特殊情况下，我的 mac 被人运行了一个名叫 a.sh 的脚本，这个脚本已经不在我的电脑上了，如何检测有没有被设置后门？

如果人家都 ssh 进来过了 应该就烂了？

检查下启动项目
~/Library/LaunchAgents/
/Library/LaunchAgents/
/Library/LaunchDaemons/

都 ssh 了，想干啥都行。。。把重要资料备份下抹盘吧

备份抹盘重装

首先拔网线

直接 netstat 看一下是不是已经有木马驻留系统了

断网 -> 备份 -> 抹盘重装

好奇什么情况下，能被人运行脚本呢

就算是 Windows 我也得重装系统。
别说 macOS，有这个 SSH 证书已经非常莫名其妙，属于高度危险了（可以随意命令你的电脑）

就算不抹盘，你还能安心使用？
好厉害，我做不到。

@wclebb 还得知道密码才可以 sudo

- 检查 crontab
- 检查最近某段时间添加的可执行文件

楼主是怎么中招, 怎么发现的

@wclebb .ssh/authorized_keys 如果单有这个证书，怎么随意命令我的电脑？

@1314258 想了想，好像是我想多了。

@vebuqi
@holong2000

情况是， 电脑是公司配的， 老同事发了个脚本，帮我运行了

我最近才发现， 那个脚本写入了 authorized_keys，已经好几个月了

先把這個證書拿出來然後反覆連斷網的同時抓一下 Log 看後台有沒有可疑行為。
然後檢查一下 LaunchAgents 和 LaunchDaemons。
最後在 Keychain 裡仔細排查一遍

都沒啥問題了之後吧這個證書做一個本地吊銷，在修改一下系統密碼就可以了吧

畢竟如果單單一個 sh 沒有 sudo 可以做的事情有限

公司 VPN 的話正常情況下所有非加密連線內容都可以認為是像 PR 公開透明的內容。
如果加密連結要經過你公司自己簽發的證書（中間人）那麼可以認為連線內容都是像 PR 公開透明的內容

你能看到代码的脚本就是标题里那个 a.sh 吗？还是有人用 ssh 证书登录了运行的？
往好了想，我自己用的 setup.sh 就会加 ssh 公钥，新的机器或者服务器跑一遍，啥都装好了
写这个脚本的人估计(不小心 /有意)把自己的加进去了吧

最後仔細看了下注意到電腦是公司配的電腦
那麼問題的前提就不一樣了，如果說這台電腦是公司財產，那麼公司這個作法並沒有什麼問題，樓主不應該並且法律也不保護樓主在這台設備上做的任何與工作內容無關的私事。

那个 key 估计是为了从服务反向连接你

搞得这么复杂，问一下你们公司同事不就好了。