_cvmsroot CVMS Root
_cvs CVS Server
_cyrus Cyrus Administrator
_datadetectors DataDetectors
_demod Demo Daemon
_devdocs Developer Documentation
_devicemgr Device Management Server
_diskimagesiod DiskImages IO Daemon
_displaypolicyd Display Policy Daemon
_distnote DistNote
_dovecot Dovecot Administrator
_dovenull Dovecot Authentication
_dpaudio DP Audio
_driverkit DriverKit
_eppc Apple Events User
_findmydevice Find My Device Daemon
_fpsd FPS Daemon
_ftp FTP Daemon
_fud Firmware Update Daemon
_gamecontrollerd Game Controller Daemon
_geod Geo Services Daemon
_hidd HID Service User
_iconservices IconServices
_installassistant Install Assistant
_installcoordinationd Install Coordination Daemon
_installer Installer
_jabber Jabber XMPP Server
_kadmin_admin Kerberos Admin Service
_kadmin_changepw Kerberos Change Password Service
_knowledgegraphd Knowledge Graph Daemon
_krb_anonymous Open Directory Kerberos Anonymous
_krb_changepw Open Directory Kerberos Change Password Service
_krb_kadmin Open Directory Kerberos Admin Service
_krb_kerberos Open Directory Kerberos
_krb_krbtgt Open Directory Kerberos Ticket Granting Ticket
_krbfast Kerberos FAST Account
_krbtgt Kerberos Ticket Granting Ticket
_launchservicesd _launchservicesd
_lda Local Delivery Agent
_locationd Location Daemon
_logd Log Daemon
_lp Printing Services
_mailman Mailman List Server
_mbsetupuser Setup User
_mcxalr MCX AppLaunch
_mdnsresponder mDNSResponder
_mobileasset MobileAsset User
_mysql MySQL Server
_nearbyd Proximity and Ranging Daemon
_netbios NetBIOS
_netstatistics Network Statistics Daemon
_networkd Network Services
_nsurlsessiond NSURLSession Daemon
_nsurlstoraged _nsurlstoraged
_oahd OAH Daemon
_ondemand On Demand Resource Daemon
_postfix Postfix Mail Server
_postgres PostgreSQL Server
_qtss QuickTime Streaming Server
_reportmemoryexception ReportMemoryException
_rmd Remote Management Daemon
_sandbox Seatbelt
_screensaver Screensaver
_scsd Service Configuration Service
_securityagent SecurityAgent
_serialnumberd _serialnumberd
_softwareupdate Software Update Service
_spotlight Spotlight
_sshd sshd Privilege separation
_svn SVN Server
_taskgated Task Gate Daemon
_teamsserver TeamsServer
_timed Time Sync Daemon
_timezone AutoTimeZoneDaemon
_tokend Token Daemon
_trustd trustd
_trustevaluationagent Trust Evaluation Agent
_unknown Unknown User
_update_sharing Update Sharing
_usbmuxd iPhone OS Device Helper
_uucp Unix to Unix Copy Protocol
_warmd Warm Daemon
_webauthserver Web Auth Server
_windowserver WindowServer
_www World Wide Web Server
_wwwproxy WWW Proxy
_xcsbuildagent _xcsbuildagent
_xserverdocs macOS Server Documents Service
daemon System Services
friend Friend
nobody Unprivileged User
root System Administrator
wei Wei
(base) iMac:~ friend$ sudo profiles list
Password:
There are no configuration profiles installed in the system domain

没找到 administratorb 和 administratorj 这两个账户，也没有 profile

@deadtomb 你的远程管理是怎么设置的呢？

@ihwbunny 就只是这里勾选了 

那么肯定是 Friend 账户被被人获取了，改一个强密码，到 system.log 中查找 com.apple.remote 或者 screensharing，但是不要期望找到很详细的信息，只是能确认某段时间被 remote 访问过。
另外，以前忽略的是，那个名字是现实的远端机器的用户全名，所有本机上找不到。
当然，上面都不是黑客的思维方式，所以可能都是无功而返。

@ihwbunny bingo，我自己试了下确实是那个名字是远端机器的用户名。system.log 仍然是找不到当天事发时的记录，但找到了当天凌晨的很多条 com.apple.screensharing 。Friend 这个账户密码确实不强，主要因为这台老 imac 也没有其他解锁方式，所以密码也没有弄的很复杂不然自己本地用着太麻烦。我暂时先改个密码看看。这个密码也不至于能暴力破解吧。

@ihwbunny 大神如下这条消息是不是说明有人尝试远程连接？
Jun 18 23:27:57 iMac com.apple.xpc.launchd[1] (com.apple.screensharing[61390]): Endpoint has been activated through legacy launch(3) APIs. Please switch to XPC or bootstrap_check_in(): com.apple.screensharing.server
也就是刚刚电脑突然唤醒了，因为我虽然开了远程控制功能但把里面允许远程的用户都删除了，我怀疑是因为有人 尝试远程连接所以唤醒但因为我已经把允许远程的用户列表清空所以并没有登陆上去，是不是这样？

@deadtomb 很有可能是被用传统方式调用 kickstart 。至少保证 1 管理员账户安全，2 远程管理安全，3 SIP 等安全开启。要是不用 ARD，就完全关了吧。

@ihwbunny 调用 Kickstart 是什么原理呢，有没有什么防范方法？管理员账户我改了个密码，远程管理安全是指什么？ SiP 还是需要关掉的因为经常需要安装第三方来源的应用。ARD 我是想继续用的，只是因为还在寻找解决办法临时把允许远程的用户给删了。我的想法是想找到一种头痛医头的办法，就是不用彻底堵住漏洞，只要找到这次被入侵是用的什么方式然后针对性的堵住就行了，我理想的方式是找到他的 IP 然后加入黑名单。

SIP 只有在变动时关闭，改动完还可以打开的。
找到对方的 IP 没用，最好是开启 VPN，这样 ARD 也安全了

要是想找到“被入侵是用的什么方式”，现在没有留下太多的证据和记录，如何办呢。估计，你得做个陷阱，请君入瓮，才好办吧，具体怎么做，你得找个搞网络的帮你。

@ihwbunny 前面也有人提过 VPN 和内网穿透，VPN 主要问题是我没有其他设备可以架服务端，这台 imac 也没有条件保持 24hr 开机，内网穿透我也试了实在是太慢了几乎无法正常使用。

@deadtomb Mac 是可以远程唤醒和 PC 一样的啊，不用 24 小时开机，新机器硬件还支持 WiFi 唤醒呢。我公司的 VPN 不感觉太慢，不过我不是远程完游戏看视频做动画，所以要求不高。

@ihwbunny 是的 ARD 可以远程唤醒的，VPN 的拨入也可以唤醒电脑吗？大佬能不能推荐一个比较省资源的 VPN 服务器端我装上试试。VPN 还考虑一个因素是客户端还得配置脚本让只有远程桌面走 VPN 其他不走，要是用自己电脑没事但要是用别人电脑就还得折腾一阵。。。总之就是方便性降低了不少。我用的内网穿透是上面回帖中推荐的那种 zerotier，拖动鼠标都很费劲，基本没法用。

@ihwbunny 而且昨晚发了一件更加不能理解的事情，就是黑客又双叒进来了。。。这次是 administratorx 。。。我服了。。我已经把远程列表清空了，我自己试了都进不来，真的不知道他是怎么进来的

你是用这个 app 了吗？ https://edovia.com/en/screens-mac/

@deadtomb ARD 唤醒只能是睡眠唤醒. 我说的是 Wake-on-LAN 。只要是可以发送 WOL 的 Magic packets 就可以唤醒。VPN 要看你的路由器，openVPN 等太多了。
要是还被登录了，有可能是装了什么 app 吧，TeamView 之类的？