9 votes

Le terminal Mac s'est ouvert avec le texte "man James". Ai-je été piraté ?

J'ai trouvé une fenêtre de terminal ouverte avec le texte ci-dessous.

J'ai couru /bin/bash -x et il semble que l'on ait accédé à VMware et aux outils GPG.

Il a également ajouté quelque chose de suspect à mes éléments de connexion... ai-je été piraté ? ! Et qui est "James" ?

enter image description here

enter image description here

Voici le résultat de bash -x . Je ne vois pas comment j'aurais pu faire ça accidentellement :

Last login: Fri Dec 24 13:49:08 on ttys000
+ '[' -x /usr/libexec/path_helper ']'
++ /usr/libexec/path_helper -s
+ eval 'PATH="/usr/local/bin:/usr/bin:/bin:/usr/sbin:/sbin:/Applications/VMware' 'Fusion.app/Contents/Public:/usr/local/MacGPG2/bin";' export 'PATH;'
++ PATH='/usr/local/bin:/usr/bin:/bin:/usr/sbin:/sbin:/Applications/VMware Fusion.app/Contents/Public:/usr/local/MacGPG2/bin'
++ export PATH
+ '[' /bin/bash '!=' no ']'
+ '[' -r /etc/bashrc ']'
+ . /etc/bashrc
++ '[' -z '\s-\v\$ ' ']'
++ PS1='\h:\W \u\$ '
++ shopt -s checkwinsize
++ '[' -r /etc/bashrc_Apple_Terminal ']'
++ . /etc/bashrc_Apple_Terminal
+++ '[' -z '' ']'
+++ PROMPT_COMMAND=update_terminal_cwd
+++ '[' 0 -eq 0 ']'
+++ '[' -n B3526B6E-3B69-45CD-8A59-121709AEFBEA ']'
+++ '[' '!' -e /Users/USER/.bash_sessions_disable ']'
+++ SHELL_SESSION_DID_INIT=1
+++ SHELL_SESSION_DIR=/Users/USER/.bash_sessions
+++ SHELL_SESSION_FILE=/Users/USER/.bash_sessions/B3526B6E-3B69-45CD-8A59-121709AEFBEA.session
+++ mkdir -m 700 -p /Users/USER/.bash_sessions
+++ '[' -r /Users/USER/.bash_sessions/B3526B6E-3B69-45CD-8A59-121709AEFBEA.session ']'
+++ '[' 1 -eq 1 ']'
+++ SHELL_SESSION_HISTFILE=/Users/USER/.bash_sessions/B3526B6E-3B69-45CD-8A59-121709AEFBEA.history
+++ SHELL_SESSION_HISTFILE_NEW=/Users/USER/.bash_sessions/B3526B6E-3B69-45CD-8A59-121709AEFBEA.historynew
+++ SHELL_SESSION_HISTFILE_SHARED=/Users/USER/.bash_history
+++ '[' -s /Users/USER/.bash_sessions/B3526B6E-3B69-45CD-8A59-121709AEFBEA.history ']'
+++ PROMPT_COMMAND='shell_session_history_check; update_terminal_cwd'
+++ SHELL_SESSION_TIMESTAMP_FILE=/Users/USER/.bash_sessions/_expiration_check_timestamp
+++ trap shell_session_update EXIT

The default interactive shell is now zsh.
To update your account to use zsh, please run `chsh -s /bin/zsh`.
For more details, please visit https://support.apple.com/kb/HT208050.
++ shell_session_history_check
++ '[' 0 -eq 0 ']'
++ SHELL_SESSION_DID_HISTORY_CHECK=1
++ shell_session_history_allowed
++ '[' -n /Users/USER/.bash_history ']'
++ local allowed=0
++ shopt -q histappend
++ '[' -n '' ']'
++ allowed=1
++ '[' 1 -eq 1 ']'
++ return 0
++ shell_session_history_enable
++ umask 077
++ /usr/bin/touch /Users/USER/.bash_sessions/B3526B6E-3B69-45CD-8A59-121709AEFBEA.historynew
++ HISTFILE=/Users/USER/.bash_sessions/B3526B6E-3B69-45CD-8A59-121709AEFBEA.historynew
++ SHELL_SESSION_HISTORY=1
++ '[' 'shell_session_history_check; update_terminal_cwd' = shell_session_history_check ']'
++ [[ shell_session_history_check; update_terminal_cwd =~ (.*)(; *shell_session_history_check *| *shell_session_history_check *; *)(.*) ]]
++ PROMPT_COMMAND=update_terminal_cwd
++ update_terminal_cwd
++ local url_path=
++ local i ch hexch LC_CTYPE=C LC_COLLATE=C LC_ALL= LANG=
++ (( i = 0 ))
++ (( i < 19 ))
++ ch=/
++ [[ / =~ [/._~A-Za-z0-9-] ]]
++ url_path+=/
++ (( ++i ))
++ (( i < 19 ))
++ ch=U
++ [[ U =~ [/._~A-Za-z0-9-] ]]
++ url_path+=U
++ (( ++i ))
++ (( i < 19 ))
++ ch=s
++ [[ s =~ [/._~A-Za-z0-9-] ]]
++ url_path+=s
++ (( ++i ))
++ (( i < 19 ))
++ ch=e
++ [[ e =~ [/._~A-Za-z0-9-] ]]
++ url_path+=e
++ (( ++i ))
++ (( i < 19 ))
++ ch=r
++ [[ r =~ [/._~A-Za-z0-9-] ]]
++ url_path+=r
++ (( ++i ))
++ (( i < 19 ))
++ ch=s
++ [[ s =~ [/._~A-Za-z0-9-] ]]
++ url_path+=s
++ (( ++i ))
++ (( i < 19 ))
++ ch=/
++ [[ / =~ [/._~A-Za-z0-9-] ]]
++ url_path+=/
++ (( ++i ))
++ (( i < 19 ))
++ ch=t
++ [[ t =~ [/._~A-Za-z0-9-] ]]
++ url_path+=t
++ (( ++i ))
++ (( i < 19 ))
++ ch=r
++ [[ r =~ [/._~A-Za-z0-9-] ]]
++ url_path+=r
++ (( ++i ))
++ (( i < 19 ))
++ ch=a
++ [[ a =~ [/._~A-Za-z0-9-] ]]
++ url_path+=a
++ (( ++i ))
++ (( i < 19 ))
++ ch=v
++ [[ v =~ [/._~A-Za-z0-9-] ]]
++ url_path+=v
++ (( ++i ))
++ (( i < 19 ))
++ ch=i
++ [[ i =~ [/._~A-Za-z0-9-] ]]
++ url_path+=i
++ (( ++i ))
++ (( i < 19 ))
++ ch=s
++ [[ s =~ [/._~A-Za-z0-9-] ]]
++ url_path+=s
++ (( ++i ))
++ (( i < 19 ))
++ ch=d
++ [[ d =~ [/._~A-Za-z0-9-] ]]
++ url_path+=d
++ (( ++i ))
++ (( i < 19 ))
++ ch=a
++ [[ a =~ [/._~A-Za-z0-9-] ]]
++ url_path+=a
++ (( ++i ))
++ (( i < 19 ))
++ ch=r
++ [[ r =~ [/._~A-Za-z0-9-] ]]
++ url_path+=r
++ (( ++i ))
++ (( i < 19 ))
++ ch=g
++ [[ g =~ [/._~A-Za-z0-9-] ]]
++ url_path+=g
++ (( ++i ))
++ (( i < 19 ))
++ ch=i
++ [[ i =~ [/._~A-Za-z0-9-] ]]
++ url_path+=i
++ (( ++i ))
++ (( i < 19 ))
++ ch=e
++ [[ e =~ [/._~A-Za-z0-9-] ]]
++ url_path+=e
++ (( ++i ))
++ (( i < 19 ))
++ printf '\e]7;%s\a' file://USER-MacBook-Pro.local/Users/USER
USER-MacBook-Pro:~ USER$

27voto

200_success Points 923

Peut-être que vous avez été piraté, peut-être que vous ne l'avez pas été. Mais le fait que vous ayez obtenu l'ouverture d'une fenêtre "man James" est un mauvais indicateur d'un piratage, et il est bien plus probable que vous ayez accidentellement déclenché l'ouverture de cette fenêtre vous-même.

Voici comment ça a pu être déclenché :

  • Double-cliquez sur le mot "James" pour le sélectionner dans une application - par exemple, sur cette page dans votre navigateur web.
  • Hit - - M sur votre clavier, ce qui déclenche le service "Open man page in Terminal".

L'indicateur révélateur du déclenchement du service "Open man page in Terminal" est le fait que la fenêtre s'est ouverte sur un fond jaune. Si un attaquant avait ouvert cette fenêtre d'une autre manière, il ne se serait probablement pas donné la peine de la rendre jaune.

De plus, l'existence d'un raccourci clavier dans la configuration par défaut de MacOS suggère que vous l'avez peut-être déclenché vous-même par accident. Pour voir où ce raccourci clavier est défini, allez dans "Services des raccourcis clavier des préférences système".


Quant à la bash -x La sortie, tout cela me semble très inoffensif. Ce sont simplement les commandes qui sont exécutées automatiquement chaque fois que vous lancez un shell, généralement de manière silencieuse, pour composer l'invite dynamique du shell. Voir /etc/bashrc sur une installation de toute version récente de MacOS.

20voto

grg Points 181593

Je doute man James a été exécuté directement, c'est-à-dire par quelqu'un qui l'aurait tapé dans le Terminal. La fenêtre dans votre capture d'écran montre le thème par défaut pour la sortie des pages de manuel.

Il existe un service de texte par défaut fourni par le terminal qui ouvre une page de manuel pour le texte sélectionné. Je pense que le texte 'James' a été cliqué avec le bouton droit de la souris et le service sélectionné, ou sélectionné et le raccourci clavier pressé.

7voto

nohillside Points 82672

Tout ce que nous pouvons dire, c'est que quelque chose ou quelqu'un sur votre Mac a utilisé Terminal pour lancer man James .

  • en cours d'exécution bash -x après n'aide pas, vous pouvez regarder l'historique de bash cependant
  • La sortie du Terminal dans la deuxième capture d'écran montre comment PATH est défini (en supposant que vous avez installé VMware et GPG)
  • Toolbox Tool Launcher semble être une entrée pour une application qui n'est plus installée (cliquez sur le signe jaune pour plus de détails).

De plus, le code que vous affichez comme exécuté est le code habituel qui est exécuté lors du démarrage de bash ou zsh, cf. /etc/profile , /etc/bashrc y /etc/bashrc_Apple_Terminal .

6voto

Giacomo1968 Points 5021

Vous n'avez pas été piraté.

Un raccourci clavier a été accidentellement déclenché.

Ceci est mentionné dans La réponse de 200_success mais je publie ma propre réponse pour ajouter des détails et des références plus spécifiques.

Il existe un raccourci clavier par défaut/intégré appelé : "Ouvrir la page de l'homme dans le terminal" qui est déclenché par la mise en évidence du texte et la frappe de cette combinaison de touches : (Shift) + (Command) + M

Keyboard shortcuts.

Je viens de le faire en mettant en surbrillance le nom du lecteur principal de mon système - "Primary" - et voici le résultat :

The output of “Shift+Command+M” when highlighting text.

Quelques éléments à noter à propos de cette capture d'écran du terminal :

  • Le jaune n'est pas la couleur par défaut du terminal, qui est généralement un fond blanc de base avec du texte noir.
  • La barre de titre contient le texte, man Primary qui reflète que la commande est exécutée via un script. Ouvrez une fenêtre de Terminal et le texte par défaut est en gros [username] — -bash —80x24 et même si vous avez couru man Primary par vous-même, le titre ne changerait pas.

De même, la sortie de l bash -x montre simplement les commandes de démarrage qui sont exécutées lors d'une session de terminal - ou d'une session de connexion SSH à votre machine - lorsque vous ouvrez une fenêtre de terminal. Lorsque vous exécutez bash -x il ouvre le Bash en mode traçage comme expliqué ici :

"Imprime une trace des commandes simples, des commandes for, des commandes case, des commandes select, et des commandes arithmétiques for et de leurs arguments ou des listes de mots associées après leur expansion et avant leur exécution. La valeur de la variable PS4 est développée et la valeur résultante est imprimée avant la commande et ses arguments développés."

Ce qui signifie essentiellement qu'il lance une session Bash en mode verbeux qui vous montre exactement ce que fait Bash au démarrage. Par exemple, voici ce que le bash -x ressemble à la sortie sur ma machine :

+ export PATH=/usr/local/bin:/usr/local/sbin:/usr/local/bin:/usr/bin:/bin:/usr/sbin:/sbin
+ PATH=/usr/local/bin:/usr/local/sbin:/usr/local/bin:/usr/bin:/bin:/usr/sbin:/sbin
+ export PATH=/usr/local/bin:/usr/local/sbin:/usr/local/bin:/usr/bin:/bin:/usr/sbin:/sbin
+ PATH=/usr/local/bin:/usr/local/sbin:/usr/local/bin:/usr/bin:/bin:/usr/sbin:/sbin

Ma configuration de Bash est assez simple, mais si vous deviez regarder dans la section .bash_history , .bash_profile y .bashrc dans votre terminal, vous verrez des éléments qui sont en quelque sorte l'équivalent de votre sortie.

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

X