MacCentre
Форум: Mac и Mac OS X
Тема: Удаленное управление
Страницы: [1] 2

[Ответить]
Demonaz [31.03.2017 10:52] Удаленное управление:
Всем привет! У меня возникли некоторые трудности с macos, и я решил создать здесь тему. Создаю здесь тему впервые, поэтому прошу не ругаться, если я сделал что-то не так...
Ситуация такова: лежал я себе спокойно и ковырялся в телефоне. Мой мак в это время был заблокирован. Вдруг мак проснулся, появился логин скрин, предлагающий ввести пароль для входа в систему. Сначала я немного испугался. Стал наблюдать за этим. Через пару моментов вводится пароль и затем успешный вход в систему. Я с глазами по 5 рублей моментально подлетел к маку. Кто-то удаленно шарит мышкой по экрану. Я ждать не стал, выключил сначала Wi-Fi, а затем витуху из порта вытащил. Сказать, что я офигел -- ничего не сказать.
Посидел, подумал, перевел дыхание... Стал смотреть логи системы. В логах я нашел это подключение: там написано, что подключение было через TeamViewer. И тут у меня ступор: во-первых, я не логинился в TeamViewer; Во-вторых, никому никакие логины/пароли от него я тоже не давал, да и сама прога запускалась у меня всего-то один раз (и на момент подключения левого юзера TV даже не был запущен). Ковырялся в логах я всю ночь вплоть до 5 утра. Может я их читать не умею или еще что, но ничего толкового я не нашел. В логах было написано лишь про разрешение монитора (я так понимаю это разрешение юзера, который ко мне подключился) и его айди (монитора). После этого у меня возникло много вопросов: как узнали мой пароль? Ведь ввели его быстро и без ошибок, будто это все я делал. Пароль я никому не сообщал.
Ладно, подумал я. Решил провести эксперимент, подключался через VNC с телефона к маку -- логи выглядят иначе. Подключился через TeamViewer -- тоже другие логи. Да и на дисплее сразу появляется интерфейс TV (TeamViewer). Ничего не понимаю. Выходит, злоумышленник использовал другой софт для подключения. Единственное, что я помню, когда злоумышленник подключился, сверху в статус баре были два окошка наложенные друг на друга, что-то вроде иконки удаленного управления.
Еще в логах были строчки что-то вроде "com.apple.***.target: iMac 14,4" и "com.apple.***.source: iPhone 7, 2". Также, TV (или не он, я не знаю) пытался открыть TCP 127.0.0.1:5939. На что он получал некую ошибку 61. В логах был флуд этими сообщениями до тех пор, пока не произошел разрыв соединения.
В общем, испуган я сильно. Хочу спросить у вас, как можно посмотреть в логах, кто подключался к маку? Могу логи прикрепить, если потребуется.
Я бы отключил ssh и удаленку, но иногда мне очень нужно получить доступ к маку, когда я не дома. Поэтому отключить все это я не могу. Короче говоря, вопросов очень много. Если нельзя посмотреть, кто заходил, можно ли как-то усилить безопасность своей системы?
Очень надеюсь на вашу помощь!
Grafovich [31.03.2017 16:02] :
Я не спец по сетевой безопасности. Но определенно кто-то знает пароль вашей учётки и IP адрес. TeamViewer тут возможно и ни при чём, т.к. значок в статусбаре означает, что коннект был через службу ScreenSharing (VNC), хоть и есть след подключения на порт 5939, который к службе TV относится. Это может быть любой VNC клиент, вот и логи другие.

Строчка при таком подключении выглядит примерно так:

screensharingd Authentication: SUCCEEDED :: User Name: _______ :: Viewer Address: XX.XX.XX.XX :: Type: DH

Меняйте пароли. Можно еще отключить пробуждение для доступа по сети (настройки энергосбережения). SSH отключайте 100%, если не используете точно, т.к. это как ключи от квартиры дать... тут уже не увидите, что кто-то залез.
zyx [03.04.2017 17:04] :
Могли еще пролезть с вашего роутера. На нем тоже меняйте пароли. И обновите прошивку. Ведь имея доступ к контроллеру вашего локального трафика запросто могли снять дамп с потока данных, а пом то уже вдумчиво проанализировать.
Что за роутер кстати?
B вот тут https://www.cvedetails.com/vulnerability-list/vendor_id-49/year-2017/Apple.html список известных уязвимостей.
Demonaz [08.04.2017 13:27] :
Спасибо за ответы! Времени не было зайти прочитать и ответить на все...
Apple Time Capsule. Не помню какая модель. Точно не новая, которая на башню похожа.
Думаю вряд ли кто-то стал бы таким заниматься с ноу-нейм маком, очень важных данных у меня компе нет, только проекты в лоджике и не более. Я думаю все намного проще. Вечером того же дня я решил скачать прогу Macs Fan Control. Залез на сайт crystalidea.com и скачал оттуда. Ну сайт показался подозрительным, не знаю почему, больше удивило то, что он на русском. Не суть. Запускаю прогу, проходит секунд 8-10, появляется окно авторизации. Вот на этом моменте я и задумался. Подумал почему окно так долго появлялось. Много о чем подумал. Еще показалось, что это окно вообще было сымитировано. Ввел пароль и прога запустилась.
Короче говоря, думаю это все-таки прога стащила пароль :)
На след день в офлайн режиме все нужные документы перенес на другой диск, снес систему и накатил новую. Сразу как поставил, пошел в настройки тыкать. Включил там фаерволл, настроил его максимально жестко, чтобы блокировал все подключения, отключил ответ на пинг. Отключил отображение имени юзера при входе в систему, отключил ssh (как посоветовали в этой теме), отключил удаленку. Сижу сейчас пока только через роутер, витуху не втыкаю – боюсь, там внешний айпишник у меня...
Пока вроде все нормально! Радует только то, что систему накатил новую, лагов меньше стало, пошустрее комп работает :)
Grafovich [08.04.2017 13:57] :
У них сайт действительно на русском. MFC требует один раз пароль админа для доступа к управлению кулерами. Если только не подсунули фишинговую версию проги на сайт, как это было с Transmission.
Пароли просто все сменяете и всё, этого достаточно. Пароль на сетку, админка.

В смысле "внешний"? Он у всех внешний :) Так шнур от роутера в комп идет ведь? Разницы нет, внутренний IP роутер присваевает, что по WiFi, что по в.паре, внешний не меняется какое-то время. Позвоните провайдеру, если так страшно, попросите на оборудовании присвоить вам другой IP.
Demonaz [08.04.2017 23:46] :
В смысле "внешний"? Он у всех внешний :) Так шнур от роутера в комп идет ведь? Разницы нет, внутренний IP роутер присваевает, что по WiFi, что по в.паре, внешний не меняется какое-то время. Позвоните провайдеру, если так страшно, попросите на оборудовании присвоить вам другой IP.

Ну не знаю, внешний айпишник есть не у всех. Вообще это отдельная услуга. Имея внешний, светишься в инете. И это я про то, что возможно, подключались, используя мой внешний айпи. А так-то я знаю, что роутер раздает всем свои настройки. Роутер тоже с внешним адресом. У меня выход в инет в основном идет либо через вафлю (роутер), либо через езернет, витуха которого идет на свитч в подъезде. Уже думал сменить айпишник свой. Это можно сделать без труда, но просто у моего айпи прикольный набор цифр :))
Grafovich [09.04.2017 01:12] :
У всех. :) Статический, не у всех.

Уже глупости пишите. Почитайте в нете про IP. Внешний адрес у вас один и тот же, что на роутер приходит, что просто изернет в комп воткнуть. Тем более, если он статический. Подключится извне можно и на белый, и на серый, и на статический. Без разницы.
Oldman [09.04.2017 10:48] :
Grafovich
У человека похоже 2 линии: одна через роутер, вторая - без оного. 2 кабеля входят в квартиру.
Demonaz [09.04.2017 12:52] :
У всех. :) Статический, не у всех.

Уже глупости пишите. Почитайте в нете про IP. Внешний адрес у вас один и тот же, что на роутер приходит, что просто изернет в комп воткнуть. Тем более, если он статический. Подключится извне можно и на белый, и на серый, и на статический. Без разницы.

Не, я вам пытаюсь объяснить, что в квартиру заходит несколько аплинков. Один из них идет на роутер, у роутера прописаны настройки (от роутера больше ничего никуда не идет, так как у него просто физически не предусмотрены LAN порты!). Второй аплинк идет к свитчу домашнему, из которого в свою очередь кабель идет в комп. Соответственно у каждого девайса в доме, который не подключен к роутеру свой уникальный адрес.
Возможно мы не так друг друга поняли насчет внешнего/серого айпишника. Работаю в своей сети и знаю, что у абонентов есть айпишники 10.21.*.* и 176.116.*.* и 91.196.*.*... Так вот первый вид IP – серый, остальные внешние. Вот о чем я говорю, что не у всех есть "внешние". В общем, спорить не буду...
Grafovich [09.04.2017 17:32] :
Oldman

Подумал об этом, но писать не стал. Просто мало у кого такая роскошь. ))

Это другое дело. Так бы сразу и написали. :)
[Ответить]
[Вперед >]