电脑又被人通过 screen sharing 远程登陆了。。。真是醉了。。。

2021-06-14 23:45:28 +08:00

deadtomb

自从上次被人远程登陆后（见这个帖子：有人通过 screen sharing 登陆了我的电脑，但在 system.log 里面查不到登陆日志，有可能是什么原因呢？）
大家都帮忙给了不少建议，但也没有找到解决办法，为了方便使用我也一直没有关闭远程和端口映射。我总觉得哪天还会被人再次登陆的，果然应验了，两个月之后的今天黑客又来了。。。。
就在刚刚的 11 点半左右，电脑突然锁屏，之后就进入了远程登陆的 curtain 模式，也就是屏幕上出现一把大大的锁，下面有一行字显示是 screen locked by administratorj，我马上跳起来到电脑边，赶紧解锁，跟上次一样的，顶部的 screen sharing 图标显示处于 asisted mode，也是醉了，上次登陆的账号是 administratorb，这次是 administratorj，感觉都是同一伙的。实在丢脸，被同一个黑客入侵了两次。手动狗头一个。

7940 次点击

所在节点

macOS

59 条回复

yitingbai

2021-06-14 23:50:28 +08:00

除了密钥登录的 SSH，任何远程端口我都不敢映射到外网，远程桌面这种我都是先连接 VPN

deadtomb

2021-06-14 23:58:08 +08:00

@yitingbai 为了自己用着方便我也没限 IP 段没弄 VPN，主要我的老 imac 也没有其他解锁方式，只能输密码，所以密码也没有弄的很复杂，但之前帖子有人回复是那个账户是别人通过 bug 新建的账户而不是破解了我的密码，所以也没有改密码。主要就是不知道人家是通过什么原理登陆上的，用的什么 bug 。

20015jjw

2021-06-15 02:53:33 +08:00

为啥不关掉 screen sharing...

Elethom

2021-06-15 03:15:49 +08:00

开 VNC 放公网就是找打。

chyiz

2021-06-15 03:20:07 +08:00

这是最新版本 macOS 吗？ Big Sur 11.0.1 之前的版本可能是因为 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-27893

swulling

2021-06-15 03:34:11 +08:00

你就这么放到公网上一个 0day 就没了。

这事解决不了，除非你不放在公网。我看上一个贴也有人建议套一层 VPN 不知道为啥也不受采纳？

IgniteWhite

2021-06-15 03:58:59 +08:00

@swulling 因为楼主是大水笔

ihwbunny

2021-06-15 05:50:38 +08:00

其实就是在公网上，被哪个扫描到了你这个 Mac，通过各种方式，创建了一个新的管理员

看这个 mac 的系统版本
用 last 命令看谁登陆过，而且通过 console 或 tty，可以看出是 ssh 还是 login 界面。
下面的命令列出所有账户：
dscl . list /Users

当然，还可能是在其他地方，看看下面是有几个目录：
ls -la /var/db/dslocal/nodes

2021-06-15 06:07:02 +08:00

你这估计已经被找了木马了吧根本不需要你的密码就能控制多复杂都没用

jjxtrotter

2021-06-15 06:28:03 +08:00

之前我开放了微软 rdp 的 3389 端口到外网看来太危险了

yihy8023

2021-06-15 07:54:48 +08:00

我一般是用 ssh 做端口转发到本机，再连接远程桌面。ssh 只允许密钥登录。

boywang004

2021-06-15 08:14:07 +08:00

screen sharing 没设置只允许自己的用户么？所以到底查出来啥原因了么，好奇……

sidkang

2021-06-15 08:53:07 +08:00

知道还不关，也是满溜的～～

YellowWrangler

2021-06-15 09:00:27 +08:00

正准备直接开 rdp 到公网的我瑟瑟发抖
前置架哪个 VPN 比较好？ ipsec ？

yanzhiling2001

2021-06-15 09:54:01 +08:00

要是 vpn 什么太复杂了，用 frp 吧，这是个神器。

用 stcp 模式把服务器的 rdp 端口绑定到自己电脑上，服务器的 rdp 端口防火墙都不用放行，只放行 frps 的端口就行了，

token 设置到 32 位，穷举爆破让他算个几十年。

coolcoffee

2021-06-15 10:30:00 +08:00

vnc 这种明文连接比 RDP 还不靠谱，而且好像还不能自定义端口。ipv4 不用多久就能穷举完所有开放端口的设备，所以被入侵是正常的。

flexbug

2021-06-15 10:33:41 +08:00

https://www.natfrp.com/ 用这个映射一下就行了，很简单的事，每天签到一下流量就够用

deadtomb

2021-06-15 11:27:38 +08:00

@swulling 主要原因是没有其他如 nas 设备可以搭建 VPN 服务，根本原因是因为穷，哈哈。所以我想找一种表面的解决办法，就是想找到它的 IP 之后屏蔽 IP 段或者找到它用的哪个漏洞然后设法修复这个漏洞，毕竟上次帖子也有人回复了像我这种就是人家批量扫到的，不会用特别高级的技术黑我，所以我觉得只要针对性的堵上就行了。

deadtomb

2021-06-15 11:28:13 +08:00

@chyiz 谢谢，我一直升级最新的版本哈，目前是 11.4

deadtomb

2021-06-15 11:28:35 +08:00

@IgniteWhite 没有那么水哈，两个月才水一个贴，哈哈

第 1 页／共 3 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/783369

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.