Не удается избавиться от вредоносного ПО Mac / Linux или аппаратной ошибки
1734
scissortail
Мой MacBook теперь имеет постоянную заднюю дверь для какого-то хакера, от которого я не могу избавиться. Я даже пытался загрузиться с USB-накопителя Linux, стирая все, включая раздел EFI, но каждый раз, когда я пытаюсь переустановить соединение, эта функция «SlingShot» перехватывается и перенаправляется на какой-нибудь сервер, на котором установлена инфицированная установка:
NetworkFinishOSRSHostInfoLookup: Resolved OSRS Hostname [osrecovery.apple.com] to 17.164.1.12, Port 80 GetStationAddressViaIpAgent: Client IP Address: 172.20.10.6 GetStationAddressViaIpAgent: Client Subnet Mask: 255.255.255.240 GetStationAddressViaIpAgent: Router IP Address: 172.20.10.1 GetStationAddressViaIpAgent: DnsServer 0 Address: 172.20.10.1 NetworkFinishOSRSHostInfoLookup: Resolved DNS Address on interface with address 172.20.10.6 NetworkFinishOSRSHostInfoLookup: Got 1 Network Interfaces. NetworkFinishOSRSHostInfoLookup: Handle 0 was used for successful DNS resolution of OSRS. SlingShot: Got OSRS Info: Hostname osrecovery.apple.com, Host IP 17.164.1.12, Port: 80 SlingShotSetupAuthParams: Got MLB SN 'XXXXXXXXXXXXXXX' NetworkResolveDomainName: Resolved IP Address for 'oscdn.apple.com': 23.62.239.26 DownloadChunkedAsset: Downloading 44 chunks. NetworkResolveDomainName: Resolved IP Address for 'oscdn.apple.com': 23.62.239.26 SlingShotUpdateProgressUI: Recent download rate 0 dropped below 5 KBps, starting download stall timer. SlingShotUpdateProgressUI: 30 sec avg 0 KBps, 541 KBps new total, last total 0 KBps, now 270 KBps SlingShotUpdateProgressUI: Recent download rate 5 is above minimum 5 KBps, cancelling download stall timer. SlingShotUpdateProgressUI: 30 sec avg 24 KBps, 748 KBps new total, last total 934 KBps, now 841 KBps SlingShotUpdateProgressUI: 30 sec avg 23 KBps, 385 KBps new total, last total 429 KBps, now 407 KBps SlingShotUpdateProgressUI: 30 sec avg 24 KBps, 269 KBps new total, last total 286 KBps, now 277 KBps SlingShotUpdateProgressUI: 30 sec avg 57 KBps, 499 KBps new total, last total 446 KBps, now 472 KBps SlingShotUpdateProgressUI: 30 sec avg 90 KBps, 645 KBps new total, last total 608 KBps, now 626 KBps
Загрузка с Recovery HD или даже с сетевого диска Apple Recovery все еще застревает в этом перенаправлении, и каждый раз устанавливается поврежденная система. Каким-то образом эта ошибка способна аутентифицироваться в моей системе даже после вайпа.
Кажется, что аппаратное обеспечение, хотя. Загрузка из Kali Linux на USB-накопителе Я получаю следующие записи в журнале загрузки, показывающие ошибку прошивки Mac:
[ 0.020231] [Firmware Bug]: ioapic 2 has no mapping iommu, interrupt remapping will be disabled [ 0.020291] Not enable interrupt remapping [ 0.020292] Failed to enable irq remapping. You are vulnerable to irq-injection attacks.
Вскоре после этого система будет охвачена сигналами прерывания из сети?
[ 0.174491] ACPI: Interpreter enabled [ 0.174496] ACPI Exception: AE_NOT_FOUND, While evaluating Sleep State [\_S1_] (20140926/hwxface-580) [ 0.174499] ACPI Exception: AE_NOT_FOUND, While evaluating Sleep State [\_S2_] (20140926/hwxface-580) [ 0.174509] ACPI: (supports S0 S3 S4 S5) [ 0.174510] ACPI: Using IOAPIC for interrupt routing [ 0.174530] PCI: Using host bridge windows from ACPI; if necessary, use "pci=nocrs" and report a bug [ 0.180547] ACPI: PCI Root Bridge [PCI0] (domain 0000 [bus 00-ff]) [ 0.180552] acpi PNP0A08:00: _OSC: OS assumes control of [PCIeHotplug SHPCHotplug AER PCIeCapability] [ 0.180903] acpi PNP0A08:00: [Firmware Info]: MMCONFIG for domain 0000 [bus 00-9a] only partially covers this bridge
Позже есть записи, показывающие функции uPnP, которые, похоже, маскируются под основные аудиофайлы, и я заметил, что то же самое происходит с PulseAudio на моем ноутбуке с Linux. И uPnP был отключен на моем маршрутизаторе на некоторое время.
Кроме того, все дистрибутивы Linux, которые я пытался загрузить и установить или установить с диска, также были подвержены этой уязвимости. Даже если я пойду в совершенно другую сеть. Так что ошибка на моем компьютере, но сохраняется через вайп. И каждый компьютер и маршрутизатор были очищены и переустановлены с нуля, но они все равно попадают во все, и я до сих пор не могу контролировать свои сетевые подключения.
Я уверен, что все это началось с моего iPhone и доступа через аутентификацию «Доверяй этому компьютеру», но я не подключал свой iPhone ни к одному из ноутбуков с тех пор, как это началось. И есть еще много деталей и забавных моментов, таких как сервер Apache, развернутый через 15 минут после очистки, мой USB-накопитель был удален, а концентратор отключен, когда я попытался скопировать файлы сервера в качестве доказательства, а AppleCare сказала мне, что они ничего не видят особенно ненормально об этом.
Но ... Предполагая, что это в основном в файлах конфигурации загрузки, как мне их очистить на Mac и Linux, чтобы убедиться, что они не продолжают реплицироваться? Или что я должен сделать, чтобы заблокировать вещи?
Что повреждено в системе, которая устанавливается после того, как вы выполните Internet Recovery? Что заставляет вас думать, что ошибка прошивки, о которой сообщает установщик Linux, является чем-то большим, чем просто ошибка микропрограммы ошибки программиста или отсутствующая функция? То есть, почему вы думаете, что это испорченная / взломанная / угнанная прошивка? И что в третьем фрагменте журнала, который вы разместили, заставляет вас думать, что вы получаете прерывания из сети?
Spiff 9 лет назад
0
2 ответа на вопрос
6
Spiff
I think you've worked yourself into a paranoid tizzy by taking the worst possible interpretation of a bunch of log messages you don't really understand.
I'm pretty sure SlingShot is Apple's internal name for what's publicly known as "OS X Internet Recovery". If your Mac's hard drive has been completely erased (not even the normally-hidden recovery partition exists), then your Mac will try to netboot off of an Apple server (possibly hosted on an Akamai/EdgeSuite CDN server; Apple's long used Akamai as their favorite CDN).
This article gives you some information on Internet Recovery (as well as local hard drive recovery partition recovery): https://support.apple.com/en-us/HT4718
I think the "Firmware Bug" the Linux installer is reporting is either just a bug, or an overzealous installer calling it a "bug" when the firmware just doesn't have a particular security feature the installer was hoping it would have. I don't see any evidence of this being a corrupted, hacked, or hijacked firmware image.
As for the last log snippet, please realize that motherboards often have "bridge chips" to connect one bus to another (like connecting two PCI busses to each other), and "interrupt routing" refers to the route from chip-to-chip that interrupt signals take across the motherboard. This "bridging" and "routing" is all about chips and busses and other electronics circuits on the motherboard, not LAN/Internet networking.
У меня есть более полные журналы, но они слишком длинные для включения. Как бы я опубликовать эти? Но я также могу сказать, что парень из Apple, с которым я говорил, не знал о сделке с сервером Akamai, и после того, как я впервые загрузил переустановку таким образом, я нашел файлы журналов, показывающие последующие загрузки файлов конфигурации Gatekeeper, файлов установки удаленного доступа и китайского языка. языковая поддержка. Это было все, пока я спал. Много других подобных вещей. И у меня есть журналы Wireshark, показывающие все виды ненормального поведения с IP-адресами, которые я не могу распознать, когда сижу здесь, ничего не делая.
scissortail 9 лет назад
0
Также, пожалуйста, поймите, что до двух недель назад я ничего не знал ни о Linux, ни о загрузочных процессах, ни о маршрутизации. За последние пару недель я пытался самостоятельно пройти все эти курсы и сделал все, что знаю, самостоятельно, чтобы устранить эту проблему в дополнение к работе с техподдержкой Apple. Я не могу объяснить, что не так, очень хорошо, потому что я не знаю, и я не знаю, какие из миллионов строк журналов актуальны ... Но я уделяю внимание журналам в течение многих лет. Определенно достаточно долго, чтобы знать, что есть много вещей, которые не являются нормальными.
scissortail 9 лет назад
0
Вы можете публиковать длинные тексты на gist.github.com или pastebin.com, а затем ссылаться на них в своем сообщении. Если вы столкнулись с ограничением количества ссылок, которые могут создавать новые пользователи, рассмотрите возможность ввода URL-адреса в виде текста, не делая его ссылкой. Файлы-привратники, удаленный доступ и файлы на китайском языке - все это имена в стандартной установке OS X. Современные ОС имеют множество фоновых процессов, которые взаимодействуют с множеством серверов и CDN, поэтому вы всегда будете видеть множество IP-адресов, которые вы не узнаете; не волнуйтесь о том, что вы выполнили поиск имени хоста на этих IP-адресах и убедились, что это не Apple или Akamai.
Spiff 9 лет назад
0
В целом, я думаю, вам следует просто сосредоточиться на том, что вы изначально пытались сделать (установить Linux, переустановить OS X, или какова бы ни была ваша цель), и написать отдельные Вопросы, если вам нужна помощь в этом. Ничто из того, чем вы поделились, пока не выглядит подозрительным. Отложив в журнал сообщения, которые вы не понимаете, что-то не так с вашей машиной? У вас есть какие-либо проблемы?
Spiff 9 лет назад
0
0
JohnnyVegas
It's either an integral part of the network you are on, or your router has been compromised and had it's DNS played with.