V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
deadtomb
V2EX  ›  macOS

电脑又被人通过 screen sharing 远程登陆了。。。真是醉了。。。

  •  
  •   deadtomb · 2021-06-14 23:45:28 +08:00 · 8198 次点击
    这是一个创建于 1257 天前的主题,其中的信息可能已经有所发展或是发生改变。

    自从上次被人远程登陆后(见这个帖子:有人通过 screen sharing 登陆了我的电脑,但在 system.log 里面查不到登陆日志,有可能是什么原因呢?
    大家都帮忙给了不少建议,但也没有找到解决办法,为了方便使用我也一直没有关闭远程和端口映射。我总觉得哪天还会被人再次登陆的,果然应验了,两个月之后的今天黑客又来了。。。。
    就在刚刚的 11 点半左右,电脑突然锁屏,之后就进入了远程登陆的 curtain 模式,也就是屏幕上出现一把大大的锁,下面有一行字显示是 screen locked by administratorj,我马上跳起来到电脑边,赶紧解锁,跟上次一样的,顶部的 screen sharing 图标显示处于 asisted mode,也是醉了,上次登陆的账号是 administratorb,这次是 administratorj,感觉都是同一伙的。实在丢脸,被同一个黑客入侵了两次。手动狗头一个。

    59 条回复    2021-06-23 08:08:44 +08:00
    yitingbai
        1
    yitingbai  
       2021-06-14 23:50:28 +08:00   ❤️ 1
    除了密钥登录的 SSH, 任何远程端口我都不敢映射到外网,远程桌面这种我都是先连接 VPN
    deadtomb
        2
    deadtomb  
    OP
       2021-06-14 23:58:08 +08:00
    @yitingbai 为了自己用着方便我也没限 IP 段没弄 VPN,主要我的老 imac 也没有其他解锁方式,只能输密码,所以密码也没有弄的很复杂,但之前帖子有人回复是那个账户是别人通过 bug 新建的账户而不是破解了我的密码,所以也没有改密码。主要就是不知道人家是通过什么原理登陆上的,用的什么 bug 。
    20015jjw
        3
    20015jjw  
       2021-06-15 02:53:33 +08:00 via Android
    为啥不关掉 screen sharing...
    Elethom
        4
    Elethom  
       2021-06-15 03:15:49 +08:00 via iPhone
    开 VNC 放公网就是找打。
    chyiz
        5
    chyiz  
       2021-06-15 03:20:07 +08:00
    这是最新版本 macOS 吗? Big Sur 11.0.1 之前的版本可能是因为 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-27893
    swulling
        6
    swulling  
       2021-06-15 03:34:11 +08:00 via iPhone
    你就这么放到公网上一个 0day 就没了。

    这事解决不了,除非你不放在公网。我看上一个贴也有人建议套一层 VPN 不知道为啥也不受采纳?
    IgniteWhite
        7
    IgniteWhite  
       2021-06-15 03:58:59 +08:00   ❤️ 3
    @swulling 因为楼主是大水笔
    ihwbunny
        8
    ihwbunny  
       2021-06-15 05:50:38 +08:00   ❤️ 1
    其实就是在公网上,被哪个扫描到了你这个 Mac,通过各种方式,创建了一个新的管理员

    看这个 mac 的系统版本
    用 last 命令看谁登陆过,而且通过 console 或 tty,可以看出是 ssh 还是 login 界面。
    下面的命令列出所有账户:
    dscl . list /Users

    当然,还可能是在其他地方,看看下面是有几个目录:
    ls -la /var/db/dslocal/nodes
    wd
        9
    wd  
       2021-06-15 06:07:02 +08:00 via iPhone
    你这估计已经被找了木马了吧 根本不需要你的密码就能控制 多复杂都没用
    jjxtrotter
        10
    jjxtrotter  
       2021-06-15 06:28:03 +08:00 via iPhone
    之前我开放了微软 rdp 的 3389 端口到外网看来太危险了
    yihy8023
        11
    yihy8023  
       2021-06-15 07:54:48 +08:00 via iPhone   ❤️ 1
    我一般是用 ssh 做端口转发到本机,再连接远程桌面。ssh 只允许密钥登录。
    boywang004
        12
    boywang004  
       2021-06-15 08:14:07 +08:00
    screen sharing 没设置只允许自己的用户么?所以到底查出来啥原因了么,好奇……
    sidkang
        13
    sidkang  
       2021-06-15 08:53:07 +08:00
    知道还不关,也是满溜的~~
    YellowWrangler
        14
    YellowWrangler  
       2021-06-15 09:00:27 +08:00
    正准备直接开 rdp 到公网的我瑟瑟发抖
    前置架哪个 VPN 比较好? ipsec ?
    40EaE5uJO3Xt1VVa
        15
    40EaE5uJO3Xt1VVa  
       2021-06-15 09:54:01 +08:00
    要是 vpn 什么太复杂了,用 frp 吧,这是个神器。

    用 stcp 模式把服务器的 rdp 端口绑定到自己电脑上,服务器的 rdp 端口防火墙都不用放行,只放行 frps 的端口就行了,

    token 设置到 32 位,穷举爆破让他算个几十年。
    coolcoffee
        16
    coolcoffee  
       2021-06-15 10:30:00 +08:00
    vnc 这种明文连接比 RDP 还不靠谱,而且好像还不能自定义端口。ipv4 不用多久就能穷举完所有开放端口的设备,所以被入侵是正常的。
    flexbug
        17
    flexbug  
       2021-06-15 10:33:41 +08:00 via Android
    https://www.natfrp.com/ 用这个映射一下就行了,很简单的事,每天签到一下流量就够用
    deadtomb
        18
    deadtomb  
    OP
       2021-06-15 11:27:38 +08:00
    @swulling 主要原因是没有其他如 nas 设备可以搭建 VPN 服务,根本原因是因为穷,哈哈。所以我想找一种表面的解决办法,就是想找到它的 IP 之后屏蔽 IP 段或者找到它用的哪个漏洞然后设法修复这个漏洞,毕竟上次帖子也有人回复了像我这种就是人家批量扫到的,不会用特别高级的技术黑我,所以我觉得只要针对性的堵上就行了。
    deadtomb
        19
    deadtomb  
    OP
       2021-06-15 11:28:13 +08:00
    @chyiz 谢谢,我一直升级最新的版本哈,目前是 11.4
    deadtomb
        20
    deadtomb  
    OP
       2021-06-15 11:28:35 +08:00
    @IgniteWhite 没有那么水哈,两个月才水一个贴,哈哈
    deadtomb
        21
    deadtomb  
    OP
       2021-06-15 11:30:56 +08:00
    @ihwbunny 感谢哈。last 出来的都是我自己的登陆记录,昨晚的这个看不到:
    (base) iMac:~ friend$ sudo last
    Password:
    friend ttys000 Mon Jun 7 16:42 still logged in
    friend console Mon Jun 7 16:35 still logged in
    reboot ~ Mon Jun 7 16:35
    shutdown ~ Mon Jun 7 16:25
    root console Mon Jun 7 16:25 - shutdown (00:00)
    friend ttys000 Sat Jun 5 13:50 - 13:50 (00:00)
    friend console Sat Jun 5 13:50 - 16:25 (2+02:35)
    reboot ~ Sat Jun 5 13:50
    shutdown ~ Sat Jun 5 13:49
    friend ttys001 Sat Jun 5 13:42 - 13:42 (00:00)
    friend ttys000 Tue May 25 14:02 - 14:02 (00:00)
    friend console Thu May 13 13:10 - 13:49 (23+00:39)
    reboot ~ Thu May 13 13:10
    shutdown ~ Thu May 13 13:09
    friend console Tue May 11 21:53 - 13:09 (1+15:16)
    reboot ~ Tue May 11 21:53
    shutdown ~ Tue May 11 21:53

    dscl . list /Users 也没有它的这 administratorj 账号
    (base) iMac:~ friend$ dscl . list /Users
    _amavisd
    _analyticsd
    _appinstalld
    _appleevents
    _applepay
    _appowner
    _appserver
    _appstore
    _ard
    _assetcache
    _astris
    _atsserver
    _avbdeviced
    _BGMXPCHelper
    _calendar
    _captiveagent
    _ces
    _clamav
    _cmiodalassistants
    _coreaudiod
    _coremediaiod
    _coreml
    _ctkd
    _cvmsroot
    _cvs
    _cyrus
    _datadetectors
    _demod
    _devdocs
    _devicemgr
    _diskimagesiod
    _displaypolicyd
    _distnote
    _dovecot
    _dovenull
    _dpaudio
    _driverkit
    _eppc
    _findmydevice
    _fpsd
    _ftp
    _fud
    _gamecontrollerd
    _geod
    _hidd
    _iconservices
    _installassistant
    _installcoordinationd
    _installer
    _jabber
    _kadmin_admin
    _kadmin_changepw
    _knowledgegraphd
    _krb_anonymous
    _krb_changepw
    _krb_kadmin
    _krb_kerberos
    _krb_krbtgt
    _krbfast
    _krbtgt
    _launchservicesd
    _lda
    _locationd
    _logd
    _lp
    _mailman
    _mbsetupuser
    _mcxalr
    _mdnsresponder
    _mobileasset
    _mysql
    _nearbyd
    _netbios
    _netstatistics
    _networkd
    _nsurlsessiond
    _nsurlstoraged
    _oahd
    _ondemand
    _postfix
    _postgres
    _qtss
    _reportmemoryexception
    _rmd
    _sandbox
    _screensaver
    _scsd
    _securityagent
    _serialnumberd
    _softwareupdate
    _spotlight
    _sshd
    _svn
    _taskgated
    _teamsserver
    _timed
    _timezone
    _tokend
    _trustd
    _trustevaluationagent
    _unknown
    _update_sharing
    _usbmuxd
    _uucp
    _warmd
    _webauthserver
    _windowserver
    _www
    _wwwproxy
    _xcsbuildagent
    _xserverdocs
    daemon
    friend
    nobody
    root
    wei

    (base) iMac:~ friend$ ls -la /var/db/dslocal/nodes 的结果是这样的:

    total 0
    drwxr-xr-x 3 root wheel 96 Jan 1 2020 .
    drwxr-xr-x 3 root wheel 96 Jan 1 2020 ..
    drw------- 13 root wheel 416 Jun 7 16:35 Default
    上次也尝试了一些方法包括找系统 log,但也是找不到
    deadtomb
        22
    deadtomb  
    OP
       2021-06-15 11:33:52 +08:00
    @boywang004 肯定设置了啊。。。上个帖子有人指点是人家自己建了个账户并把这个账户加入可远程登陆的组里了
    [![2HRJ6U.png]( https://z3.ax1x.com/2021/06/15/2HRJ6U.png)]( https://imgtu.com/i/2HRJ6U)
    deadtomb
        23
    deadtomb  
    OP
       2021-06-15 11:40:41 +08:00
    @yihy8023 谢谢回复哈,是个好方法,我研究下哈。实际使用的感受上跟直接映射的端口相比会有差异吗?
    deadtomb
        24
    deadtomb  
    OP
       2021-06-15 11:42:46 +08:00
    @yanzhiling2001
    @flexbug 谢谢哈,我注册一个试试。
    swulling
        25
    swulling  
       2021-06-15 13:13:46 +08:00
    @deadtomb
    > 没有其他如 nas 设备可以搭建 VPN 服务
    可以用你的 Mac 做 VPN Server,也可以用 Tailscale 等 Mesh VPN 服务。
    liprais
        26
    liprais  
       2021-06-15 13:19:18 +08:00
    就现在的网络环境你这就是给自己找不愉快
    yihy8023
        27
    yihy8023  
       2021-06-15 13:24:21 +08:00 via iPhone
    @deadtomb 网络不稳定的话,过一会可能会断开,需要再次执行 ssh 命令。
    mreasonyang
        28
    mreasonyang  
       2021-06-15 13:30:21 +08:00 via iPhone
    ZeroTier 不香吗?
    Leee
        29
    Leee  
       2021-06-15 14:04:32 +08:00
    哇.... 好奇这整个的来龙去脉.... 希望楼主有时间可以写个文章啥的介绍一下哈哈
    iawes
        30
    iawes  
       2021-06-15 16:09:38 +08:00
    你就不能用防火墙只允许你指定的 IP 吗
    boywang004
        31
    boywang004  
       2021-06-15 18:19:35 +08:00
    @deadtomb 所以问题是,如果只开 Screen Sharing,但是不开 Remote Management 是不是就是相对安全的?

    期待楼主调查清楚后,可以开个新帖完整介绍下……已经两贴了,听着略吓人。毕竟开 Screen Sharing 还是挺常见的需求(比如我就常年开着)。

    不过总感觉可能还是有马?
    jiayong2793
        32
    jiayong2793  
       2021-06-15 19:06:53 +08:00
    @Elethom VNC 能套一层加密吗
    ZRS
        33
    ZRS  
       2021-06-15 19:11:28 +08:00 via iPhone
    我一直没搞懂 Mac 的 VNC 有鉴权吗
    deadtomb
        34
    deadtomb  
    OP
       2021-06-15 23:46:27 +08:00
    @swulling 谢谢哈,在自己的 mac 上搭 vpn server 这台电脑就要 24 小时开机了吧?因为这台电脑在卧室,考虑到散热、耗电、噪音等因素目前没有 24 小时开机条件啊。。。直接端口映射的远程登陆可以远程唤醒它的所以不用一直开机。
    deadtomb
        35
    deadtomb  
    OP
       2021-06-15 23:47:17 +08:00
    @mreasonyang 搭 VLAN 需要这台 mac 一直保持开机吧?因为这台电脑在卧室,考虑到散热、耗电、噪音等因素目前没有 24 小时开机条件啊。。。直接端口映射的远程登陆可以远程唤醒它的所以不用一直开机。
    deadtomb
        36
    deadtomb  
    OP
       2021-06-15 23:49:38 +08:00
    @iawes 因为我希望在任何地方都能登陆所以我希望是用黑名单模式而不是白名单模式,这也就是为什么我在上个帖子中一直想找到它的登陆记录从而找到它的 IP 段并加入黑名单,但无果因为所有的记录和 log 都找不到它的这条登录记录。
    deadtomb
        37
    deadtomb  
    OP
       2021-06-15 23:51:48 +08:00
    @Leee 就是这两个帖子里的内容啊。。。说实话第一次时确实吓了一大跳,电脑被人控制还跟我抢鼠标。。。。。
    deadtomb
        38
    deadtomb  
    OP
       2021-06-15 23:55:50 +08:00
    @boywang004 我觉得是差不多的吧,screen sharing 不是也能控制吗,我的理解是 remote management 是 screen sharing 的高级版?目前以我微薄的技术知识以及回帖中大家给的方法仍然没有查到任何线索,我甚至都查不到他的 IP 。。。。我也经常怀疑电脑有马但我没有证据。。。。被我看到是两次,说不定其实有更多次呢,对吧,这两次只是刚好我在卧室看到了而已,是不是细思极恐。。。。。
    mreasonyang
        39
    mreasonyang  
       2021-06-16 02:03:56 +08:00 via iPhone
    @deadtomb 对于 ZeroTier 这种架构来说不需要,当然更好的方案是你能在路由器建连,那可以把内网所有设备都 NAT 出去,用起来更方便
    ihwbunny
        40
    ihwbunny  
       2021-06-16 04:08:11 +08:00
    @deadtomb
    你的系统用户列表比我的多了,我的是 BigSur 11.3:
    _BGMXPCHelper
    _serialnumberd
    _xcsbuildagent

    你建了两个账户? friend 和 wei ?

    你使用过 ssh 或者每次登陆都用 terminal 吗? 这些的登录都很短时间,

    你在屏幕看到的名称不是用户名,而是账户全名
    deadtomb
        41
    deadtomb  
    OP
       2021-06-16 10:22:19 +08:00
    @ihwbunny 对这两个是我建的账户。我是 11.4 。last 那些登陆记录是我自己登陆的,帖子中描述的事情是 6 月 14 日晚上的,但 last 中最近一次是 6 月 7 号。上次也是这样,没有登陆记录,log 里面也找不到。dscl . list /Users 列出的是账户全名还是用户名啊?锁屏界面看到的这两个账户各种地方都找不到,上个帖子说是人家用完就删了,我就是搞不明白是什么原理,如何建的账户以及如何又删掉的。
    deadtomb
        42
    deadtomb  
    OP
       2021-06-16 11:43:26 +08:00
    @yihy8023 懂了。感谢。
    deadtomb
        43
    deadtomb  
    OP
       2021-06-16 11:45:37 +08:00
    试了 zerotier,主要有两个问题,一是速度太慢几乎无法正常使用,二是电脑待机时无法通过它唤醒。感觉这些内网穿透类的东西不是我需要的,在实用性上远远无法匹敌端口映射啊。我觉得还是想办法找到对方的 IP 并屏蔽之比较实际。
    ihwbunny
        44
    ihwbunny  
       2021-06-17 05:10:23 +08:00
    @deadtomb 建了删账户很简单,但你不是断网了吗,没时间删的啊,除非你有联回去了。下面的命令看全名:
    dscl . list /users RealName
    Remote Management/Screen Sharing,都说的是同一个东西,Screensharing 是 1 对 1,Apple Remote Desktop 的 admin 端可以一对多。
    11.4 要想开启 RM,必须是或者用户手动开启,或者用 MDM 的配置描述文件控制。自己查查是否被 MDM 管理+装了描述文件,在系统偏好设置中或者命令行 [sudo] profiles list
    deadtomb
        45
    deadtomb  
    OP
       2021-06-17 10:51:15 +08:00
    @ihwbunny 执行结果是这样的:

    (base) iMac:~ friend$ dscl . list /users RealName
    _amavisd AMaViS Daemon
    _analyticsd Analytics Daemon
    _appinstalld App Install Daemon
    _appleevents AppleEvents Daemon
    _applepay applepay Account
    _appowner Application Owner
    _appserver Application Server
    _appstore Mac App Store Service
    _ard Apple Remote Desktop
    _assetcache Asset Cache Service
    _astris Astris Services
    _atsserver ATS Server
    _avbdeviced Ethernet AVB Device Daemon
    _BGMXPCHelper Background Music XPC Helper
    _calendar Calendar
    _captiveagent captiveagent
    _ces Certificate Enrollment Service
    _clamav ClamAV Daemon
    _cmiodalassistants CoreMedia IO Assistants User
    _coreaudiod Core Audio Daemon
    _coremediaiod Core Media IO Daemon
    _coreml CoreML Services
    _ctkd ctkd Account
    _cvmsroot CVMS Root
    _cvs CVS Server
    _cyrus Cyrus Administrator
    _datadetectors DataDetectors
    _demod Demo Daemon
    _devdocs Developer Documentation
    _devicemgr Device Management Server
    _diskimagesiod DiskImages IO Daemon
    _displaypolicyd Display Policy Daemon
    _distnote DistNote
    _dovecot Dovecot Administrator
    _dovenull Dovecot Authentication
    _dpaudio DP Audio
    _driverkit DriverKit
    _eppc Apple Events User
    _findmydevice Find My Device Daemon
    _fpsd FPS Daemon
    _ftp FTP Daemon
    _fud Firmware Update Daemon
    _gamecontrollerd Game Controller Daemon
    _geod Geo Services Daemon
    _hidd HID Service User
    _iconservices IconServices
    _installassistant Install Assistant
    _installcoordinationd Install Coordination Daemon
    _installer Installer
    _jabber Jabber XMPP Server
    _kadmin_admin Kerberos Admin Service
    _kadmin_changepw Kerberos Change Password Service
    _knowledgegraphd Knowledge Graph Daemon
    _krb_anonymous Open Directory Kerberos Anonymous
    _krb_changepw Open Directory Kerberos Change Password Service
    _krb_kadmin Open Directory Kerberos Admin Service
    _krb_kerberos Open Directory Kerberos
    _krb_krbtgt Open Directory Kerberos Ticket Granting Ticket
    _krbfast Kerberos FAST Account
    _krbtgt Kerberos Ticket Granting Ticket
    _launchservicesd _launchservicesd
    _lda Local Delivery Agent
    _locationd Location Daemon
    _logd Log Daemon
    _lp Printing Services
    _mailman Mailman List Server
    _mbsetupuser Setup User
    _mcxalr MCX AppLaunch
    _mdnsresponder mDNSResponder
    _mobileasset MobileAsset User
    _mysql MySQL Server
    _nearbyd Proximity and Ranging Daemon
    _netbios NetBIOS
    _netstatistics Network Statistics Daemon
    _networkd Network Services
    _nsurlsessiond NSURLSession Daemon
    _nsurlstoraged _nsurlstoraged
    _oahd OAH Daemon
    _ondemand On Demand Resource Daemon
    _postfix Postfix Mail Server
    _postgres PostgreSQL Server
    _qtss QuickTime Streaming Server
    _reportmemoryexception ReportMemoryException
    _rmd Remote Management Daemon
    _sandbox Seatbelt
    _screensaver Screensaver
    _scsd Service Configuration Service
    _securityagent SecurityAgent
    _serialnumberd _serialnumberd
    _softwareupdate Software Update Service
    _spotlight Spotlight
    _sshd sshd Privilege separation
    _svn SVN Server
    _taskgated Task Gate Daemon
    _teamsserver TeamsServer
    _timed Time Sync Daemon
    _timezone AutoTimeZoneDaemon
    _tokend Token Daemon
    _trustd trustd
    _trustevaluationagent Trust Evaluation Agent
    _unknown Unknown User
    _update_sharing Update Sharing
    _usbmuxd iPhone OS Device Helper
    _uucp Unix to Unix Copy Protocol
    _warmd Warm Daemon
    _webauthserver Web Auth Server
    _windowserver WindowServer
    _www World Wide Web Server
    _wwwproxy WWW Proxy
    _xcsbuildagent _xcsbuildagent
    _xserverdocs macOS Server Documents Service
    daemon System Services
    friend Friend
    nobody Unprivileged User
    root System Administrator
    wei Wei
    (base) iMac:~ friend$ sudo profiles list
    Password:
    There are no configuration profiles installed in the system domain

    没找到 administratorb 和 administratorj 这两个账户,也没有 profile
    ihwbunny
        46
    ihwbunny  
       2021-06-17 11:03:06 +08:00
    @deadtomb 你的远程管理是怎么设置的呢?
    deadtomb
        47
    deadtomb  
    OP
       2021-06-17 13:17:06 +08:00
    @ihwbunny 就只是这里勾选了 ![2HRJ6U.png]( https://z3.ax1x.com/2021/06/15/2HRJ6U.png)
    ihwbunny
        48
    ihwbunny  
       2021-06-18 02:20:15 +08:00
    那么肯定是 Friend 账户被被人获取了,改一个强密码,到 system.log 中查找 com.apple.remote 或者 screensharing,但是不要期望找到很详细的信息,只是能确认某段时间被 remote 访问过。
    另外,以前忽略的是,那个名字是现实的远端机器的用户全名,所有本机上找不到。
    当然,上面都不是黑客的思维方式,所以可能都是无功而返。
    deadtomb
        49
    deadtomb  
    OP
       2021-06-18 15:26:27 +08:00
    @ihwbunny bingo,我自己试了下确实是那个名字是远端机器的用户名。system.log 仍然是找不到当天事发时的记录,但找到了当天凌晨的很多条 com.apple.screensharing 。Friend 这个账户密码确实不强,主要因为这台老 imac 也没有其他解锁方式,所以密码也没有弄的很复杂不然自己本地用着太麻烦。我暂时先改个密码看看。这个密码也不至于能暴力破解吧。
    deadtomb
        50
    deadtomb  
    OP
       2021-06-18 23:34:42 +08:00
    @ihwbunny 大神如下这条消息是不是说明有人尝试远程连接?
    Jun 18 23:27:57 iMac com.apple.xpc.launchd[1] (com.apple.screensharing[61390]): Endpoint has been activated through legacy launch(3) APIs. Please switch to XPC or bootstrap_check_in(): com.apple.screensharing.server
    也就是刚刚电脑突然唤醒了,因为我虽然开了远程控制功能但把里面允许远程的用户都删除了,我怀疑是因为有人 尝试远程连接所以唤醒但因为我已经把允许远程的用户列表清空所以并没有登陆上去,是不是这样?
    ihwbunny
        51
    ihwbunny  
       2021-06-19 09:51:14 +08:00
    @deadtomb 很有可能是被用传统方式调用 kickstart 。至少保证 1 管理员账户安全,2 远程管理安全,3 SIP 等安全开启。要是不用 ARD,就完全关了吧。
    deadtomb
        52
    deadtomb  
    OP
       2021-06-19 15:50:19 +08:00
    @ihwbunny 调用 Kickstart 是什么原理呢,有没有什么防范方法?管理员账户我改了个密码,远程管理安全是指什么? SiP 还是需要关掉的因为经常需要安装第三方来源的应用。ARD 我是想继续用的,只是因为还在寻找解决办法临时把允许远程的用户给删了。我的想法是想找到一种头痛医头的办法,就是不用彻底堵住漏洞,只要找到这次被入侵是用的什么方式然后针对性的堵住就行了,我理想的方式是找到他的 IP 然后加入黑名单。
    ihwbunny
        53
    ihwbunny  
       2021-06-21 05:41:57 +08:00
    SIP 只有在变动时关闭,改动完还可以打开的。
    找到对方的 IP 没用,最好是开启 VPN,这样 ARD 也安全了

    要是想找到“被入侵是用的什么方式”,现在没有留下太多的证据和记录,如何办呢。估计,你得做个陷阱,请君入瓮,才好办吧,具体怎么做,你得找个搞网络的帮你。
    deadtomb
        54
    deadtomb  
    OP
       2021-06-21 22:58:42 +08:00
    @ihwbunny 前面也有人提过 VPN 和内网穿透,VPN 主要问题是我没有其他设备可以架服务端,这台 imac 也没有条件保持 24hr 开机,内网穿透我也试了实在是太慢了几乎无法正常使用。
    ihwbunny
        55
    ihwbunny  
       2021-06-22 12:18:07 +08:00
    @deadtomb Mac 是可以远程唤醒和 PC 一样的啊,不用 24 小时开机,新机器硬件还支持 WiFi 唤醒呢。我公司的 VPN 不感觉太慢,不过我不是远程完游戏看视频做动画,所以要求不高。
    deadtomb
        56
    deadtomb  
    OP
       2021-06-22 18:03:00 +08:00
    @ihwbunny 是的 ARD 可以远程唤醒的,VPN 的拨入也可以唤醒电脑吗?大佬能不能推荐一个比较省资源的 VPN 服务器端我装上试试。VPN 还考虑一个因素是客户端还得配置脚本让只有远程桌面走 VPN 其他不走,要是用自己电脑没事但要是用别人电脑就还得折腾一阵。。。总之就是方便性降低了不少。我用的内网穿透是上面回帖中推荐的那种 zerotier,拖动鼠标都很费劲,基本没法用。
    deadtomb
        57
    deadtomb  
    OP
       2021-06-22 18:15:03 +08:00
    @ihwbunny 而且昨晚发了一件更加不能理解的事情,就是黑客又双叒进来了。。。这次是 administratorx 。。。我服了。。我已经把远程列表清空了,我自己试了都进不来,真的不知道他是怎么进来的
    ![]( http://https://z3.ax1x.com/2021/06/21/RVnsWq.md.png)
    AS7wd1
        58
    AS7wd1  
       2021-06-22 22:42:35 +08:00
    你是用这个 app 了吗? https://edovia.com/en/screens-mac/
    ihwbunny
        59
    ihwbunny  
       2021-06-23 08:08:44 +08:00
    @deadtomb ARD 唤醒只能是睡眠唤醒. 我说的是 Wake-on-LAN 。只要是可以发送 WOL 的 Magic packets 就可以唤醒。VPN 要看你的路由器,openVPN 等太多了。
    要是还被登录了,有可能是装了什么 app 吧,TeamView 之类的?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2642 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 05:28 · PVG 13:28 · LAX 21:28 · JFK 00:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.