Vous avez probablement tiré une conclusion erronée : votre Mac a été piraté.

La cause la plus probable des changements de nom d'hôte "non désirés" ou "surprenants" est que votre serveur DHCP a donné un nouveau nom d'hôte à votre ordinateur. Le serveur DHCP peut être un routeur/modem dans votre propre maison, un système chez votre fournisseur d'accès à Internet ou même du matériel à n'importe quel endroit où vous vous êtes connecté à un réseau WiFi (comme un café, une école ou autre).

Supprimer les droits sudo du vôtre ne résoudra pas ce problème, car le client DHCP de votre Mac sera toujours en mesure de modifier votre nom d'hôte.

Il n'y a aucune preuve que vous avez été piraté.

Les quatre utilisateurs que vous avez listés n'ont pas d'accès "Root" en soi et sont tous des comptes valides :

• daemon - un utilisateur pour gérer les processus d'arrière-plan qui ne sont pas liés à un utilisateur spécifique, l'utilisateur daemon se voit attribuer ces processus. C'est ainsi que votre Mac peut être allumé, que personne ne s'est connecté et que les processus continuent de fonctionner.

• nobody - il s'agit d'un autre utilisateur qui se voit attribuer des processus (comme le httpd ) et a très un accès limité au système. Même si quelqu'un devait le pirater, son exposition serait limitée.

• jen - Je suppose que c'est vous (le nom d'utilisateur SE est "jennifer ruurs"). Si vous êtes un utilisateur administrateur, vous avez sudo qui vous donne un accès privilégié

• root - c'est le compte Root. Ce compte besoins Accès Root, notamment si vous démarrez en mode utilisateur unique pour des diagnostics ou des réparations.

La commande que vous avez mentionnée ne fait que temporairement modifie le nom d'hôte de votre ordinateur.

sudo hostname 192

Cela ne se produit que si, et seulement si, l'utilisateur/le groupe sous lequel il s'est connecté se trouve dans la liste des utilisateurs. /etc/sudoers et ils avaient soit le mot de passe, soit /etc/sudoers est configuré pour une authentification sans mot de passe (très peu sûr et pas le paramètre par défaut de MacOS).

Tous les utilisateurs ci-dessus, à l'exception de jen , ne peut pas (par défaut) accéder à votre ordinateur à distance. Donc, si vous êtes convaincu d'avoir été "piraté", vous devez soit trouver l'adresse de l'auteur de l'attaque, soit l'identifier. utilisateur compte qui leur donne accès ou s'il s'agit de votre compte, atténuez votre risque, changez votre mot de passe.

Pour répondre directement à la question du titre :

Vous ne pouvez pas.

Tout effacer, réinstaller MacOS et restaurer les fichiers depuis la sauvegarde ( pas de la machine infectée).

Pour être complet, il convient de mentionner qu'il existe des attaques qui, par exemple, infectent le micrologiciel des dispositifs de stockage, nécessitant la destruction de l'ensemble du matériel pour garantir une sécurité à 100 %. À moins que vous n'ayez des raisons de croire que vous êtes personnellement visé par un gouvernement, ce n'est pas une préoccupation réaliste. En revanche, infecter une partie des données effectivement stockées sur le disque est beaucoup plus facile et constitue une menace très réaliste. Même si vous avez simplement été victime d'une attaque automatisée et non ciblée, tout effacer est une précaution nécessaire.

Pourquoi ?

Si un attaquant dispose d'un accès Root, il peut, entre autres choses, remplacer tout binaire avec leur propre version qui peut faire ce qu'ils veulent, ce qui signifie que vous ne pouvez pas vous fier à tout ce qui est sur votre système. Littéralement n'importe quoi vous essayez de faire pourrait finir par faire quelque chose complètement différent . Si le hacker le voulait, il pourrait faire cat renvoie une version falsifiée des fichiers pour, par exemple, masquer les entrées du journal indiquant une activité indésirable ; ls pourrait ne pas afficher les fichiers ajoutés par le pirate ; n'importe quel éditeur de texte pourrait prétendre sauvegarder ce que vous écrivez mais en fait ignorer silencieusement vos modifications, etc. etc.

Je ne peux pas au moins garder mes dossiers ? J'ai des choses qui ont été sauvegardées il y a un certain temps ou qui ne sont pas sauvegardées du tout.

La raison pour laquelle vous ne voulez pas copier vos fichiers est qu'il existe de nombreux types de fichiers non exécutables qui peuvent exploiter une vulnérabilité ou une autre et réinfecter votre système. Les archives compressées de différents types et les PDF sont des supports courants, mais ils ne représentent pas le seul danger. Vous êtes probablement copier en toute sécurité un fichier texte en clair, non exécutable (n'oubliez pas de ne pas utiliser le système d'exploitation compromis pour le faire), mais n'oubliez pas que l'agresseur aurait pu modifier absolument tout ce qu'il voulait, alors traitez tout comme vous traiteriez un fichier aléatoire téléchargé accidentellement sur un site Web louche.

De façon plus réaliste...

Vous devez également penser à pourquoi le hacker ferait quelque chose comme ça. Remplacement de cat y ls avec des versions malveillantes est tout à fait possible, mais rendre le résultat suffisamment sophistiqué pour vous faire croire que tout va bien est beaucoup plus complexe. Si le pirate voulait simplement vous espionner, il installerait un enregistreur de frappe et laisserait tout le reste tranquille. S'il voulait utiliser votre machine dans un botnet, il installerait le logiciel nécessaire et laisserait tout le reste tranquille. S'il voulait votre de l'argent en particulier, ils auraient installé un ransomware, et vous le sauriez déjà.

Aucun des cas ci-dessus n'implique l'édition de votre historique bash, ou la modification du nom d'hôte de votre machine. Un keylogger ou un rootkit similaire peut être rendu virtuellement indétectable. Donc, alors qu'un attaquant root peut ne font rien, ce qui signifie généralement que vous ne pourrez jamais deviner qu'ils sont là, sauf en observant, par exemple, que votre charge est plus élevée que d'habitude lorsque votre machine compromise a participé à un botnet. Ou si cela ne les dérange pas que vous sachiez qu'ils sont là, il est beaucoup, beaucoup plus facile de verrouiller un utilisateur (par exemple en changeant le mot de passe du compte) que de s'occuper de l'historique bash. (Ou, encore une fois, un ransomware).

Alors, que s'est-il passé ici et que devez-vous faire ?

Les autres réponses décrivent déjà ce que je considère personnellement comme le scénario le plus probable : quelques hasards, comme le serveur DHCP qui change votre nom d'hôte. Dans ce cas, vous n'êtes pas compromis et tout va bien. L'alternative est que quelqu'un s'est introduit manuellement dans votre machine, et qu'il essaie soit maladroitement de le cacher, soit de vous embêter intentionnellement. Il peut s'agir d'un membre de votre famille, d'un collègue de travail ou d'une autre connaissance ; il a peut-être subtilisé votre mot de passe. Si que l'affaire et si vous êtes certain qu'ils n'ont pas installé de rootkits ou de keyloggers entre-temps, le simple fait de changer les mots de passe concernés (Root et ceux de vos utilisateurs) devrait suffire. Mais vous ne pouvez pas vraiment savoir ce qu'ils ont fait ou n'ont pas fait, et une fois que vous avez déjà l'accès Root, il est tout à fait trivial d'installer un paquet de malware prêt à l'emploi - donc si vous pensez vraiment que quelqu'un a obtenu un accès Root non autorisé, alors, comme expliqué ci-dessus, effacez tout.