V2EX = way to explore V2EX 是一个关于分享和探索的地方
Sign Up Now For Existing Member Sign In
This topic created in 1850 days ago, the information mentioned may be changed or developed.
今晚本来已经躺上床了,电脑( imac )突然被唤醒了(本来是 sleep 了),之后切换到一个屏幕显示 screen locked by adminstratorb (但我电脑上并没有 administrtorb 这个用户),我解锁后发现顶端提示一个 IP 地址在远程控制我的电脑,并且感觉到他在操作我的鼠标。吓得我赶紧断网,之后在 system.log 里面查询发现并没有远程登陆记录(查找了 screensharingd 和 RemonteManagement 这两个关键字)。但我确信是看到电脑被人远程登陆并控制了。去哪里能查到这个记录呢?
 | 1 revalue Apr 6, 2021 你谁啊? 如果技术难度高,有人如果有这个能力,愿意花这个时间来登你的电脑吧,时间成本值不值。如果是普通人,概率相当于中一次百万大奖吧。否则那就剩下熟人所为了。 如果技术难度低,可能就是广撒网扫漏洞,全程都是脚本自动化的。扫到之后可以打 log 或者 report,但是那个人瞄一眼 log 要是对你的电脑有兴趣才会继续关注到你。 |
 | 2 ferock PRO 你应该先想想怎么关闭你的远程服务 |
 | 5 littlewing Apr 7, 2021 via iPhone 楼主是开了远程连接并且暴露在公网? |
 | 6 FurN1 Apr 7, 2021 via iPhone 没设置密码? |
 | 7 Tink PRO 公网上暴露了? |
10 | 9 deadtomb OP 是的,公网暴露了,端口被扫到倒不奇怪,但我有密码的,并且我电脑上没有 administratorb 这个用户,所以感觉很奇怪,想排查一下原因。 @littlewing @IgniteWhite @Tink |
 | 13 domodomo Apr 7, 2021 没查到应该是黑客抹掉了记录吧,基本操作而已 你这是被人扫到端口,不知道利用了什么漏洞或者是破解了你的密码要不就是你中了木马,新建了一个 adminstratorb 用户,估计是管理员账户,然后抹掉了自己的登陆 ip 地址记录 直接暴露在公网很危险的,如果是简单密码并不能有效的保护你,感觉暴力破解就行了,系统升到最新,换个复杂一点的密码,都暴露公网了防火墙是一定要的,防火墙限制一下连入 ip 段可以减少很多攻击。 |
| 15 deadtomb OP @IgniteWhite 我这个就是家里的电脑。。估计实现不了 frp 。。frp 要在公网 ip 电脑上装服务吧,我这个就是个电信的光猫。。 |
 | 17 refits Apr 7, 2021 把系统设置里的“共享”,“屏幕共享”取消勾选 |
| 18 deadtomb OP @domodomo 谢谢回复。以前比较大意总觉得 macos 没有漏洞也不会中毒哈哈。他除了抹掉了登陆记录那个 administratorb 账户也不见了。那这么说他其实并没有破解我的密码对吧?只是利用 whatever 方法新建一个管理账户。限 ip 我主要也不确定自己从哪登陆(我是希望自己能从任何地方登陆。。),所以没法建一个白名单,我也不知道 hacker 从哪登陆也没法建黑名单。。。感觉似乎无解啊。。。 |
| 20 deadtomb OP |
| 21 deadtomb OP 大神们,是不是这个远程登陆 log 不在 system.log 里面?我刚刚自己用另外一台电脑登陆了几次,之后去 system.log 里找也没找到登陆日志。所以究竟在哪里查看被远程登陆的记录啊? |
 | 23 ryanbuu Apr 7, 2021 emmmmm 基于 macOS 是 unix……盲猜 last 会有登陆记录 |
| 25 deadtomb OP @q1angch0u 试了下 last 会显示最近一条,last -100 仍然也只显示最近一条。。。。这是怎么回事。。。这个是不是只能显示目前仍然在登陆状态的登陆记录啊? |
| 29 deadtomb OP @ferock https://support.apple.com/guide/mac-help/share-the-screen-of-another-mac-mh14066/11.0/mac/11.0 找到这个文章,里面说在 finder 中的 network 连接另一台电脑后有 screen sharing 图标但是我找了半天都没找到 screen sharing 图标在哪。。。。 |
| 30 deadtomb OP 另外我感觉对方是用的 remote management 协议而不是 screen sharing,因为他使用了 curtain 模式(屏幕上显示了一把锁我看不到他在操作电脑) |
 | 31 Chihaya0824 PRO @deadtomb 你直接 spotlight 搜索 screen sharing 就有了 |
| 32 deadtomb OP @Chihaya0824 我搜到的是 screen sharing 这个应用(当然还有这个帖子的浏览记录),但 screen sharing 这个应用是客户端吧,打开也没有什么地方可以查本机被登陆的记录 |
| 33 Chihaya0824 PRO @deadtomb Try this log show --last 3d --predicate 'processImagePath CONTAINS "screensharingd" AND eventMessage CONTAINS "Authentication"' |
| 34 deadtomb OP @Chihaya0824 我得到了这样的提示:log: Could not open local log store: The log archive is corrupt or incomplete and cannot be read 加了 sudo 也没用,奇怪了。我去到 /var/logs 目录下发现有 4 个文件分别是 keybagd.log.0 keybagd.log.1 keybagd.log.2 keybagd.log.3 我手动打开找了 screensharingd 这个关键字也没找到。我按日期找了当时那个时间前后的 log,发现 7 号晚上 11 点多这段时间没有 log 。( 7 号的最后一条只到 10 点的样子,然后就是 8 号的 Log 了) |
| 35 Chihaya0824 PRO @deadtomb 是不是他连上来第一件事情就是删了 log,论黑客的自我修养( doge |
| 36 deadtomb OP @Chihaya0824 是啊 楼上也有人说可能他删了 log 。。。由于没有记录,我也不知道他是怎么登陆进来的,所以也没有找到方法提高安全性,所以。。。如果他想再进来我感觉就随时可以来。。。只是上次刚好被我看到了而已。。。 |
| 37 deadtomb OP @ferock 我试出原因了,如果另一台电脑跟目前这台在同一个网络内会有 screen sharing 的图标,如果没在一个网络内可以连上但没有 screen sharing |
| 38 Chihaya0824 PRO @deadtomb 虽然可能有点跑题,但是我你可以先怀疑一下内网设备。我有一次发现夏普的电视更新了安卓系统以后,每天会定时在晚上 6 点开始对我内网对各种开了 samba 服务的机器进行 ssh 暴力破解,还好我服务器报警了有人在暴力破解,然后我就的把那个电视的联网能力直接取消了 |
| 39 deadtomb OP @Chihaya0824 这么吓人吗 是电视上的安卓中了病毒?应该不是原生设备所为吧?我内网设备都比较弱鸡应该没这个能力,另外当时我看到他的 IP 开头是 183 开头的应该是外网的人吧(当时被控制时屏幕顶部有个提示显示了对方的 IP ) |
| 40 Chihaya0824 PRO @deadtomb 183 看起来是外网的 ip |
Select Language