¿Cómo puedo rastrear si alguien accedió de manera remota a mi Mac?

4

En mi red doméstica, tengo un mini-mac sin cabeza que uso como servidor de medios, complejos y cámaras de seguridad. Tenía la pantalla y el uso compartido de archivos habilitados, por lo que puedo controlarlo desde mi iMac regular, ya que no hay mouse, teclado ni pantalla conectados a mini-mac. Está conectado a la wifi de mi casa y también a mi Mac normal a través de la conexión de rayo.

Mi enrutador tenía habilitado el reenvío de puertos para ese mini-mac para que pueda acceder a las cámaras desde el exterior.

Ayer, estaba trabajando en mi Mac normal cuando de repente mi pantalla se movió a la "pantalla de inicio de sesión". También noté que el ícono de compartir pantalla estaba conectado y cuando lo coloqué, era mi mini-mac ip address. Intenté cerrar todo lo antes posible, mac y mini mac, luego reinicié y desactivé el uso compartido de pantalla y el inicio de sesión remoto en el mac normal.

¿Qué pasos debo seguir para confirmar o descartar, a través de registros y consultas, que alguien pudo:

  1. Acceda a mi red
  2. Iniciar sesión correctamente en mi mini-mac
  3. Desde mini-mac, acceda con éxito a mi iMac
  4. Si alguno de los elementos anteriores, ¿por cuánto tiempo hasta que se descubrió?
  5. Si pudieron acceder a archivos, programas, etc.

Básicamente, quiero evaluar si efectivamente fui "pirateado" y, de ser así, en qué medida.

¡Gracias!

    
pregunta ogmios 21.06.2017 - 21:57
fuente

1 respuesta

3

Entonces tu red doméstica debería ser algo como esto:

                                          +--------------+ 
                          Cameras<------->+  Cam server  +-+
                                          +-------+------+ |   
                                                  |        |
                                                  |        |
+--------------+     +--------------+   wifi/eth  |        |
| The Internet +-----+ ISP's router +-------------+        | Thunderbolt
+--------------+     +--------------+             |        |
                                                  |        |
                                                  |        |
                                          +-------+------+ |
                                          |     iMac     +-+
                                          +-------+------+  

Analyze

  
  1. Acceda a mi red
  2.   

Desea verificar los registros de red de los siguientes 3 puntos finales:

  • El enrutador (Puerto 5900, 5901)
  • El servidor de levas (Puerto 8000, 8001)
  • El iMac (actividades de conexión de rayo)

Si recuerdas cuándo ocurrió el evento y sabes cómo leer un archivo pcap, puedes diagnosticar qué sucedió.

  
  1. Iniciar sesión correctamente en mi mini-mac
  2.   

En su servidor de cámara, verifique la entrada de esos archivos de registro (Aplicación / Utilidades / Consola):

/var/log/osxvnc.log

/var/log/secure.log

/var/log/system.log

  
  1. Desde mini-mac, acceda con éxito a mi iMac
  2.   

En tu iMac, verifica la entrada de esos archivos de registro:

/var/log/system.log

Escribiendo last & last username en el símbolo del sistema puede mostrar información útil.

Información adicional

Un servidor VNC puede ser forzado por la fuerza bruta, mira este ejemplo usando Módulo metasploit y vnc_login. Para evitarlo, puedes agregar una de esas 2 capas de seguridad:

  • Adopte una política de contraseña segura con 12 caracteres como longitud mínima.
  
  1. el uso de mayúsculas y minúsculas (sensibilidad a mayúsculas)
  2.   
  3. inclusión de uno o más dígitos numéricos, inclusión de caracteres especiales, como @, #, $
  4.   
  5. prohibición de palabras encontradas en una contraseña   lista negra
  6.   
  7. prohibición de palabras encontradas en la información personal del usuario
  8.   
  9. prohibición del uso del nombre de la empresa o una abreviatura
  10.   
  11. prohibición de contraseñas que coincidan con el formato de las fechas del calendario, números de matrículas, números de teléfono u otros números comunes

         

    fuente wiki

  12.   
  • Suba de nivel al no usar una autenticación de inicio de sesión / contraseña.

Puede encontrar un tutorial aquí

Edición 1 : un atacante exitoso con privilegios suficientes eliminará algunas entradas del registro (si sabe lo que está haciendo)

Edit 2, (respondiendo comentarios) :

  

Además, ¿qué información específica debo buscar en los registros?

enrutador: Time & Dirección IP, hazte esas preguntas:

  • ¿Qué dirección IP se ha conectado a mi red cuando estaba en casa? También desea conocer la dirección IP global que utiliza cuando se conecta de forma remota a su red doméstica (IP de la cafetería favorita, IP del lugar de trabajo, IP del teléfono móvil ...)

  • Los eventos impares ocurrieron en el tiempo xx: xx, ¿hay alguna entrada en el registro del enrutador que corresponda aproximadamente a esta hora, o unas pocas horas antes?

iMac & Minimac: Primero debe encontrar una entrada sospechosa en el registro del enrutador, anote esta entrada sospechosa marca de hora en alguna parte, luego busque en el sistema.log del Mini-mac lo que ocurrió en esta tiempo . Realice el mismo proceso con su iMac mediante el comando sudo last username .

  

¿Cómo podré recuperar más elementos para el último comando?

Permítame presentarle un famoso acrónimo en el mundo de TI, llamado RTFM : lea el manual Fine . mire aquí

    
respondido por el Baptiste 23.06.2017 - 13:19
fuente

Lea otras preguntas en las etiquetas