自宅のmacをハックされたかもしれません。OS10.6 IntelMacmini

昨夜帰宅してみると、付けっぱなしのmacの画面が見慣れない状態になっていました。
ウィンドウが1つ開いており、ウィンドウ右上の検索窓で「terminal」と検索しており、
実際にターミナルが立ち上がり、なにやら色々とコマンドを実行している様子でした。
恐ろしくなり、ターミナルを落とそうとすると、「Perlなんちゃらを実行中で、中断しますか?」
といった内容のアラートがでましたが、有無を言わさず落としました。
今から考えてみると、ターミナルの内容はテキストなのでコピペ可能だし、アラートもキャプチャ
しておけば良かったのですが、なんせテンパってしまってなにも記録を残しておりません。
こんな事態になった理由を自分なりに考えてみると、一昨日ファイヤーウォールの設定を
「切り」にして「入り」の状態に戻しておかなかったのが原因かなと。。
このマックのログインアカウントのパスワードは変更しましたが、そんなことより
OS自体を再インストールし直す必要がありますか?

回答の条件
  • 1人10回まで
  • 登録:
  • 終了:2010/04/16 13:20:03
※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

回答9件)

id:ko8820 No.1

回答回数1221ベストアンサー獲得回数69

ポイント16pt

>OS自体を再インストールし直す必要がありますか?

あります。どんなバックドアを仕掛けられてるかわからないからです。

>一昨日ファイヤーウォールの設定を

>「切り」にして「入り」の状態に戻しておかなかったのが原因かなと

そうでしょう。

あと、ルータでもポート制限等のフィルターをかけると良いと思いますよ。

id:kuroturp

ご回答ありがとうございます。

やはりそうですか。。面倒ですが、背に腹はかえられないのでOSの再インストールを行ないます。

でも何をやってたんでしょうか?私が一目見て気付くような状況を残して。。

勝手な憶測ですが、そういったハッカーと呼ばれるような類の人たちは

もう少し几帳面な印象が有ったので。。

ちなみにターミナルって前回やった作業内容を復元(再現)するような機能はないんでしょうか?

テンパって終了しちゃったのが悔やまれます。。プログラム関連のことはほとんどわかりませんが

何をやっていたのか調べることは出来たのに。。

2010/04/09 15:18:10
id:YasudaS No.2

回答回数351ベストアンサー獲得回数5

ポイント16pt

×ハッカー

○クラッカー

という当たり前な指摘はおいといて....

>このマックのログインアカウントのパスワードは変更しましたが、そんなことより

>OS自体を再インストールし直す必要がありますか?

何が起こっていたのかの状況証拠を消してしまっているわけですよね?

まずは、そのMacをネットワークから切り離しておくべきです。

もし、ネットワークにつないだままでしたら、あなたのMacが踏み台になって、あなたが加害者になっている可能性もあります。

その後、ログやファイル更新についてチェックを行って、どういったことが行われたかを判断します。

判断できない/ログがわからない/ファイル更新がわからないのでしたら、データをすべて捨てた上で、OSの再インストールを行ってください。

その後、バックアップからデータを戻してください。

その際に、クラックされたMacのファイルは、安全だと判断できないのであれば、一切使わないでください。

id:kuroturp

ご回答ありがとうございます。

ネットワークからは切り離しました。LANケーブルを抜いています。

2010/04/09 17:15:51
id:Bombastus No.3

回答回数409ベストアンサー獲得回数52

ポイント16pt

OSのリカバリ(クリーンインストール)、および全てのパスワードの変更を強くお勧めします。また、Macに登録されている個人情報(氏名、電話番号、クレジットカード番号などがもし登録されていたら)が盗まれた可能性があります。


おそらく、インターネット越しにリモートログインされたのだと思います。

Guestアカウントを残しており、簡単なパスワードでログインできる状態になっていませんでしたか? ご確認ください。

もしそうだとすると、ハッキングした方も初歩的なレベルと呼んでいいと思いますが、それでもMacの中の全てのファイルを盗むことが可能であったことは変わりありません。

id:kuroturp

ご回答ありがとうございます。

MACはOSを再インストールし直します。

2010/04/09 17:16:23
id:kick_m No.4

回答回数1372ベストアンサー獲得回数54

ポイント16pt

まあ、あなたが逮捕される危険もありますね。http://www

id:kuroturp

怖いです。善意の第3者ということになるかと思うのですが、その可能性は無くもないのですかね。

2010/04/11 17:44:47
id:hanako393 No.5

回答回数1142ベストアンサー獲得回数87

ポイント16pt

>ウィンドウが1つ開いており、ウィンドウ右上の検索窓で「terminal」と検索しており、

>実際にターミナルが立ち上がり、なにやら色々とコマンドを実行している様子でした。

外部からターミナルをつかっても、このようにならないのです。

ネットワークからの進入じゃなくて、実際にこの端末を直接使われた可能性があると思います。

id:kuroturp

たぶん、リモートログインされたのではないかと。。そうすると通常のデスクトップ操作と同じことができるので。

ターミナルウィンドウはすぐに閉じてしまったのですが、ログインした時間が16時03分と表示されていたような記憶があります。

薄らした記憶ですが。確かにその時間に私はその端末の前には居ませんでしたし、妻も外出していたので断言はできませんが、

部屋を荒らされた様子も無く、第一その画面を表示しっぱなしというのが、そういうことをする人にしては詰めが甘いといいますか。。

こういうことを調べてくれるサービスって無いのでしょうか?

2010/04/11 17:56:42
id:kick_m No.6

回答回数1372ベストアンサー獲得回数54

ポイント15pt

善意の第三者どころか犯人そのものでしょ。銀行からみれば。自分が預金を移したんではありません、ハッカーです、といって警察で通るかどうか。

id:kuroturp

なるほど、そういうことになるんですね。日頃の自分の認識の甘さを再確認しました。

2010/04/12 01:51:36
id:koriki-kozou No.7

回答回数480ベストアンサー獲得回数79

ポイント15pt

有線ルーターを使っていれば外部からの侵入はまずありません

無線ルーターは侵入される可能性があります

ルーターに通信記録が残っているかもしれません


Macはセキュリティソフトいらないというのは嘘です

セキュリティソフトを買ってきてウィルスチェックしましょう


急いでMacが必要ならばHDDをフォーマットしてからOS自体を再インストールです

id:kuroturp

ご回答ありがとうございます。

有線ルータなのですが、、、。ファイヤーウォールを切りにしていても外部からの侵入はありえませんか?

それが本当なら、リアルに私の部屋に誰か入って来たことになりますね。怖いなあ。カギを変える必要がありますかね。

戸締まりはちゃんとやっていたと妻は言っていますので。

ルータの通信記録を調べる方法を知らないので、あとで調べてみます。

セキュリティソフトも買おうと思います。ちなみに何がお勧めですか?

マックはクリーンインストールしましたが、HDDのフォーマットまでもが必要ですか?

2010/04/13 13:42:50
id:sdgsdgsdg No.8

回答回数2ベストアンサー獲得回数0

ポイント15pt

なにを仕掛けられてるかわからないから再インストールし直す必要があります!!

逮捕される危険もありますね::

有線ルーターを使ってください。(外部からの侵入が心配なくなります)

あとセキュリティソフトもわすれずに^^:

いろいろめんどくさいかも知れませんがやられるより良いと思います。

                      これからも気をつけてくださいね^^:

id:kuroturp

ご回答ありがとうございます。

そうですね。全て消してクリーンインストールしました。

2010/04/14 18:04:17
id:koriki-kozou No.9

回答回数480ベストアンサー獲得回数79

ポイント15pt

ルータの基本設定はオープンしない設定になっている

有線ルータに一方的に外部から進入する術はまずない

外部からの接続許可などオープンな環境設定を行っていれば別

自身で設定変更した覚えがなければまず大丈夫


ルータの記憶容量は非常に少ない

数日が経過した現在では残っていない可能性のほうが高い

最初の回答者の段階で型番を聞いて履歴の見方を知っておく必要がありました

ルータも不安であれば工場出荷時の状態に戻して1から設定する


メールや各種ソフトのインストールなどでバックドアを呼び入れていた可能性がある

バックドアがパソコン内で動き出せばパソコンが内側から通信を行って呼び入れる

内側からの通信にファイアーウォールもルータもほぼ無力

セキュリティソフトで通信内容、不審なプログラムの稼動状況監視を行っておく必要がある

今回は偶然気づいただけ

帰宅時間によっては全て終わった後だったかもしれない


HDDをフォーマットしなければどこかにカスが残っている可能性がある

セキュリティソフトを使っていればカスが動いても止めてくれる可能性が高い

最初からカスすらも無いほうが良いでしょう


1番の回答者の指導で再インストールしてしまったので真の原因をつかむのは難しい

セキュリティソフトは大昔からノートンくらいしかないが老舗で安心はできる

今後のために出来る限りの手は打っておいたほうがあなたも安心でしょう

Clamは常時監視ではないためインターネット利用にはあまり向かない

OSX自体のアップデートも忘れずに

id:kuroturp

ご回答ありがとうございます。

順をおって詳細に解り易くアドバイス頂け感謝です。

とても怖い思いをしましたので。

ノートンを早速注文しました。

2010/04/14 18:03:10
  • id:vh5150
    ~/.bash_historyがあれば見てみるとかどうでしょう? まぁ、なりすまして色々とやっているんだから消しているとは思うんですが。それにしても間抜けなので。ついでに/var/log以下のファイルもいろいろと見てみるとどうでしょう? もちろん、ネットに繋いでない状態で。
  • id:lli
    うーむ。わざわざGUI上のterminalをspotlightまで使って検索してるってことはVNCか画面共有のパスワードか何かが漏れたのかもしれませんね。vh5150さんの仰るようにログが残っている可能性があるので調べてみてはいかがでしょう。
    あと、Firewallをたとえオンにしていても上記のようにリモートでGUIへログインされた場合はFirewallで弾かれたりはしないので意味ないです。システム環境設定の共有から画面共有をオフにするなど、ごく基本的な対策からなさってください。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

回答リクエストを送信したユーザーはいません