Entonces tu red doméstica debería ser algo como esto:
+--------------+
Cameras<------->+ Cam server +-+
+-------+------+ |
| |
| |
+--------------+ +--------------+ wifi/eth | |
| The Internet +-----+ ISP's router +-------------+ | Thunderbolt
+--------------+ +--------------+ | |
| |
| |
+-------+------+ |
| iMac +-+
+-------+------+
Analyze
- Acceda a mi red
Desea verificar los registros de red de los siguientes 3 puntos finales:
- El enrutador (Puerto 5900, 5901)
- El servidor de levas (Puerto 8000, 8001)
- El iMac (actividades de conexión de rayo)
Si recuerdas cuándo ocurrió el evento y sabes cómo leer un archivo pcap, puedes diagnosticar qué sucedió.
- Iniciar sesión correctamente en mi mini-mac
En su servidor de cámara, verifique la entrada de esos archivos de registro (Aplicación / Utilidades / Consola):
/var/log/osxvnc.log
/var/log/secure.log
/var/log/system.log
- Desde mini-mac, acceda con éxito a mi iMac
En tu iMac, verifica la entrada de esos archivos de registro:
/var/log/system.log
Escribiendo last
& last username
en el símbolo del sistema puede mostrar información útil.
Información adicional
Un servidor VNC puede ser forzado por la fuerza bruta, mira este ejemplo usando Módulo metasploit y vnc_login. Para evitarlo, puedes agregar una de esas 2 capas de seguridad:
- Adopte una política de contraseña segura con 12 caracteres como longitud mínima.
- el uso de mayúsculas y minúsculas (sensibilidad a mayúsculas)
- inclusión de uno o más dígitos numéricos, inclusión de caracteres especiales, como @, #, $
- prohibición de palabras encontradas en una contraseña
lista negra
- prohibición de palabras encontradas en la información personal del usuario
- prohibición del uso del nombre de la empresa o una abreviatura
-
prohibición de contraseñas que coincidan con el formato de las fechas del calendario, números de matrículas, números de teléfono u otros números comunes
fuente wiki
- Suba de nivel al no usar una autenticación de inicio de sesión / contraseña.
Puede encontrar un tutorial aquí
Edición 1 : un atacante exitoso con privilegios suficientes eliminará algunas entradas del registro (si sabe lo que está haciendo)
Edit 2, (respondiendo comentarios) :
Además, ¿qué información específica debo buscar en los registros?
enrutador: Time & Dirección IP, hazte esas preguntas:
-
¿Qué dirección IP se ha conectado a mi red cuando estaba en casa? También desea conocer la dirección IP global que utiliza cuando se conecta de forma remota a su red doméstica (IP de la cafetería favorita, IP del lugar de trabajo, IP del teléfono móvil ...)
-
Los eventos impares ocurrieron en el tiempo xx: xx, ¿hay alguna entrada en el registro del enrutador que corresponda aproximadamente a esta hora, o unas pocas horas antes?
iMac & Minimac: Primero debe encontrar una entrada sospechosa en el registro del enrutador, anote esta entrada sospechosa marca de hora en alguna parte, luego busque en el sistema.log del Mini-mac lo que ocurrió en esta tiempo . Realice el mismo proceso con su iMac mediante el comando sudo last username
.
¿Cómo podré recuperar más elementos para el último comando?
Permítame presentarle un famoso acrónimo en el mundo de TI, llamado RTFM : lea el manual Fine . mire aquí