今晚本来已经躺上床了,电脑( imac )突然被唤醒了(本来是 sleep 了),之后切换到一个屏幕显示 screen locked by adminstratorb (但我电脑上并没有 administrtorb 这个用户),我解锁后发现顶端提示一个 IP 地址在远程控制我的电脑,并且感觉到他在操作我的鼠标。吓得我赶紧断网,之后在 system.log 里面查询发现并没有远程登陆记录(查找了 screensharingd 和 RemonteManagement 这两个关键字)。但我确信是看到电脑被人远程登陆并控制了。去哪里能查到这个记录呢?
This topic created in 1871 days ago, the information mentioned may be changed or developed.
 |
1
revalue Apr 6, 2021
你谁啊?
如果技术难度高,有人如果有这个能力,愿意花这个时间来登你的电脑吧,时间成本值不值。如果是普通人,概率相当于中一次百万大奖吧。否则那就剩下熟人所为了。 如果技术难度低,可能就是广撒网扫漏洞,全程都是脚本自动化的。扫到之后可以打 log 或者 report,但是那个人瞄一眼 log 要是对你的电脑有兴趣才会继续关注到你。 |
 |
2
ferock PRO 你应该先想想怎么关闭你的远程服务
|
 |
5
littlewing Apr 7, 2021 via iPhone
楼主是开了远程连接并且暴露在公网?
|
 |
6
FurN1 Apr 7, 2021 via iPhone
没设置密码?
|
 |
7
Tink PRO 公网上暴露了?
|
10 |
9
deadtomb OP 是的,公网暴露了,端口被扫到倒不奇怪,但我有密码的,并且我电脑上没有 administratorb 这个用户,所以感觉很奇怪,想排查一下原因。
@littlewing @IgniteWhite @Tink |
 |
13
domodomo Apr 7, 2021
没查到应该是黑客抹掉了记录吧,基本操作而已
你这是被人扫到端口,不知道利用了什么漏洞或者是破解了你的密码要不就是你中了木马,新建了一个 adminstratorb 用户,估计是管理员账户,然后抹掉了自己的登陆 ip 地址记录 直接暴露在公网很危险的,如果是简单密码并不能有效的保护你,感觉暴力破解就行了,系统升到最新,换个复杂一点的密码,都暴露公网了防火墙是一定要的,防火墙限制一下连入 ip 段可以减少很多攻击。 |
|
15
deadtomb OP @IgniteWhite 我这个就是家里的电脑。。估计实现不了 frp 。。frp 要在公网 ip 电脑上装服务吧,我这个就是个电信的光猫。。
|
 |
17
refits Apr 7, 2021
把系统设置里的“共享”,“屏幕共享”取消勾选
|
|
18
deadtomb OP @domodomo 谢谢回复。以前比较大意总觉得 macos 没有漏洞也不会中毒哈哈。他除了抹掉了登陆记录那个 administratorb 账户也不见了。那这么说他其实并没有破解我的密码对吧?只是利用 whatever 方法新建一个管理账户。限 ip 我主要也不确定自己从哪登陆(我是希望自己能从任何地方登陆。。),所以没法建一个白名单,我也不知道 hacker 从哪登陆也没法建黑名单。。。感觉似乎无解啊。。。
|
|
20
deadtomb OP |
|
21
deadtomb OP 大神们,是不是这个远程登陆 log 不在 system.log 里面?我刚刚自己用另外一台电脑登陆了几次,之后去 system.log 里找也没找到登陆日志。所以究竟在哪里查看被远程登陆的记录啊?
|
 |
23
ryanbuu Apr 7, 2021
emmmmm 基于 macOS 是 unix……盲猜 last 会有登陆记录
|
|
25
deadtomb OP @q1angch0u
试了下 last 会显示最近一条,last -100 仍然也只显示最近一条。。。。这是怎么回事。。。这个是不是只能显示目前仍然在登陆状态的登陆记录啊? |
|
29
deadtomb OP @ferock https://support.apple.com/guide/mac-help/share-the-screen-of-another-mac-mh14066/11.0/mac/11.0
找到这个文章,里面说在 finder 中的 network 连接另一台电脑后有 screen sharing 图标但是我找了半天都没找到 screen sharing 图标在哪。。。。 |
|
30
deadtomb OP 另外我感觉对方是用的 remote management 协议而不是 screen sharing,因为他使用了 curtain 模式(屏幕上显示了一把锁我看不到他在操作电脑)
|
 |
31
Chihaya0824 PRO @deadtomb 你直接 spotlight 搜索 screen sharing 就有了
|
|
32
deadtomb OP @Chihaya0824 我搜到的是 screen sharing 这个应用(当然还有这个帖子的浏览记录),但 screen sharing 这个应用是客户端吧,打开也没有什么地方可以查本机被登陆的记录
|
|
33
Chihaya0824 PRO @deadtomb Try this
log show --last 3d --predicate 'processImagePath CONTAINS "screensharingd" AND eventMessage CONTAINS "Authentication"' |
|
34
deadtomb OP @Chihaya0824 我得到了这样的提示:log: Could not open local log store: The log archive is corrupt or incomplete and cannot be read
加了 sudo 也没用,奇怪了。我去到 /var/logs 目录下发现有 4 个文件分别是 keybagd.log.0 keybagd.log.1 keybagd.log.2 keybagd.log.3 我手动打开找了 screensharingd 这个关键字也没找到。我按日期找了当时那个时间前后的 log,发现 7 号晚上 11 点多这段时间没有 log 。( 7 号的最后一条只到 10 点的样子,然后就是 8 号的 Log 了) |
|
35
Chihaya0824 PRO @deadtomb 是不是他连上来第一件事情就是删了 log,论黑客的自我修养( doge
|
|
36
deadtomb OP @Chihaya0824 是啊 楼上也有人说可能他删了 log 。。。由于没有记录,我也不知道他是怎么登陆进来的,所以也没有找到方法提高安全性,所以。。。如果他想再进来我感觉就随时可以来。。。只是上次刚好被我看到了而已。。。
|
|
37
deadtomb OP @ferock 我试出原因了,如果另一台电脑跟目前这台在同一个网络内会有 screen sharing 的图标,如果没在一个网络内可以连上但没有 screen sharing
|
|
38
Chihaya0824 PRO @deadtomb 虽然可能有点跑题,但是我你可以先怀疑一下内网设备。我有一次发现夏普的电视更新了安卓系统以后,每天会定时在晚上 6 点开始对我内网对各种开了 samba 服务的机器进行 ssh 暴力破解,还好我服务器报警了有人在暴力破解,然后我就的把那个电视的联网能力直接取消了
|
|
39
deadtomb OP @Chihaya0824 这么吓人吗 是电视上的安卓中了病毒?应该不是原生设备所为吧?我内网设备都比较弱鸡应该没这个能力,另外当时我看到他的 IP 开头是 183 开头的应该是外网的人吧(当时被控制时屏幕顶部有个提示显示了对方的 IP )
|
|
40
Chihaya0824 PRO @deadtomb 183 看起来是外网的 ip
|
Select Language