有人通过 screen sharing 登陆了我的电脑，但在 system.log 里面查不到登陆日志，有可能是什么原因呢？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 1322 天前的主题，其中的信息可能已经有所发展或是发生改变。

今晚本来已经躺上床了，电脑（ imac ）突然被唤醒了（本来是 sleep 了），之后切换到一个屏幕显示 screen locked by adminstratorb （但我电脑上并没有 administrtorb 这个用户），我解锁后发现顶端提示一个 IP 地址在远程控制我的电脑，并且感觉到他在操作我的鼠标。吓得我赶紧断网，之后在 system.log 里面查询发现并没有远程登陆记录（查找了 screensharingd 和 RemonteManagement 这两个关键字）。但我确信是看到电脑被人远程登陆并控制了。去哪里能查到这个记录呢？

log

Screen

电脑

登陆

40 条回复 • 2021-04-19 09:13:10 +08:00

revalue

2021-04-06 23:42:55 +08:00

你谁啊？

如果技术难度高，有人如果有这个能力，愿意花这个时间来登你的电脑吧，时间成本值不值。如果是普通人，概率相当于中一次百万大奖吧。否则那就剩下熟人所为了。

如果技术难度低，可能就是广撒网扫漏洞，全程都是脚本自动化的。扫到之后可以打 log 或者 report，但是那个人瞄一眼 log 要是对你的电脑有兴趣才会继续关注到你。

ferock

2021-04-06 23:45:23 +08:00 via iPhone

你应该先想想怎么关闭你的远程服务

deadtomb

2021-04-06 23:45:35 +08:00

@revalue 我确实看不懂您的回复。。

deadtomb

2021-04-06 23:46:07 +08:00

@ferock 我需要用它。所以我目前不打算关。

littlewing

2021-04-07 00:32:07 +08:00 via iPhone

楼主是开了远程连接并且暴露在公网？

IgniteWhite

2021-04-07 00:33:33 +08:00 via iPhone

没设置密码？

Tink

2021-04-07 00:42:09 +08:00 via Android

公网上暴露了？

BUCKS

2021-04-07 02:18:28 +08:00

@deadtomb 一楼这口气像红卫兵

deadtomb

2021-04-07 03:57:43 +08:00

是的，公网暴露了，端口被扫到倒不奇怪，但我有密码的，并且我电脑上没有 administratorb 这个用户，所以感觉很奇怪，想排查一下原因。
@littlewing
@IgniteWhite
@Tink

deadtomb

2021-04-07 04:00:16 +08:00

@BUCKS 我是真没看懂他的回复。。。我只是在提问怎么查看远程登陆的 log 。。

guoqiyi

2021-04-07 04:14:34 +08:00

@BUCKS 一上来就扣帽子，你也是

IgniteWhite

2021-04-07 05:06:46 +08:00

@deadtomb 问题不大，我也暴露公网，目前没遇到被扫到…不过我是偶尔 frp 转发，不会一直开着

domodomo

2021-04-07 05:26:49 +08:00

没查到应该是黑客抹掉了记录吧，基本操作而已
你这是被人扫到端口，不知道利用了什么漏洞或者是破解了你的密码要不就是你中了木马，新建了一个 adminstratorb 用户，估计是管理员账户，然后抹掉了自己的登陆 ip 地址记录
直接暴露在公网很危险的，如果是简单密码并不能有效的保护你，感觉暴力破解就行了，系统升到最新，换个复杂一点的密码，都暴露公网了防火墙是一定要的，防火墙限制一下连入 ip 段可以减少很多攻击。

ferock

2021-04-07 06:16:23 +08:00 via iPhone

@deadtomb #4

那你至少应该加一层 vpn 啊

deadtomb

2021-04-07 10:17:17 +08:00 via iPhone

@IgniteWhite 我这个就是家里的电脑。。估计实现不了 frp 。。frp 要在公网 ip 电脑上装服务吧，我这个就是个电信的光猫。。

revalue

2021-04-07 10:52:49 +08:00 via Android

@deadtomb 如果你是普通人，排除熟人作案后，大可不必担心。

打补丁，关远程，虽然这些治标不治本，但是完全足够

xieshaohu

2021-04-07 11:57:16 +08:00

把系统设置里的“共享”，“屏幕共享”取消勾选

deadtomb

2021-04-07 15:49:06 +08:00 via iPhone

@domodomo 谢谢回复。以前比较大意总觉得 macos 没有漏洞也不会中毒哈哈。他除了抹掉了登陆记录那个 administratorb 账户也不见了。那这么说他其实并没有破解我的密码对吧？只是利用 whatever 方法新建一个管理账户。限 ip 我主要也不确定自己从哪登陆（我是希望自己能从任何地方登陆。。），所以没法建一个白名单，我也不知道 hacker 从哪登陆也没法建黑名单。。。感觉似乎无解啊。。。

deadtomb

2021-04-07 15:50:52 +08:00 via iPhone

@ferock 谢谢哈。我想请教下（我是技术小白）像我这台 imac 是躲在两层路由之后的，可以加 vpn 吗

deadtomb

2021-04-07 15:58:41 +08:00

@revalue
@xieshaohu
我是不能更普通的普通人哈。也没有人知道我的密码。所以人家应该就是扫描扫到的。但我需要使用远程，所以不能关闭，所以发帖是想请教大家看看别人是通过什么方式登陆我的电脑的，从而再想想怎么减少风险（我本来疑惑是一是我电脑有密码，二是电脑上也没有 administratorb 这个账户，前面有朋友回复说可能是中了木马新建了一个账户并抹掉了记录，我再顺路请教下有什么 macos 下的查杀木马工具）

deadtomb

2021-04-07 16:20:26 +08:00

大神们，是不是这个远程登陆 log 不在 system.log 里面？我刚刚自己用另外一台电脑登陆了几次，之后去 system.log 里找也没找到登陆日志。所以究竟在哪里查看被远程登陆的记录啊？

ferock

2021-04-07 16:48:36 +08:00

@deadtomb #15

那别人怎么进来的？所以你是不是要考虑一下你的 icloud 账号是不是泄漏了

q1angch0u

2021-04-07 19:08:29 +08:00

emmmmm 基于 macOS 是 unix……盲猜 last 会有登陆记录

deadtomb

2021-04-07 20:46:39 +08:00

@ferock 我确实是搞不清楚别人是怎么进来的，所以发帖在咨询啊。。。icloud 应该没关系吧，通过 icloud 账户能远程登陆电脑吗？

deadtomb

2021-04-07 20:47:45 +08:00

@q1angch0u
试了下 last 会显示最近一条，last -100 仍然也只显示最近一条。。。。这是怎么回事。。。这个是不是只能显示目前仍然在登陆状态的登陆记录啊？

ferock

2021-04-07 21:33:42 +08:00

@deadtomb #24

可以

deadtomb

2021-04-07 22:03:23 +08:00

@ferock 真的吗太好了怎么实现呢？我一直苦恼需要用 ddns，如果能用 icloud 账号远程的话我都不需要 ddns 了

ferock

2021-04-07 22:05:11 +08:00 via iPhone

@deadtomb #27

看 apple 官网说明

deadtomb

2021-04-08 10:46:39 +08:00

@ferock https://support.apple.com/guide/mac-help/share-the-screen-of-another-mac-mh14066/11.0/mac/11.0
找到这个文章，里面说在 finder 中的 network 连接另一台电脑后有 screen sharing 图标但是我找了半天都没找到 screen sharing 图标在哪。。。。

deadtomb

2021-04-08 10:49:06 +08:00

另外我感觉对方是用的 remote management 协议而不是 screen sharing，因为他使用了 curtain 模式（屏幕上显示了一把锁我看不到他在操作电脑）

Chihaya0824

2021-04-09 09:13:51 +08:00

@deadtomb 你直接 spotlight 搜索 screen sharing 就有了

deadtomb

2021-04-09 21:29:00 +08:00

@Chihaya0824 我搜到的是 screen sharing 这个应用（当然还有这个帖子的浏览记录），但 screen sharing 这个应用是客户端吧，打开也没有什么地方可以查本机被登陆的记录

Chihaya0824

2021-04-11 20:12:26 +08:00

@deadtomb Try this
log show --last 3d --predicate 'processImagePath CONTAINS "screensharingd" AND eventMessage CONTAINS "Authentication"'

deadtomb

2021-04-13 23:01:38 +08:00

@Chihaya0824 我得到了这样的提示：log: Could not open local log store: The log archive is corrupt or incomplete and cannot be read
加了 sudo 也没用，奇怪了。我去到 /var/logs 目录下发现有 4 个文件分别是 keybagd.log.0 keybagd.log.1 keybagd.log.2 keybagd.log.3 我手动打开找了 screensharingd 这个关键字也没找到。我按日期找了当时那个时间前后的 log，发现 7 号晚上 11 点多这段时间没有 log 。（ 7 号的最后一条只到 10 点的样子，然后就是 8 号的 Log 了）

Chihaya0824

2021-04-14 08:53:34 +08:00

@deadtomb 是不是他连上来第一件事情就是删了 log，论黑客的自我修养（ doge

deadtomb

2021-04-14 11:45:18 +08:00

@Chihaya0824 是啊楼上也有人说可能他删了 log 。。。由于没有记录，我也不知道他是怎么登陆进来的，所以也没有找到方法提高安全性，所以。。。如果他想再进来我感觉就随时可以来。。。只是上次刚好被我看到了而已。。。

deadtomb

2021-04-14 12:43:19 +08:00

@ferock 我试出原因了，如果另一台电脑跟目前这台在同一个网络内会有 screen sharing 的图标，如果没在一个网络内可以连上但没有 screen sharing

Chihaya0824

2021-04-14 14:39:33 +08:00

@deadtomb 虽然可能有点跑题，但是我你可以先怀疑一下内网设备。我有一次发现夏普的电视更新了安卓系统以后，每天会定时在晚上 6 点开始对我内网对各种开了 samba 服务的机器进行 ssh 暴力破解，还好我服务器报警了有人在暴力破解，然后我就的把那个电视的联网能力直接取消了

deadtomb

2021-04-18 23:33:20 +08:00

@Chihaya0824 这么吓人吗是电视上的安卓中了病毒？应该不是原生设备所为吧？我内网设备都比较弱鸡应该没这个能力，另外当时我看到他的 IP 开头是 183 开头的应该是外网的人吧（当时被控制时屏幕顶部有个提示显示了对方的 IP ）

Chihaya0824

2021-04-19 09:13:10 +08:00

@deadtomb 183 看起来是外网的 ip