首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
qweweretrt515
V2EX  ›  问与答

特殊情况下,我的 mac 被人运行了一个名叫 a.sh 的脚本,这个脚本已经不在我的电脑上了,如何检测有没有被设置后门?

  •  
  •   qweweretrt515 · 2017-05-28 10:31:16 +08:00 · 3533 次点击
    这是一个创建于 1040 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我对 mac / Linux 不是很熟悉,我自己排查,发现被写入了 .ssh/authorized_keys 在我的目录下

    除了这个,不知道如何排查 其他的 危险项目

    除了把电脑抹掉重新恢复

    如果要手动排查, 需要排查哪些地方

    有人知道吗

    第 1 条附言  ·  2017-05-28 16:41:25 +08:00
    情况是, 电脑是公司配的, 老同事发老个脚本,

    帮我运行了, 说是安装常用的开发的软件(而我对 mac 不熟悉,就被动的从了), 其中就有一行代码,是写入 .ssh/authorized_keys


    这个脚本是公司技术总监写的,代码放在公司的 git 里, 我对比过了,老同事帮我运行的脚本和公司 git 里的脚本一模一样


    那个脚本因为是公司的东西, 所以我无法公开发上来给大家观摩,很抱歉


    我平时就是写 django 代码 和 jquery

    如果我抹掉 重新装, 要装回现在的开发环境 ,会不会很麻烦


    -----------------------------------

    我打算先研究下 ,这个脚本文件里面 每个脚本的含义, 等我研究完毕,就抹掉系统, 按照脚本,手动配置环境,


    大家能给一些建议和帮助吗

    另外,我工作是连了公司的 vpn,这个 vpn 理论上,能获取我的哪些可能的隐私?
    24 条回复    2017-05-28 22:50:53 +08:00
    20015jjw
        1
    20015jjw   2017-05-28 10:52:06 +08:00 via Android
    如果人家都 ssh 进来过了 应该就烂了?
    n6DD1A640
        2
    n6DD1A640   2017-05-28 10:52:29 +08:00   ❤️ 2
    检查下启动项目
    ~/Library/LaunchAgents/
    /Library/LaunchAgents/
    /Library/LaunchDaemons/
    ambilight
        3
    ambilight   2017-05-28 10:54:14 +08:00 via Android
    都 ssh 了,想干啥都行。。。把重要资料备份下抹盘吧
    hjc4869
        4
    hjc4869   2017-05-28 12:03:35 +08:00
    备份抹盘重装
    Doubear
        5
    Doubear   2017-05-28 12:25:54 +08:00
    首先拔网线
    changwei
        6
    changwei   2017-05-28 12:27:39 +08:00
    直接 netstat 看一下是不是已经有木马驻留系统了
    vebuqi
        7
    vebuqi   2017-05-28 12:59:23 +08:00
    断网 -> 备份 -> 抹盘重装

    好奇什么情况下,能被人运行脚本呢
    wclebb
        8
    wclebb   2017-05-28 13:59:44 +08:00
    就算是 Windows 我也得重装系统。
    别说 macOS,有这个 SSH 证书已经非常莫名其妙,属于高度危险了(可以随意命令你的电脑)

    就算不抹盘,你还能安心使用?
    好厉害,我做不到。
    Showfom
        9
    Showfom   2017-05-28 15:18:41 +08:00 via iPhone
    @wclebb 还得知道密码才可以 sudo
    kidlj
        10
    kidlj   2017-05-28 15:35:30 +08:00 via iPhone
    - 检查 crontab
    - 检查最近某段时间添加的可执行文件
    holong2000
        11
    holong2000   2017-05-28 15:49:38 +08:00 via iPad
    楼主是怎么中招, 怎么发现的
    1314258
        12
    1314258   2017-05-28 15:55:22 +08:00 via iPhone
    @wclebb .ssh/authorized_keys 如果单有这个证书,怎么随意命令我的电脑?
    wclebb
        13
    wclebb   2017-05-28 16:17:23 +08:00 via iPhone
    @1314258 想了想,好像是我想多了。
    qweweretrt515
        14
    qweweretrt515   2017-05-28 16:42:29 +08:00
    @vebuqi
    @holong2000

    情况是, 电脑是公司配的, 老同事发了个脚本,帮我运行了

    我最近才发现, 那个脚本写入了 authorized_keys,已经好几个月了
    USCONAN
        15
    USCONAN   2017-05-28 16:45:19 +08:00   ❤️ 1
    先把這個證書拿出來然後反覆連斷網的同時抓一下 Log 看後台有沒有可疑行為。
    然後檢查一下 LaunchAgents 和 LaunchDaemons。
    最後在 Keychain 裡仔細排查一遍

    都沒啥問題了之後吧這個證書做一個本地吊銷,在修改一下系統密碼就可以了吧

    畢竟如果單單一個 sh 沒有 sudo 可以做的事情有限
    USCONAN
        16
    USCONAN   2017-05-28 16:49:15 +08:00   ❤️ 1
    公司 VPN 的話正常情況下所有非加密連線內容都可以認為是像 PR 公開透明的內容。
    如果加密連結要經過你公司自己簽發的證書(中間人)那麼可以認為連線內容都是像 PR 公開透明的內容
    wwwjfy
        17
    wwwjfy   2017-05-28 16:49:45 +08:00   ❤️ 1
    你能看到代码的脚本就是标题里那个 a.sh 吗?还是有人用 ssh 证书登录了运行的?
    往好了想,我自己用的 setup.sh 就会加 ssh 公钥,新的机器或者服务器跑一遍,啥都装好了
    写这个脚本的人估计(不小心 /有意)把自己的加进去了吧
    USCONAN
        18
    USCONAN   2017-05-28 16:54:57 +08:00   ❤️ 1
    最後仔細看了下注意到電腦是公司配的電腦
    那麼問題的前提就不一樣了,如果說這台電腦是公司財產,那麼公司這個作法並沒有什麼問題,樓主不應該並且法律也不保護樓主在這台設備上做的任何與工作內容無關的私事。
    nutting
        19
    nutting   2017-05-28 17:26:12 +08:00 via Android   ❤️ 1
    那个 key 估计是为了从服务反向连接你
    xgfan
        20
    xgfan   2017-05-28 18:28:02 +08:00 via Android
    搞得这么复杂,问一下你们公司同事不就好了。
    zoues
        21
    zoues   2017-05-28 18:34:39 +08:00 via iPhone
    首先 看看开了 ssh 服务没
    paradoxs
        22
    paradoxs   2017-05-28 19:49:28 +08:00
    打开钥匙串访问, 把里面所有证书都删掉啊?
    MrMario
        23
    MrMario   2017-05-28 20:17:54 +08:00 via iPhone
    基于成本考虑,重装会比各项检查简单、高效。真心想藏个后门,没有详细审计的话很难找出来
    miao1007
        24
    miao1007   2017-05-28 22:50:53 +08:00
    公司的电脑就不要干私活了,要是忍不住想玩其它的,可以在手机上用流量+VPN 玩
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1049 人在线   最高记录 5168   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 21:45 · PVG 05:45 · LAX 14:45 · JFK 17:45
    ♥ Do have faith in what you're doing.