有人通过 screen sharing 登陆了我的电脑，但在 system.log 里面查不到登陆日志，有可能是什么原因呢？

你谁啊？

如果技术难度高，有人如果有这个能力，愿意花这个时间来登你的电脑吧，时间成本值不值。如果是普通人，概率相当于中一次百万大奖吧。否则那就剩下熟人所为了。

如果技术难度低，可能就是广撒网扫漏洞，全程都是脚本自动化的。扫到之后可以打 log 或者 report，但是那个人瞄一眼 log 要是对你的电脑有兴趣才会继续关注到你。

你应该先想想怎么关闭你的远程服务

@revalue 我确实看不懂您的回复。。

@ferock 我需要用它。所以我目前不打算关。

楼主是开了远程连接并且暴露在公网？

没设置密码？

公网上暴露了？

@deadtomb 一楼这口气像红卫兵

是的，公网暴露了，端口被扫到倒不奇怪，但我有密码的，并且我电脑上没有 administratorb 这个用户，所以感觉很奇怪，想排查一下原因。
@littlewing
@IgniteWhite
@Tink

@BUCKS 我是真没看懂他的回复。。。我只是在提问怎么查看远程登陆的 log 。。

@BUCKS 一上来就扣帽子，你也是

@deadtomb 问题不大，我也暴露公网，目前没遇到被扫到…不过我是偶尔 frp 转发，不会一直开着

没查到应该是黑客抹掉了记录吧，基本操作而已
你这是被人扫到端口，不知道利用了什么漏洞或者是破解了你的密码要不就是你中了木马，新建了一个 adminstratorb 用户，估计是管理员账户，然后抹掉了自己的登陆 ip 地址记录
直接暴露在公网很危险的，如果是简单密码并不能有效的保护你，感觉暴力破解就行了，系统升到最新，换个复杂一点的密码，都暴露公网了防火墙是一定要的，防火墙限制一下连入 ip 段可以减少很多攻击。

@deadtomb #4

那你至少应该加一层 vpn 啊

@IgniteWhite 我这个就是家里的电脑。。估计实现不了 frp 。。frp 要在公网 ip 电脑上装服务吧，我这个就是个电信的光猫。。

@deadtomb 如果你是普通人，排除熟人作案后，大可不必担心。

打补丁，关远程，虽然这些治标不治本，但是完全足够

把系统设置里的“共享”，“屏幕共享”取消勾选

@domodomo 谢谢回复。以前比较大意总觉得 macos 没有漏洞也不会中毒哈哈。他除了抹掉了登陆记录那个 administratorb 账户也不见了。那这么说他其实并没有破解我的密码对吧？只是利用 whatever 方法新建一个管理账户。限 ip 我主要也不确定自己从哪登陆（我是希望自己能从任何地方登陆。。），所以没法建一个白名单，我也不知道 hacker 从哪登陆也没法建黑名单。。。感觉似乎无解啊。。。

@ferock 谢谢哈。我想请教下（我是技术小白）像我这台 imac 是躲在两层路由之后的，可以加 vpn 吗

@revalue
@xieshaohu
我是不能更普通的普通人哈。也没有人知道我的密码。所以人家应该就是扫描扫到的。但我需要使用远程，所以不能关闭，所以发帖是想请教大家看看别人是通过什么方式登陆我的电脑的，从而再想想怎么减少风险（我本来疑惑是一是我电脑有密码，二是电脑上也没有 administratorb 这个账户，前面有朋友回复说可能是中了木马新建了一个账户并抹掉了记录，我再顺路请教下有什么 macos 下的查杀木马工具）

大神们，是不是这个远程登陆 log 不在 system.log 里面？我刚刚自己用另外一台电脑登陆了几次，之后去 system.log 里找也没找到登陆日志。所以究竟在哪里查看被远程登陆的记录啊？

@deadtomb #15

那别人怎么进来的？所以你是不是要考虑一下你的 icloud 账号是不是泄漏了

emmmmm 基于 macOS 是 unix……盲猜 last 会有登陆记录

@ferock 我确实是搞不清楚别人是怎么进来的，所以发帖在咨询啊。。。icloud 应该没关系吧，通过 icloud 账户能远程登陆电脑吗？

@q1angch0u
试了下 last 会显示最近一条，last -100 仍然也只显示最近一条。。。。这是怎么回事。。。这个是不是只能显示目前仍然在登陆状态的登陆记录啊？

@deadtomb #24

可以

@ferock 真的吗太好了 怎么实现呢？我一直苦恼需要用 ddns，如果能用 icloud 账号远程的话我都不需要 ddns 了

@deadtomb #27

看 apple 官网说明

@ferock https://support.apple.com/guide/mac-help/share-the-screen-of-another-mac-mh14066/11.0/mac/11.0
找到这个文章，里面说在 finder 中的 network 连接另一台电脑后有 screen sharing 图标但是我找了半天都没找到 screen sharing 图标在哪。。。。

另外我感觉对方是用的 remote management 协议而不是 screen sharing，因为他使用了 curtain 模式（屏幕上显示了一把锁我看不到他在操作电脑）

@deadtomb 你直接 spotlight 搜索 screen sharing 就有了

@Chihaya0824 我搜到的是 screen sharing 这个应用（当然还有这个帖子的浏览记录），但 screen sharing 这个应用是客户端吧，打开也没有什么地方可以查本机被登陆的记录

@deadtomb Try this
log show --last 3d --predicate 'processImagePath CONTAINS "screensharingd" AND eventMessage CONTAINS "Authentication"'

@Chihaya0824 我得到了这样的提示：log: Could not open local log store: The log archive is corrupt or incomplete and cannot be read
加了 sudo 也没用，奇怪了。我去到 /var/logs 目录下发现有 4 个文件分别是 keybagd.log.0 keybagd.log.1 keybagd.log.2 keybagd.log.3 我手动打开找了 screensharingd 这个关键字也没找到。我按日期找了当时那个时间前后的 log，发现 7 号晚上 11 点多这段时间没有 log 。（ 7 号的最后一条只到 10 点的样子，然后就是 8 号的 Log 了）

@deadtomb 是不是他连上来第一件事情就是删了 log，论黑客的自我修养（ doge

@Chihaya0824 是啊 楼上也有人说可能他删了 log 。。。由于没有记录，我也不知道他是怎么登陆进来的，所以也没有找到方法提高安全性，所以。。。如果他想再进来我感觉就随时可以来。。。只是上次刚好被我看到了而已。。。

@ferock 我试出原因了，如果另一台电脑跟目前这台在同一个网络内会有 screen sharing 的图标，如果没在一个网络内可以连上但没有 screen sharing

@deadtomb 虽然可能有点跑题，但是我你可以先怀疑一下内网设备。我有一次发现夏普的电视更新了安卓系统以后，每天会定时在晚上 6 点开始对我内网对各种开了 samba 服务的机器进行 ssh 暴力破解，还好我服务器报警了有人在暴力破解，然后我就的把那个电视的联网能力直接取消了

@Chihaya0824 这么吓人吗 是电视上的安卓中了病毒？应该不是原生设备所为吧？我内网设备都比较弱鸡应该没这个能力，另外当时我看到他的 IP 开头是 183 开头的应该是外网的人吧（当时被控制时屏幕顶部有个提示显示了对方的 IP ）

@deadtomb 183 看起来是外网的 ip