我如何防止黑客再次操纵我的终端，以便我的终端再次正常工作？

在荷兰，我们在我们工作的公司执行cybertest，攻击由荷兰政府AIVD（也抓住Fancy Bear黑客的团队）执行。黑客在我的MacBook Air上具有root访问权限。我怎么知道（宣布我们会被黑客入侵）？黑客能够运行：

sudo hostname 192

黑客明确地运行了上面的命令。黑客也操纵我的bash。我执行了命令行

sudo dscl . list /Users | grep -v '^_'

并看到四个用户：

• 守护进程
• 没有人
• 仁
• 根

因为我的bash被操纵，我不知道在哪里看。在我的终端中只显示了我两天前执行的命令。昨天和今天的命令没有显示。即使我表演

例：

Last login: Mon Aug 27 17:37:19 on ttys001
192:~ jen$ history -c
192:~ jen$ history -w

Last login: Mon Aug 27 17:38:49 on ttys002
192:~ jen$ history 
    1  nano doc.txt
    2  cat doc.txt 

我如何防止黑客再次操纵我的终端，以便我的终端再次正常工作？

我不是社交工程的受害者，我没有通过邮件打开任何链接或文件或下载了一些应用程序。我只使用笔记本电脑来处理高度机密的东西。 我只在我的系统上使用Mac提供的软件。 （我没有通过邮件下载任何文件，我也没有使用任何浏览器）我使用这台笔记本电脑只写邮件（没有更多）。

很可能你得出了一个错误的结论 - 你的Mac被黑了。

“不需要的”或“令人惊讶的”主机名更改的最可能原因是您的DHCP服务器为您的计算机提供了新的主机名。 DHCP服务器可以是您自己家中的路由器/调制解调器，ISP上的系统，或者您连接到WiFi网络的任何地方的硬件（例如咖啡店，学校或其他）。

删除您的sudo权限不会有助于解决此问题，因为Mac上的DHCP客户端仍然可以更改您的主机名。

没有证据表明你被黑了。

您列出的四个用户本身没有“root”访问权限，并且他们都是有效的帐户：

• daemon - 用户处理与特定用户（用户）无关的后台进程 daemon 给出了那些过程。这就是你打开Mac，没有人登录和进程仍然运行的方法。

• nobody - 这是另一个获得分配进程的用户（如 httpd ）并且有 非常 有限的访问系统。即使有人要破解它，曝光也会受到限制。

• jen - 我假设这是你（SE用户名是“jennifer ruurs”）。如果您是管理员用户，则可以 sudo 为您提供root访问权限的权限

• root - 这是root帐户。此帐户 需求 root访问权限，尤其是在您启动进入单用户模式进行诊断或修复时。

你刚才提到的命令 暂时 更改计算机的主机名。

sudo hostname 192

这种情况只发生在且仅当它所登录的用户/组中 /etc/sudoers 文件，他们要么有密码或 /etc/sudoers 配置为无密码验证（非常不安全，而不是默认的macOS设置）。

以上所有用户，除了 jen， 不能 （默认情况下）远程访问您的计算机。所以，如果你确信你被“黑客攻击”，你需要找到 用户 允许他们访问的帐户或者是您的帐户，降低风险，更改密码。

直接回答标题中的问题：

你不能。

擦除所有内容，重新安装macOS并从备份中恢复文件（ 不 来自受感染的机器）。

为了完整起见，值得一提的是存在例如攻击。感染存储设备的固件，需要销毁整个硬件以确保100％的安全性。但是，除非你有理由相信你是政府的个人目标，否则这不是一个现实的担忧 - 相比之下，感染实际存储在磁盘上的数据的任何部分都更容易，也是一个非常现实的威胁。即使您只是自动化，无针对性攻击的受害者，擦拭一切也是必要的预防措施。

为什么？

如果攻击者具有root访问权限，则可以替换其他内容 任何 二进制与他们自己的版本，可以做任何他们喜欢的事情，这意味着你不能相信 什么 在你的系统上了。 几乎任何东西 你试图做最后可能做某事 完全不同 。如果黑客想要，他们可能会 cat 将文件的修改版本返回到例如隐藏显示有害活动的日志条目; ls 可能无法显示黑客添加的文件;任何文本编辑器都可以假装保存你写的内容但实际上默默地忽略你的编辑等等。

我不能至少保留我的文件吗？我有一些以前备份的东西/根本没有备份

您不希望复制文件的原因是有大量非可执行文件类型可以利用某些漏洞或其他漏洞并重新验证您的系统。各种类型和PDF的压缩档案是常见的载体，但绝不是唯一的危险。你是 大概 安全复制一个明文，不可执行的文本文件（记得不要使用受到破坏的操作系统来做到这一点），但请记住，绝对可以完全改变他们想要的任何方式，所以对待你想要的一切从一个阴暗的网站意外下载的随机文件。

更现实......

你还要考虑一下 为什么 黑客会做那样的事情。更换 cat 和 ls 使用恶意版本是完全可能的，但是使输出足够复杂以欺骗你认为一切都很好是更复杂的。如果黑客只是想监视你，他们会安装一个键盘记录器并将其他一切都留下。如果他们想在僵尸网络中使用您的计算机，他们会安装必​​要的软件并将其他所有内容保留下来。如果他们想要 您的 特别是钱，他们已经安装了勒索软件，你已经知道了。

上述情况均不涉及编辑bash历史记录或更改计算机的主机名。可以使键盘记录器或类似的rootkit几乎无法检测到。所以虽然是一个根攻击者 能够 做任何事情，通常这意味着你永远无法猜测他们在那里，除了例如当您的受感染机器参与僵尸网络时，观察您的负载高于平时。或者，如果他们不介意你知道他们在，那么将用户锁定（例如通过更改帐户密码）比使用bash历史记录更容易。 （或者，再次，勒索软件。）

那么这里发生了什么，你应该怎么做？

其他答案已经描述了我个人认为最可能出现的情况：一些侥幸，比如DHCP服务器更改主机名。在这种情况下，你是不妥协和罚款。 另一种选择是有人手动闯入你的机器，并且要么笨拙地试图隐藏它，要么故意弄乱你。这可以是家庭成员，同事或其他不同行为;也许他们可能会偷偷摸摸你的密码。 如果 那个案子 和 你肯定他们在此期间没有安装任何rootkit或键盘记录器，那么只需更改相关密码（root和你的用户）就足够了。但是你真的不知道他们做了什么或者做了什么，一旦你已经拥有root访问权限，安装一个现成的恶意软件包是完全无足轻重的 - 所以如果你真的相信有人获得了未经授权的root访问权限，那么，正如所解释的那样以上，擦拭一切。