这是一个创建于 862 天前的主题,其中的信息可能已经有所发展或是发生改变。
状况:
- 隔一阵时间(差不多几个小时)就开始疯狂访问各种网站
- surge 显示与一堆客户端进行了连接(只显示 IP )
- 甚至我的机场都给我发邮件,说我正在扫描互联网端口,请排查,否则机场被封号。
这样下去该怎么办,但凡比我懂的都可以支支招。
- 排查手段
- 需要我提供哪些更详细的信息用来定位
- 有没有遇到类似的情况(我感觉这种情况应该不是正常现象)
补充:
- Mac 直连网线,家里没有 WIFI (路由器被我刷坏了,见之前帖子)
- 最近搞了 Plex ,打开过“远程访问”,光猫开启过端口转发 32400:32400 。(目前都已经关闭了)
- 电脑装过一些盗版软件,工具类的
- 最近没有上黄网
- 有时间机器备份,搞不定感觉要回滚了
左边“远程客户端”那里一堆 IP 地址
机场发来的告警
第 1 条附言 · 2022-07-18 00:07:40 +08:00
感谢大家的留言
最终省事儿的解决办法:重装
未来防护:
- 时间机器保障快速回滚
- plex 不开启远程访问
-
Mac 关闭远程访问共享(这个之前忘记排查了):
- 关闭远程登录
- 关闭远程管理
- 关闭互联网共享
- 盗版软件逐步入正
另:路由器入手了 XDR5480,省事儿是省事儿,断流的事儿真的。
 |
1
ivmm 2022-07-16 00:32:03 +08:00
mac 是有杀软支持的,安装一下试试看? 卡巴、小红伞、avast
|
 |
2
Askiz 2022-07-16 00:56:20 +08:00 via Android
装个 little snitch 监控一下应用程序的流量?
我以前扫公网漏洞的时候扫到一台有 jenkins 漏洞的 macos ,还蛮惊讶有人用 macos 做服务器直接放到公网上的。 |
 |
3
ysc3839 2022-07-16 01:31:26 +08:00
建议直接重装
|
 |
4
f0rger 2022-07-16 02:15:54 +08:00 via iPhone
是不是软件开了局域网连接,同局域网的连过来扫的?先判断是本机发起还是局域网,如果是本机则检查是什么软件或者插件,排除法吧。
|
 |
5
1423 2022-07-16 02:43:57 +08:00
sudo lsof -i -n -P
看看哪个进程连接数很多 |
 |
6
ShinomiyaKaguya 2022-07-16 02:49:37 +08:00 via iPhone
这不抓紧重装等什么
|
 |
7
dingwen07 2022-07-16 08:53:38 +08:00
你要不想装杀软,那就别关 SIP 、Gatekeeper 这些系统内置的安全功能,不要随便运行来源不可信的程序(破解软件的来源基本上都不太可信),更不要随便给不信任程序管理员权限(请求输入账户密码、Touch ID 都可能授予程序管理员权限)。
你要没关 SIP 也没给奇奇怪怪的程序管理员权限的话,直接新建一个用户,然后把旧的删掉就可以了。 |
Select Language