特殊情况下,我的 mac 被人运行了一个名叫 a.sh 的脚本,这个脚本已经不在我的电脑上了,如何检测有没有被设置后门?
qweweretrt515 2017-05-28 10:31:16 +08:00 4902 次点击这是一个创建于 3058 天前的主题,其中的信息可能已经有所发展或是发生改变。
我对 mac / Linux 不是很熟悉,我自己排查,发现被写入了 .ssh/authorized_keys 在我的目录下
除了这个,不知道如何排查 其他的 危险项目
除了把电脑抹掉重新恢复
如果要手动排查, 需要排查哪些地方
有人知道吗
第 1 条附言 2017-05-28 16:41:25 +08:00
情况是, 电脑是公司配的, 老同事发老个脚本,
帮我运行了, 说是安装常用的开发的软件(而我对 mac 不熟悉,就被动的从了), 其中就有一行代码,是写入 .ssh/authorized_keys
这个脚本是公司技术总监写的,代码放在公司的 git 里, 我对比过了,老同事帮我运行的脚本和公司 git 里的脚本一模一样
那个脚本因为是公司的东西, 所以我无法公开发上来给大家观摩,很抱歉
我平时就是写 django 代码 和 jquery
如果我抹掉 重新装, 要装回现在的开发环境 ,会不会很麻烦
-----------------------------------
我打算先研究下 ,这个脚本文件里面 每个脚本的含义, 等我研究完毕,就抹掉系统, 按照脚本,手动配置环境,
大家能给一些建议和帮助吗
另外,我工作是连了公司的 vpn,这个 vpn 理论上,能获取我的哪些可能的隐私?
帮我运行了, 说是安装常用的开发的软件(而我对 mac 不熟悉,就被动的从了), 其中就有一行代码,是写入 .ssh/authorized_keys
这个脚本是公司技术总监写的,代码放在公司的 git 里, 我对比过了,老同事帮我运行的脚本和公司 git 里的脚本一模一样
那个脚本因为是公司的东西, 所以我无法公开发上来给大家观摩,很抱歉
我平时就是写 django 代码 和 jquery
如果我抹掉 重新装, 要装回现在的开发环境 ,会不会很麻烦
-----------------------------------
我打算先研究下 ,这个脚本文件里面 每个脚本的含义, 等我研究完毕,就抹掉系统, 按照脚本,手动配置环境,
大家能给一些建议和帮助吗
另外,我工作是连了公司的 vpn,这个 vpn 理论上,能获取我的哪些可能的隐私?
 | 1 20015jjw 2017-05-28 10:52:06 +08:00 via Android 如果人家都 ssh 进来过了 应该就烂了? |
 | 2 n6DD1A640 2017-05-28 10:52:29 +08:00  2 检查下启动项目 ~/Library/LaunchAgents/ /Library/LaunchAgents/ /Library/LaunchDaemons/ |
 | 3 ambilight 2017-05-28 10:54:14 +08:00 via Android 都 ssh 了,想干啥都行。。。把重要资料备份下抹盘吧 |
 | 4 hjc4869 2017-05-28 12:03:35 +08:00 备份抹盘重装 |
 | 5 Doubear 2017-05-28 12:25:54 +08:00 首先拔网线 |
 | &bsp; 6 changwei 2017-05-28 12:27:39 +08:00 直接 netstat 看一下是不是已经有木马驻留系统了 |
 | 7 vebuqi 2017-05-28 12:59:23 +08:00 断网 -> 备份 -> 抹盘重装 好奇什么情况下,能被人运行脚本呢 |
 | 8 wclebb 2017-05-28 13:59:44 +08:00 就算是 Windows 我也得重装系统。 别说 macOS,有这个 SSH 证书已经非常莫名其妙,属于高度危险了(可以随意命令你的电脑) 就算不抹盘,你还能安心使用? 好厉害,我做不到。 |
 | 10 kidlj 2017-05-28 15:35:30 +08:00 via iPhone - 检查 crontab - 检查最近某段时间添加的可执行文件 |
 | 11 holong2000 2017-05-28 15:49:38 +08:00 via iPad 楼主是怎么中招, 怎么发现的 |
 | 14 qweweretrt515 OP |
 | 15 USCONAN 2017-05-28 16:45:19 +08:00 1 先把拿出然後反覆的同抓一下 Log 看後台有有可疑行。 然後查一下 LaunchAgents 和 LaunchDaemons。 最後在 Keychain 仔排查一遍 都啥了之後吧做一本地吊,在修改一下系密就可以了吧 竟如果一 sh 有 sudo 可以做的事情有限 |
| 16 USCONAN 2017-05-28 16:49:15 +08:00 1 公司 VPN 的正常情下所有非加密容都可以是像 PR 公透明的容。 如果加密要你公司自己的(中人)那可以容都是像 PR 公透明的容 |
 | 17 wwwjfy 2017-05-28 16:49:45 +08:00 1 |
| 18 USCONAN 2017-05-28 16:54:57 +08:00 1 最後仔看了下注意到是公司配的 那的前提就不一了,如果台是公司,那公司作法有什,主不且法律也不保主在台上做的任何工作容的私事。 |
 | 19 nutting 2017-05-28 17:26:12 +08:00 via Android 1 那个 key 估计是为了从服务反向连接你 |
 | 20 6IbA2bj5ip3tK49j 2017-05-28 18:28:02 +08:00 via Android 搞得这么复杂,问一下你们公司同事不就好了。 |
 | 21 zoues 2017-05-28 18:34:39 +08:00 via iPhone 首先 看看开了 ssh 服务没 |
 | 22 paradoxs 2017-05-28 19:49:28 +08:00 打开钥匙串访问, 把里面所有证书都删掉啊? |
 | 23 MrMario 2017-05-28 20:17:54 +08:00 via iPhone 基于成本考虑,重装会比各项检查简单、高效。真心想藏个后门,没有详细审计的话很难找出来 |
 | 24 miao1007 2017-05-28 22:50:53 +08:00 公司的电脑就不要干私活了,要是忍不住想玩其它的,可以在手机上用流量+VPN 玩 |
Select Language