2

Мой MacBook теперь имеет постоянную заднюю дверь для какого-то хакера, от которого я не могу избавиться. Я даже пытался загрузиться с USB-накопителя Linux, стирая все, включая раздел EFI, но каждый раз, когда я пытаюсь переустановить соединение, эта функция "SlingShot" перехватывается и перенаправляется на какой-нибудь сервер, на котором установлена инфицированная установка:

NetworkFinishOSRSHostInfoLookup: Resolved OSRS Hostname [osrecovery.apple.com] to 17.164.1.12, Port 80
GetStationAddressViaIpAgent: Client IP Address: 172.20.10.6
GetStationAddressViaIpAgent: Client Subnet Mask: 255.255.255.240
GetStationAddressViaIpAgent: Router IP Address: 172.20.10.1
GetStationAddressViaIpAgent: DnsServer 0 Address: 172.20.10.1
NetworkFinishOSRSHostInfoLookup: Resolved DNS Address on interface with address 172.20.10.6
NetworkFinishOSRSHostInfoLookup: Got 1 Network Interfaces.
NetworkFinishOSRSHostInfoLookup: Handle 0 was used for successful DNS resolution of OSRS.
SlingShot: Got OSRS Info: Hostname osrecovery.apple.com, Host IP 17.164.1.12, Port: 80
SlingShotSetupAuthParams: Got MLB SN 'XXXXXXXXXXXXXXX'
NetworkResolveDomainName: Resolved IP Address for 'oscdn.apple.com': 23.62.239.26
DownloadChunkedAsset: Downloading 44 chunks.
NetworkResolveDomainName: Resolved IP Address for 'oscdn.apple.com': 23.62.239.26
SlingShotUpdateProgressUI: Recent download rate 0 dropped below 5 KBps, starting download stall timer.
SlingShotUpdateProgressUI: 30 sec avg 0 KBps, 541 KBps new total, last total 0 KBps, now 270 KBps
SlingShotUpdateProgressUI: Recent download rate 5 is above minimum 5 KBps, cancelling download stall timer.
SlingShotUpdateProgressUI: 30 sec avg 24 KBps, 748 KBps new total, last total 934 KBps, now 841 KBps
SlingShotUpdateProgressUI: 30 sec avg 23 KBps, 385 KBps new total, last total 429 KBps, now 407 KBps
SlingShotUpdateProgressUI: 30 sec avg 24 KBps, 269 KBps new total, last total 286 KBps, now 277 KBps
SlingShotUpdateProgressUI: 30 sec avg 57 KBps, 499 KBps new total, last total 446 KBps, now 472 KBps
SlingShotUpdateProgressUI: 30 sec avg 90 KBps, 645 KBps new total, last total 608 KBps, now 626 KBps

Загрузка с Recovery HD или даже с сетевого диска Apple Recovery все еще застревает в этом перенаправлении, и каждый раз устанавливается поврежденная система. Каким-то образом эта ошибка способна аутентифицироваться в моей системе даже после вайпа.

Кажется, что аппаратное обеспечение, хотя. Загрузка из Kali Linux на USB-накопителе Я получаю следующие записи в журнале загрузки, показывающие ошибку прошивки Mac:

[    0.020231] [Firmware Bug]: ioapic 2 has no mapping iommu, interrupt remapping will be disabled
[    0.020291] Not enable interrupt remapping
[    0.020292] Failed to enable irq remapping.  You are vulnerable to irq-injection attacks.

Вскоре после этого система будет охвачена сигналами прерывания из сети?

[    0.174491] ACPI: Interpreter enabled
[    0.174496] ACPI Exception: AE_NOT_FOUND, While evaluating Sleep State [\_S1_] (20140926/hwxface-580)
[    0.174499] ACPI Exception: AE_NOT_FOUND, While evaluating Sleep State [\_S2_] (20140926/hwxface-580)
[    0.174509] ACPI: (supports S0 S3 S4 S5)
[    0.174510] ACPI: Using IOAPIC for interrupt routing
[    0.174530] PCI: Using host bridge windows from ACPI; if necessary, use "pci=nocrs" and report a bug
[    0.180547] ACPI: PCI Root Bridge [PCI0] (domain 0000 [bus 00-ff])
[    0.180552] acpi PNP0A08:00: _OSC: OS assumes control of [PCIeHotplug SHPCHotplug AER PCIeCapability]
[    0.180903] acpi PNP0A08:00: [Firmware Info]: MMCONFIG for domain 0000 [bus 00-9a] only partially covers this bridge

Позже есть записи, показывающие функции uPnP, которые, похоже, маскируются под основные аудиофайлы, и я заметил, что то же самое происходит с PulseAudio на моем ноутбуке с Linux. И uPnP был отключен на моем маршрутизаторе на некоторое время.

Кроме того, все дистрибутивы Linux, которые я пытался загрузить и установить или установить с диска, также были подвержены этой уязвимости. Даже если я пойду в совершенно другую сеть. Так что ошибка на моем компьютере, но сохраняется через вайп. И каждый компьютер и маршрутизатор были очищены и переустановлены с нуля, но они все равно попадают во все, и я до сих пор не могу контролировать свои сетевые подключения.

Я уверен, что все это началось с моего iPhone и доступа через аутентификацию "Доверяй этому компьютеру", но я не подключал свой iPhone ни к одному из ноутбуков с тех пор, как это началось. И есть еще много деталей и забавных моментов, таких как сервер Apache, развернутый через 15 минут после очистки, мой USB-накопитель был удален, а концентратор отключен, когда я попытался скопировать файлы сервера в качестве доказательства, а AppleCare сказала мне, что они ничего не видят особенно ненормально об этом.

Но... Предполагая, что это в основном в файлах конфигурации загрузки, как мне их очистить на Mac и Linux, чтобы убедиться, что они не продолжают реплицироваться? Или что я должен сделать, чтобы заблокировать вещи?

2 ответа2

6

Я думаю, что вы довели себя до параноидального головокружения, взяв наихудшую из возможных интерпретаций кучу сообщений журнала, которые вы на самом деле не понимаете.

Я почти уверен, что SlingShot - это внутреннее название Apple для того, что известно как "OS X Internet Recovery". Если жесткий диск вашего Mac был полностью удален (даже не существует обычно скрытого раздела восстановления), то ваш Mac попытается выполнить загрузку по сети с сервера Apple (возможно, размещенного на сервере CDN Akamai/EdgeSuite; Apple долгое время использовал Akamai в качестве своего любимый CDN).

В этой статье содержится некоторая информация о восстановлении в Интернете (а также о восстановлении разделов восстановления локального жесткого диска): https://support.apple.com/en-us/HT4718.

Я думаю, что "ошибка микропрограммы", о которой сообщает установщик Linux, является либо просто ошибкой, либо чрезмерно усердной установкой, называющей ее "ошибкой", когда в микропрограмме просто нет особой функции безопасности, на которую надеялся установщик. Я не вижу никаких доказательств того, что образ прошивки поврежден, взломан или взломан.

Что касается последнего фрагмента журнала, обратите внимание, что на материнских платах часто есть "мостовые микросхемы" для соединения одной шины с другой (например, соединение двух шин PCI друг с другом), а "маршрутизация прерываний" относится к маршруту от чипа к чипу, который сигналы прерывания проходят через материнскую плату. Это "мостовое соединение" и "маршрутизация" - это все о микросхемах и шинах и других электронных схемах на материнской плате, а не о сети LAN/ Интернет.

0

Это либо неотъемлемая часть сети, в которой вы находитесь, либо ваш роутер скомпрометирован и с ним играл в DNS.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .