电脑又被人通过 screen sharing 远程登陆了。。。真是醉了。。。

除了密钥登录的 SSH， 任何远程端口我都不敢映射到外网，远程桌面这种我都是先连接 VPN

@yitingbai 为了自己用着方便我也没限 IP 段没弄 VPN，主要我的老 imac 也没有其他解锁方式，只能输密码，所以密码也没有弄的很复杂，但之前帖子有人回复是那个账户是别人通过 bug 新建的账户而不是破解了我的密码，所以也没有改密码。主要就是不知道人家是通过什么原理登陆上的，用的什么 bug 。

为啥不关掉 screen sharing...

开 VNC 放公网就是找打。

这是最新版本 macOS 吗？ Big Sur 11.0.1 之前的版本可能是因为 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-27893

你就这么放到公网上一个 0day 就没了。

这事解决不了，除非你不放在公网。我看上一个贴也有人建议套一层 VPN 不知道为啥也不受采纳？

@swulling 因为楼主是大水笔

其实就是在公网上，被哪个扫描到了你这个 Mac，通过各种方式，创建了一个新的管理员

看这个 mac 的系统版本
用 last 命令看谁登陆过，而且通过 console 或 tty，可以看出是 ssh 还是 login 界面。
下面的命令列出所有账户：
dscl . list /Users

当然，还可能是在其他地方，看看下面是有几个目录：
ls -la /var/db/dslocal/nodes

你这估计已经被找了木马了吧 根本不需要你的密码就能控制 多复杂都没用

之前我开放了微软 rdp 的 3389 端口到外网看来太危险了

我一般是用 ssh 做端口转发到本机，再连接远程桌面。ssh 只允许密钥登录。

screen sharing 没设置只允许自己的用户么？所以到底查出来啥原因了么，好奇……

知道还不关，也是满溜的～～

正准备直接开 rdp 到公网的我瑟瑟发抖
前置架哪个 VPN 比较好？ ipsec ？

要是 vpn 什么太复杂了，用 frp 吧，这是个神器。

用 stcp 模式把服务器的 rdp 端口绑定到自己电脑上，服务器的 rdp 端口防火墙都不用放行，只放行 frps 的端口就行了，

token 设置到 32 位，穷举爆破让他算个几十年。

vnc 这种明文连接比 RDP 还不靠谱，而且好像还不能自定义端口。ipv4 不用多久就能穷举完所有开放端口的设备，所以被入侵是正常的。

https://www.natfrp.com/ 用这个映射一下就行了，很简单的事，每天签到一下流量就够用

@swulling 主要原因是没有其他如 nas 设备可以搭建 VPN 服务，根本原因是因为穷，哈哈。所以我想找一种表面的解决办法，就是想找到它的 IP 之后屏蔽 IP 段或者找到它用的哪个漏洞然后设法修复这个漏洞，毕竟上次帖子也有人回复了像我这种就是人家批量扫到的，不会用特别高级的技术黑我，所以我觉得只要针对性的堵上就行了。

@chyiz 谢谢，我一直升级最新的版本哈，目前是 11.4

@IgniteWhite 没有那么水哈，两个月才水一个贴，哈哈

@ihwbunny 感谢哈。last 出来的都是我自己的登陆记录，昨晚的这个看不到：
(base) iMac:~ friend$ sudo last
Password:
friend ttys000 Mon Jun 7 16:42 still logged in
friend console Mon Jun 7 16:35 still logged in
reboot ~ Mon Jun 7 16:35
shutdown ~ Mon Jun 7 16:25
root console Mon Jun 7 16:25 - shutdown (00:00)
friend ttys000 Sat Jun 5 13:50 - 13:50 (00:00)
friend console Sat Jun 5 13:50 - 16:25 (2+02:35)
reboot ~ Sat Jun 5 13:50
shutdown ~ Sat Jun 5 13:49
friend ttys001 Sat Jun 5 13:42 - 13:42 (00:00)
friend ttys000 Tue May 25 14:02 - 14:02 (00:00)
friend console Thu May 13 13:10 - 13:49 (23+00:39)
reboot ~ Thu May 13 13:10
shutdown ~ Thu May 13 13:09
friend console Tue May 11 21:53 - 13:09 (1+15:16)
reboot ~ Tue May 11 21:53
shutdown ~ Tue May 11 21:53

dscl . list /Users 也没有它的这 administratorj 账号
(base) iMac:~ friend$ dscl . list /Users
_amavisd
_analyticsd
_appinstalld
_appleevents
_applepay
_appowner
_appserver
_appstore
_ard
_assetcache
_astris
_atsserver
_avbdeviced
_BGMXPCHelper
_calendar
_captiveagent
_ces
_clamav
_cmiodalassistants
_coreaudiod
_coremediaiod
_coreml
_ctkd
_cvmsroot
_cvs
_cyrus
_datadetectors
_demod
_devdocs
_devicemgr
_diskimagesiod
_displaypolicyd
_distnote
_dovecot
_dovenull
_dpaudio
_driverkit
_eppc
_findmydevice
_fpsd
_ftp
_fud
_gamecontrollerd
_geod
_hidd
_iconservices
_installassistant
_installcoordinationd
_installer
_jabber
_kadmin_admin
_kadmin_changepw
_knowledgegraphd
_krb_anonymous
_krb_changepw
_krb_kadmin
_krb_kerberos
_krb_krbtgt
_krbfast
_krbtgt
_launchservicesd
_lda
_locationd
_logd
_lp
_mailman
_mbsetupuser
_mcxalr
_mdnsresponder
_mobileasset
_mysql
_nearbyd
_netbios
_netstatistics
_networkd
_nsurlsessiond
_nsurlstoraged
_oahd
_ondemand
_postfix
_postgres
_qtss
_reportmemoryexception
_rmd
_sandbox
_screensaver
_scsd
_securityagent
_serialnumberd
_softwareupdate
_spotlight
_sshd
_svn
_taskgated
_teamsserver
_timed
_timezone
_tokend
_trustd
_trustevaluationagent
_unknown
_update_sharing
_usbmuxd
_uucp
_warmd
_webauthserver
_windowserver
_www
_wwwproxy
_xcsbuildagent
_xserverdocs
daemon
friend
nobody
root
wei

(base) iMac:~ friend$ ls -la /var/db/dslocal/nodes 的结果是这样的：

total 0
drwxr-xr-x 3 root wheel 96 Jan 1 2020 .
drwxr-xr-x 3 root wheel 96 Jan 1 2020 ..
drw------- 13 root wheel 416 Jun 7 16:35 Default
上次也尝试了一些方法包括找系统 log，但也是找不到

@boywang004 肯定设置了啊。。。上个帖子有人指点是人家自己建了个账户并把这个账户加入可远程登陆的组里了
[]( https://imgtu.com/i/2HRJ6U)

@yihy8023 谢谢回复哈，是个好方法，我研究下哈。实际使用的感受上跟直接映射的端口相比会有差异吗？

@yanzhiling2001
@flexbug 谢谢哈，我注册一个试试。

@deadtomb
> 没有其他如 nas 设备可以搭建 VPN 服务
可以用你的 Mac 做 VPN Server，也可以用 Tailscale 等 Mesh VPN 服务。

就现在的网络环境你这就是给自己找不愉快

@deadtomb 网络不稳定的话，过一会可能会断开，需要再次执行 ssh 命令。

ZeroTier 不香吗？

哇.... 好奇这整个的来龙去脉.... 希望楼主有时间可以写个文章啥的介绍一下哈哈

你就不能用防火墙只允许你指定的 IP 吗

@deadtomb 所以问题是，如果只开 Screen Sharing，但是不开 Remote Management 是不是就是相对安全的？

期待楼主调查清楚后，可以开个新帖完整介绍下……已经两贴了，听着略吓人。毕竟开 Screen Sharing 还是挺常见的需求（比如我就常年开着）。

不过总感觉可能还是有马？

@Elethom VNC 能套一层加密吗

我一直没搞懂 Mac 的 VNC 有鉴权吗

@swulling 谢谢哈，在自己的 mac 上搭 vpn server 这台电脑就要 24 小时开机了吧？因为这台电脑在卧室，考虑到散热、耗电、噪音等因素目前没有 24 小时开机条件啊。。。直接端口映射的远程登陆可以远程唤醒它的所以不用一直开机。

@mreasonyang 搭 VLAN 需要这台 mac 一直保持开机吧？因为这台电脑在卧室，考虑到散热、耗电、噪音等因素目前没有 24 小时开机条件啊。。。直接端口映射的远程登陆可以远程唤醒它的所以不用一直开机。

@iawes 因为我希望在任何地方都能登陆所以我希望是用黑名单模式而不是白名单模式，这也就是为什么我在上个帖子中一直想找到它的登陆记录从而找到它的 IP 段并加入黑名单，但无果因为所有的记录和 log 都找不到它的这条登录记录。

@Leee 就是这两个帖子里的内容啊。。。说实话第一次时确实吓了一大跳，电脑被人控制还跟我抢鼠标。。。。。

@boywang004 我觉得是差不多的吧，screen sharing 不是也能控制吗，我的理解是 remote management 是 screen sharing 的高级版？目前以我微薄的技术知识以及回帖中大家给的方法仍然没有查到任何线索，我甚至都查不到他的 IP 。。。。我也经常怀疑电脑有马但我没有证据。。。。被我看到是两次，说不定其实有更多次呢，对吧，这两次只是刚好我在卧室看到了而已，是不是细思极恐。。。。。

@deadtomb 对于 ZeroTier 这种架构来说不需要，当然更好的方案是你能在路由器建连，那可以把内网所有设备都 NAT 出去，用起来更方便

@deadtomb
你的系统用户列表比我的多了，我的是 BigSur 11.3：
_BGMXPCHelper
_serialnumberd
_xcsbuildagent

你建了两个账户？ friend 和 wei ？

你使用过 ssh 或者每次登陆都用 terminal 吗？ 这些的登录都很短时间，

你在屏幕看到的名称不是用户名，而是账户全名

@ihwbunny 对这两个是我建的账户。我是 11.4 。last 那些登陆记录是我自己登陆的，帖子中描述的事情是 6 月 14 日晚上的，但 last 中最近一次是 6 月 7 号。上次也是这样，没有登陆记录，log 里面也找不到。dscl . list /Users 列出的是账户全名还是用户名啊？锁屏界面看到的这两个账户各种地方都找不到，上个帖子说是人家用完就删了，我就是搞不明白是什么原理，如何建的账户以及如何又删掉的。

@yihy8023 懂了。感谢。

试了 zerotier，主要有两个问题，一是速度太慢几乎无法正常使用，二是电脑待机时无法通过它唤醒。感觉这些内网穿透类的东西不是我需要的，在实用性上远远无法匹敌端口映射啊。我觉得还是想办法找到对方的 IP 并屏蔽之比较实际。

@deadtomb 建了删账户很简单，但你不是断网了吗，没时间删的啊，除非你有联回去了。下面的命令看全名：
dscl . list /users RealName
Remote Management/Screen Sharing，都说的是同一个东西，Screensharing 是 1 对 1，Apple Remote Desktop 的 admin 端可以一对多。
11.4 要想开启 RM，必须是或者用户手动开启，或者用 MDM 的配置描述文件控制。自己查查是否被 MDM 管理+装了描述文件，在系统偏好设置中或者命令行 [sudo] profiles list

@ihwbunny 执行结果是这样的：

(base) iMac:~ friend$ dscl . list /users RealName
_amavisd AMaViS Daemon
_analyticsd Analytics Daemon
_appinstalld App Install Daemon
_appleevents AppleEvents Daemon
_applepay applepay Account
_appowner Application Owner
_appserver Application Server
_appstore Mac App Store Service
_ard Apple Remote Desktop
_assetcache Asset Cache Service
_astris Astris Services
_atsserver ATS Server
_avbdeviced Ethernet AVB Device Daemon
_BGMXPCHelper Background Music XPC Helper
_calendar Calendar
_captiveagent captiveagent
_ces Certificate Enrollment Service
_clamav ClamAV Daemon
_cmiodalassistants CoreMedia IO Assistants User
_coreaudiod Core Audio Daemon
_coremediaiod Core Media IO Daemon
_coreml CoreML Services
_ctkd ctkd Account
_cvmsroot CVMS Root
_cvs CVS Server
_cyrus Cyrus Administrator
_datadetectors DataDetectors
_demod Demo Daemon
_devdocs Developer Documentation
_devicemgr Device Management Server
_diskimagesiod DiskImages IO Daemon
_displaypolicyd Display Policy Daemon
_distnote DistNote
_dovecot Dovecot Administrator
_dovenull Dovecot Authentication
_dpaudio DP Audio
_driverkit DriverKit
_eppc Apple Events User
_findmydevice Find My Device Daemon
_fpsd FPS Daemon
_ftp FTP Daemon
_fud Firmware Update Daemon
_gamecontrollerd Game Controller Daemon
_geod Geo Services Daemon
_hidd HID Service User
_iconservices IconServices
_installassistant Install Assistant
_installcoordinationd Install Coordination Daemon
_installer Installer
_jabber Jabber XMPP Server
_kadmin_admin Kerberos Admin Service
_kadmin_changepw Kerberos Change Password Service
_knowledgegraphd Knowledge Graph Daemon
_krb_anonymous Open Directory Kerberos Anonymous
_krb_changepw Open Directory Kerberos Change Password Service
_krb_kadmin Open Directory Kerberos Admin Service
_krb_kerberos Open Directory Kerberos
_krb_krbtgt Open Directory Kerberos Ticket Granting Ticket
_krbfast Kerberos FAST Account
_krbtgt Kerberos Ticket Granting Ticket
_launchservicesd _launchservicesd
_lda Local Delivery Agent
_locationd Location Daemon
_logd Log Daemon
_lp Printing Services
_mailman Mailman List Server
_mbsetupuser Setup User
_mcxalr MCX AppLaunch
_mdnsresponder mDNSResponder
_mobileasset MobileAsset User
_mysql MySQL Server
_nearbyd Proximity and Ranging Daemon
_netbios NetBIOS
_netstatistics Network Statistics Daemon
_networkd Network Services
_nsurlsessiond NSURLSession Daemon
_nsurlstoraged _nsurlstoraged
_oahd OAH Daemon
_ondemand On Demand Resource Daemon
_postfix Postfix Mail Server
_postgres PostgreSQL Server
_qtss QuickTime Streaming Server
_reportmemoryexception ReportMemoryException
_rmd Remote Management Daemon
_sandbox Seatbelt
_screensaver Screensaver
_scsd Service Configuration Service
_securityagent SecurityAgent
_serialnumberd _serialnumberd
_softwareupdate Software Update Service
_spotlight Spotlight
_sshd sshd Privilege separation
_svn SVN Server
_taskgated Task Gate Daemon
_teamsserver TeamsServer
_timed Time Sync Daemon
_timezone AutoTimeZoneDaemon
_tokend Token Daemon
_trustd trustd
_trustevaluationagent Trust Evaluation Agent
_unknown Unknown User
_update_sharing Update Sharing
_usbmuxd iPhone OS Device Helper
_uucp Unix to Unix Copy Protocol
_warmd Warm Daemon
_webauthserver Web Auth Server
_windowserver WindowServer
_www World Wide Web Server
_wwwproxy WWW Proxy
_xcsbuildagent _xcsbuildagent
_xserverdocs macOS Server Documents Service
daemon System Services
friend Friend
nobody Unprivileged User
root System Administrator
wei Wei
(base) iMac:~ friend$ sudo profiles list
Password:
There are no configuration profiles installed in the system domain

没找到 administratorb 和 administratorj 这两个账户，也没有 profile

@deadtomb 你的远程管理是怎么设置的呢？

@ihwbunny 就只是这里勾选了 

那么肯定是 Friend 账户被被人获取了，改一个强密码，到 system.log 中查找 com.apple.remote 或者 screensharing，但是不要期望找到很详细的信息，只是能确认某段时间被 remote 访问过。
另外，以前忽略的是，那个名字是现实的远端机器的用户全名，所有本机上找不到。
当然，上面都不是黑客的思维方式，所以可能都是无功而返。

@ihwbunny bingo，我自己试了下确实是那个名字是远端机器的用户名。system.log 仍然是找不到当天事发时的记录，但找到了当天凌晨的很多条 com.apple.screensharing 。Friend 这个账户密码确实不强，主要因为这台老 imac 也没有其他解锁方式，所以密码也没有弄的很复杂不然自己本地用着太麻烦。我暂时先改个密码看看。这个密码也不至于能暴力破解吧。

@ihwbunny 大神如下这条消息是不是说明有人尝试远程连接？
Jun 18 23:27:57 iMac com.apple.xpc.launchd[1] (com.apple.screensharing[61390]): Endpoint has been activated through legacy launch(3) APIs. Please switch to XPC or bootstrap_check_in(): com.apple.screensharing.server
也就是刚刚电脑突然唤醒了，因为我虽然开了远程控制功能但把里面允许远程的用户都删除了，我怀疑是因为有人 尝试远程连接所以唤醒但因为我已经把允许远程的用户列表清空所以并没有登陆上去，是不是这样？

@deadtomb 很有可能是被用传统方式调用 kickstart 。至少保证 1 管理员账户安全，2 远程管理安全，3 SIP 等安全开启。要是不用 ARD，就完全关了吧。

@ihwbunny 调用 Kickstart 是什么原理呢，有没有什么防范方法？管理员账户我改了个密码，远程管理安全是指什么？ SiP 还是需要关掉的因为经常需要安装第三方来源的应用。ARD 我是想继续用的，只是因为还在寻找解决办法临时把允许远程的用户给删了。我的想法是想找到一种头痛医头的办法，就是不用彻底堵住漏洞，只要找到这次被入侵是用的什么方式然后针对性的堵住就行了，我理想的方式是找到他的 IP 然后加入黑名单。

SIP 只有在变动时关闭，改动完还可以打开的。
找到对方的 IP 没用，最好是开启 VPN，这样 ARD 也安全了

要是想找到“被入侵是用的什么方式”，现在没有留下太多的证据和记录，如何办呢。估计，你得做个陷阱，请君入瓮，才好办吧，具体怎么做，你得找个搞网络的帮你。

@ihwbunny 前面也有人提过 VPN 和内网穿透，VPN 主要问题是我没有其他设备可以架服务端，这台 imac 也没有条件保持 24hr 开机，内网穿透我也试了实在是太慢了几乎无法正常使用。

@deadtomb Mac 是可以远程唤醒和 PC 一样的啊，不用 24 小时开机，新机器硬件还支持 WiFi 唤醒呢。我公司的 VPN 不感觉太慢，不过我不是远程完游戏看视频做动画，所以要求不高。

@ihwbunny 是的 ARD 可以远程唤醒的，VPN 的拨入也可以唤醒电脑吗？大佬能不能推荐一个比较省资源的 VPN 服务器端我装上试试。VPN 还考虑一个因素是客户端还得配置脚本让只有远程桌面走 VPN 其他不走，要是用自己电脑没事但要是用别人电脑就还得折腾一阵。。。总之就是方便性降低了不少。我用的内网穿透是上面回帖中推荐的那种 zerotier，拖动鼠标都很费劲，基本没法用。

@ihwbunny 而且昨晚发了一件更加不能理解的事情，就是黑客又双叒进来了。。。这次是 administratorx 。。。我服了。。我已经把远程列表清空了，我自己试了都进不来，真的不知道他是怎么进来的

你是用这个 app 了吗？ https://edovia.com/en/screens-mac/

@deadtomb ARD 唤醒只能是睡眠唤醒. 我说的是 Wake-on-LAN 。只要是可以发送 WOL 的 Magic packets 就可以唤醒。VPN 要看你的路由器，openVPN 等太多了。
要是还被登录了，有可能是装了什么 app 吧，TeamView 之类的？