MacCentre.ru Форум
Форум по компьютерам Mac, Mac OS X и продукции Apple
 
ПравилаПравила   FAQFAQ   ПоискПоиск  РегистрацияРегистрация   ПрофильПрофиль   Войти и проверить ЛСВойти и проверить ЛС   ВходВход 
Удаленное управление
Начать новую тему   Ответить на тему Список форумов MacCentre.ru Форум » Mac и Mac OS X   
Автор Сообщение
Demonaz



Репутация: 0    

Зарегистрирован: 31.03.2017
Сообщения: 5
Откуда: Saint-Petersburg

СообщениеДобавлено: Пт Мар 31, 2017 12:52
Удаленное управление
Ответить с цитатой

Всем привет! У меня возникли некоторые трудности с macos, и я решил создать здесь тему. Создаю здесь тему впервые, поэтому прошу не ругаться, если я сделал что-то не так...
Ситуация такова: лежал я себе спокойно и ковырялся в телефоне. Мой мак в это время был заблокирован. Вдруг мак проснулся, появился логин скрин, предлагающий ввести пароль для входа в систему. Сначала я немного испугался. Стал наблюдать за этим. Через пару моментов вводится пароль и затем успешный вход в систему. Я с глазами по 5 рублей моментально подлетел к маку. Кто-то удаленно шарит мышкой по экрану. Я ждать не стал, выключил сначала Wi-Fi, а затем витуху из порта вытащил. Сказать, что я офигел -- ничего не сказать.
Посидел, подумал, перевел дыхание... Стал смотреть логи системы. В логах я нашел это подключение: там написано, что подключение было через TeamViewer. И тут у меня ступор: во-первых, я не логинился в TeamViewer; Во-вторых, никому никакие логины/пароли от него я тоже не давал, да и сама прога запускалась у меня всего-то один раз (и на момент подключения левого юзера TV даже не был запущен). Ковырялся в логах я всю ночь вплоть до 5 утра. Может я их читать не умею или еще что, но ничего толкового я не нашел. В логах было написано лишь про разрешение монитора (я так понимаю это разрешение юзера, который ко мне подключился) и его айди (монитора). После этого у меня возникло много вопросов: как узнали мой пароль? Ведь ввели его быстро и без ошибок, будто это все я делал. Пароль я никому не сообщал.
Ладно, подумал я. Решил провести эксперимент, подключался через VNC с телефона к маку -- логи выглядят иначе. Подключился через TeamViewer -- тоже другие логи. Да и на дисплее сразу появляется интерфейс TV (TeamViewer). Ничего не понимаю. Выходит, злоумышленник использовал другой софт для подключения. Единственное, что я помню, когда злоумышленник подключился, сверху в статус баре были два окошка наложенные друг на друга, что-то вроде иконки удаленного управления.
Еще в логах были строчки что-то вроде "com.apple.***.target: iMac 14,4" и "com.apple.***.source: iPhone 7, 2". Также, TV (или не он, я не знаю) пытался открыть TCP 127.0.0.1:5939. На что он получал некую ошибку 61. В логах был флуд этими сообщениями до тех пор, пока не произошел разрыв соединения.
В общем, испуган я сильно. Хочу спросить у вас, как можно посмотреть в логах, кто подключался к маку? Могу логи прикрепить, если потребуется.
Я бы отключил ssh и удаленку, но иногда мне очень нужно получить доступ к маку, когда я не дома. Поэтому отключить все это я не могу. Короче говоря, вопросов очень много. Если нельзя посмотреть, кто заходил, можно ли как-то усилить безопасность своей системы?
Очень надеюсь на вашу помощь!
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Grafovich



Репутация: +98    

Зарегистрирован: 06.03.2007
Сообщения: 4110

СообщениеДобавлено: Пт Мар 31, 2017 18:02
Ответить с цитатой

Я не спец по сетевой безопасности. Но определенно кто-то знает пароль вашей учётки и IP адрес. TeamViewer тут возможно и ни при чём, т.к. значок в статусбаре означает, что коннект был через службу ScreenSharing (VNC), хоть и есть след подключения на порт 5939, который к службе TV относится. Это может быть любой VNC клиент, вот и логи другие.

Строчка при таком подключении выглядит примерно так:

screensharingd Authentication: SUCCEEDED :: User Name: _______ :: Viewer Address: XX.XX.XX.XX :: Type: DH

Меняйте пароли. Можно еще отключить пробуждение для доступа по сети (настройки энергосбережения). SSH отключайте 100%, если не используете точно, т.к. это как ключи от квартиры дать... тут уже не увидите, что кто-то залез.

_________________
Made On A Mac
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
zyx



Репутация: +88    

Зарегистрирован: 12.04.2016
Сообщения: 2852
Откуда: С того берега моря

СообщениеДобавлено: Пн Апр 03, 2017 19:04
Ответить с цитатой

Могли еще пролезть с вашего роутера. На нем тоже меняйте пароли. И обновите прошивку. Ведь имея доступ к контроллеру вашего локального трафика запросто могли снять дамп с потока данных, а пом то уже вдумчиво проанализировать.
Что за роутер кстати?
B вот тут https://www.cvedetails.com/vulnerability-list/vendor_id-49/year-2017/Apple.html список известных уязвимостей.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Demonaz



Репутация: 0    

Зарегистрирован: 31.03.2017
Сообщения: 5
Откуда: Saint-Petersburg

СообщениеДобавлено: Сб Апр 08, 2017 15:27
Ответить с цитатой

Спасибо за ответы! Времени не было зайти прочитать и ответить на все...
zyx писал(а):

Что за роутер кстати?

Apple Time Capsule. Не помню какая модель. Точно не новая, которая на башню похожа.
Думаю вряд ли кто-то стал бы таким заниматься с ноу-нейм маком, очень важных данных у меня компе нет, только проекты в лоджике и не более. Я думаю все намного проще. Вечером того же дня я решил скачать прогу Macs Fan Control. Залез на сайт crystalidea.com и скачал оттуда. Ну сайт показался подозрительным, не знаю почему, больше удивило то, что он на русском. Не суть. Запускаю прогу, проходит секунд 8-10, появляется окно авторизации. Вот на этом моменте я и задумался. Подумал почему окно так долго появлялось. Много о чем подумал. Еще показалось, что это окно вообще было сымитировано. Ввел пароль и прога запустилась.
Короче говоря, думаю это все-таки прога стащила пароль Smile
На след день в офлайн режиме все нужные документы перенес на другой диск, снес систему и накатил новую. Сразу как поставил, пошел в настройки тыкать. Включил там фаерволл, настроил его максимально жестко, чтобы блокировал все подключения, отключил ответ на пинг. Отключил отображение имени юзера при входе в систему, отключил ssh (как посоветовали в этой теме), отключил удаленку. Сижу сейчас пока только через роутер, витуху не втыкаю – боюсь, там внешний айпишник у меня...
Пока вроде все нормально! Радует только то, что систему накатил новую, лагов меньше стало, пошустрее комп работает Smile
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Grafovich



Репутация: +98    

Зарегистрирован: 06.03.2007
Сообщения: 4110

СообщениеДобавлено: Сб Апр 08, 2017 15:57
Ответить с цитатой

У них сайт действительно на русском. MFC требует один раз пароль админа для доступа к управлению кулерами. Если только не подсунули фишинговую версию проги на сайт, как это было с Transmission.
Пароли просто все сменяете и всё, этого достаточно. Пароль на сетку, админка.

Demonaz писал(а):
Сижу сейчас пока только через роутер, витуху не втыкаю – боюсь, там внешний айпишник у меня...

В смысле "внешний"? Он у всех внешний Smile Так шнур от роутера в комп идет ведь? Разницы нет, внутренний IP роутер присваевает, что по WiFi, что по в.паре, внешний не меняется какое-то время. Позвоните провайдеру, если так страшно, попросите на оборудовании присвоить вам другой IP.

_________________
Made On A Mac
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Demonaz



Репутация: 0    

Зарегистрирован: 31.03.2017
Сообщения: 5
Откуда: Saint-Petersburg

СообщениеДобавлено: Вс Апр 09, 2017 01:46
Ответить с цитатой

Grafovich писал(а):
У них сайт действительно на русском. MFC требует один раз пароль админа для доступа к управлению кулерами. Если только не подсунули фишинговую версию проги на сайт, как это было с Transmission.
Пароли просто все сменяете и всё, этого достаточно. Пароль на сетку, админка.

Demonaz писал(а):
Сижу сейчас пока только через роутер, витуху не втыкаю – боюсь, там внешний айпишник у меня...

В смысле "внешний"? Он у всех внешний Smile Так шнур от роутера в комп идет ведь? Разницы нет, внутренний IP роутер присваевает, что по WiFi, что по в.паре, внешний не меняется какое-то время. Позвоните провайдеру, если так страшно, попросите на оборудовании присвоить вам другой IP.


Ну не знаю, внешний айпишник есть не у всех. Вообще это отдельная услуга. Имея внешний, светишься в инете. И это я про то, что возможно, подключались, используя мой внешний айпи. А так-то я знаю, что роутер раздает всем свои настройки. Роутер тоже с внешним адресом. У меня выход в инет в основном идет либо через вафлю (роутер), либо через езернет, витуха которого идет на свитч в подъезде. Уже думал сменить айпишник свой. Это можно сделать без труда, но просто у моего айпи прикольный набор цифр Smile)
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Grafovich



Репутация: +98    

Зарегистрирован: 06.03.2007
Сообщения: 4110

СообщениеДобавлено: Вс Апр 09, 2017 03:12
Ответить с цитатой

Demonaz писал(а):
внешний айпишник есть не у всех

У всех. Smile Статический, не у всех.

Demonaz писал(а):
Имея внешний, светишься в инете. И это я про то, что возможно, подключались, используя мой внешний айпи.

Demonaz писал(а):
Роутер тоже с внешним адресом.

Уже глупости пишите. Почитайте в нете про IP. Внешний адрес у вас один и тот же, что на роутер приходит, что просто изернет в комп воткнуть. Тем более, если он статический. Подключится извне можно и на белый, и на серый, и на статический. Без разницы.

_________________
Made On A Mac
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Oldman



Репутация: +111    

Зарегистрирован: 14.07.2001
Сообщения: 4855
Откуда: Москва

СообщениеДобавлено: Вс Апр 09, 2017 12:48
Ответить с цитатой

Grafovich
У человека похоже 2 линии: одна через роутер, вторая - без оного. 2 кабеля входят в квартиру.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Demonaz



Репутация: 0    

Зарегистрирован: 31.03.2017
Сообщения: 5
Откуда: Saint-Petersburg

СообщениеДобавлено: Вс Апр 09, 2017 14:52
Ответить с цитатой

Grafovich писал(а):
Demonaz писал(а):
внешний айпишник есть не у всех

У всех. Smile Статический, не у всех.

Demonaz писал(а):
Имея внешний, светишься в инете. И это я про то, что возможно, подключались, используя мой внешний айпи.

Demonaz писал(а):
Роутер тоже с внешним адресом.

Уже глупости пишите. Почитайте в нете про IP. Внешний адрес у вас один и тот же, что на роутер приходит, что просто изернет в комп воткнуть. Тем более, если он статический. Подключится извне можно и на белый, и на серый, и на статический. Без разницы.


Не, я вам пытаюсь объяснить, что в квартиру заходит несколько аплинков. Один из них идет на роутер, у роутера прописаны настройки (от роутера больше ничего никуда не идет, так как у него просто физически не предусмотрены LAN порты!). Второй аплинк идет к свитчу домашнему, из которого в свою очередь кабель идет в комп. Соответственно у каждого девайса в доме, который не подключен к роутеру свой уникальный адрес.
Возможно мы не так друг друга поняли насчет внешнего/серого айпишника. Работаю в своей сети и знаю, что у абонентов есть айпишники 10.21.*.* и 176.116.*.* и 91.196.*.*... Так вот первый вид IP – серый, остальные внешние. Вот о чем я говорю, что не у всех есть "внешние". В общем, спорить не буду...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Grafovich



Репутация: +98    

Зарегистрирован: 06.03.2007
Сообщения: 4110

СообщениеДобавлено: Вс Апр 09, 2017 19:32
Ответить с цитатой

Oldman

Подумал об этом, но писать не стал. Просто мало у кого такая роскошь. ))

Demonaz писал(а):
в квартиру заходит несколько аплинков

Это другое дело. Так бы сразу и написали. Smile

_________________
Made On A Mac
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Demonaz



Репутация: 0    

Зарегистрирован: 31.03.2017
Сообщения: 5
Откуда: Saint-Petersburg

СообщениеДобавлено: Вс Апр 09, 2017 21:19
Ответить с цитатой

Grafovich писал(а):
Oldman

Подумал об этом, но писать не стал. Просто мало у кого такая роскошь. ))

Demonaz писал(а):
в квартиру заходит несколько аплинков

Это другое дело. Так бы сразу и написали. Smile

Да вот затупил, такое действительно не у всех есть Smile
Кстати о логах. Вы вроде говорили о том, что в логах должен быть адрес и логин (или еще что-то) подключавшегося клиента. В логах ничего этого не было. Ближе к ночи прикреплю лог, может он о чем-нибудь скажет?..
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Grafovich



Репутация: +98    

Зарегистрирован: 06.03.2007
Сообщения: 4110

СообщениеДобавлено: Вс Апр 09, 2017 22:56
Ответить с цитатой

Ну, на счет того, чтобы прям должен быть адрес, я не уверен. Если коннект был именно через службу screensharing, то он фиксирует имя и ip подключавшегося извне, я проверял. Так что, если вы сами в логах этого не нашли, то, вряд ли там это осталось. Если будете выкладывать, выкладывайте под спойлер.

Код:
[spoiler]текст[/spoiler]

_________________
Made On A Mac
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Начать новую тему   Ответить на тему Список форумов MacCentre.ru Форум » Mac и Mac OS X Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы можете добавлять приложения в этом форуме
Вы можете скачивать файлы в этом форуме


Связь с администраторами

Powered by phpBB © 2001, 2005 phpBB Group