web-dev-qa-db-ja.com

誰かが私のMacへのリモートアクセスに成功したかどうかを追跡するにはどうすればよいですか?

私のホームネットワークには、メディア、プレックス、防犯カメラサーバーとして使用するヘッドレスミニマックがあります。画面とファイルの共有を有効にして、マウス、キーボード、画面がミニマックに接続されていないため、通常のiMacから制御できるようにしました。 Thunderbolt接続を介して私の家のwifiと通常のMacに接続されています。

私のルーターでは、そのミニマックでポート転送が有効になっているため、外部からカメラにアクセスできます。

昨日、突然私の画面が「ログイン画面」に移動したとき、私は通常のMacで作業していました。また、画面共有アイコンが接続されていることにも気づきました。それにカーソルを合わせると、それが私のミニMAC IPアドレスでした。私はできるだけ早く、macとmini macをシャットダウンしてから、再起動して、通常のmacでの画面共有とリモートログインを無効にしました。

ログやクエリを介して、誰かが次のことを実行できたことを確認または除外するために必要な手順:

  1. ネットワークにアクセスする
  2. ミニマックに正常にログイン
  3. ミニマックから、iMacへのアクセスに成功
  4. 上記の項目のいずれかがある場合、カバーされるまでどのくらいかかりますか?
  5. ファイル、プログラムなどにアクセスできた場合.

基本的に、私が本当に「ハッキング」されたかどうか、そうであればどの程度ハッキングされたかを評価したいと思います。

ありがとうございました!

macosremote-desktop
4
ogmios

したがって、ホームネットワークは次のようになります。

                                          +--------------+ 
                          Cameras<------->+  Cam server  +-+
                                          +-------+------+ |   
                                                  |        |
                                                  |        |
+--------------+     +--------------+   wifi/eth  |        |
| The Internet +-----+ ISP's router +-------------+        | Thunderbolt
+--------------+     +--------------+             |        |
                                                  |        |
                                                  |        |
                                          +-------+------+ |
                                          |     iMac     +-+
                                          +-------+------+

分析

  1. ネットワークにアクセスする

次の3つのエンドポイントのネットワークログを確認するとします。

  • ルーター(ポート5900、5901)
  • カムサーバー(ポート8000​​、8001)
  • IMac(Thunderbolt接続アクティビティ)

イベントがいつ発生したかを覚えていて、pcapファイルの読み方を知っている場合は、何が起こったかを診断できます。

  1. ミニマックに正常にログイン

カムサーバーで、これらのログファイルのエントリを確認します(App/Utilities/Console)。

/var/log/osxvnc.log

/var/log/secure.log

/var/log/system.log

  1. ミニマックから、iMacへのアクセスに成功

IMacで、これらのログファイルのエントリを確認します。

/var/log/system.log

コマンドプロンプトにlastlast usernameと入力すると、役立つ情報が表示される場合があります。

追加情報

VNCサーバーはブルートフォースすることができます。metasploitとvnc_loginモジュールを使用して、これを見てください example 。それを防ぐために、次の2つのセキュリティ層のいずれかを追加できます。

  • 12文字以上の強力なパスワードポリシーを採用してください。
  1. 大文字と小文字の両方の使用(大文字と小文字の区別)
  2. 1つ以上の数字を含める@、#、$などの特殊文字を含める
  3. パスワードのブラックリストで見つかった単語の禁止
  4. ユーザーの個人情報に含まれる単語の禁止
  5. 会社名または略語の使用禁止

  6. カレンダーの日付、ナンバープレート番号、電話番号、またはその他の一般的な番号の形式に一致するパスワードの禁止

    ソース wiki

  • ログイン/パスワード認証を使用しないでレベルを上げます。

あなたはウォークスルーを見つけることができます ここ

編集1:十分な権限を持つ攻撃者が成功すると、一部のログエントリが削除されます(彼が何をしているか知っている場合)

編集2、(コメントへの回答)

また、ログで特定の情報を探す必要がありますか?

router:時間とIPアドレス、以下の質問を自問してください。

  • 自宅にいるときにどのIPアドレスがネットワークに接続しましたか?また、ホームネットワークにリモートで接続するときに使用するグローバルIPアドレス(お気に入りのコーヒーショップIP、職場IP、携帯電話IPなど)も知りたいと考えています。

  • 奇数のイベントがxx:xxの時間に発生しました。ルーターのログに、この時間、または数時間前にほぼ対応するエントリがありますか?

iMac&Minimac:まず、ルーターのログで不審なエントリを見つける必要があります。この不審なエントリtimestampどこかで、Mini-macのsystem.logを検索しますtimeSudo last usernameコマンドを使用して、iMacで同じプロセスを実行します。

最後のコマンドでより多くのアイテムを取得するにはどうすればよいですか?

[〜#〜] rtfm [〜#〜]と呼ばれるITの世界で有名な頭字語を紹介しましょう:Fineマニュアル。 こちらをご覧ください

3
Baptiste