Вопрос: Не удается избавиться от вирусов Mac / Linux или аппаратных ошибок


У моего MacBook теперь есть постоянный задний ход для какого-то хакера, от которого я не могу избавиться. Я даже пытался загрузиться с USB-накопителя Linux, уничтожая все, в том числе раздел EFI, но каждый раз, когда я пытаюсь переустановить мое соединение, увлекается этой функцией «SlingShot» и перенаправляется на какой-либо сервер, на котором установлена ​​зараженная установка:

NetworkFinishOSRSHostInfoLookup: Resolved OSRS Hostname [osrecovery.apple.com] to 17.164.1.12, Port 80
GetStationAddressViaIpAgent: Client IP Address: 172.20.10.6
GetStationAddressViaIpAgent: Client Subnet Mask: 255.255.255.240
GetStationAddressViaIpAgent: Router IP Address: 172.20.10.1
GetStationAddressViaIpAgent: DnsServer 0 Address: 172.20.10.1
NetworkFinishOSRSHostInfoLookup: Resolved DNS Address on interface with address 172.20.10.6
NetworkFinishOSRSHostInfoLookup: Got 1 Network Interfaces.
NetworkFinishOSRSHostInfoLookup: Handle 0 was used for successful DNS resolution of OSRS.
SlingShot: Got OSRS Info: Hostname osrecovery.apple.com, Host IP 17.164.1.12, Port: 80
SlingShotSetupAuthParams: Got MLB SN 'XXXXXXXXXXXXXXX'
NetworkResolveDomainName: Resolved IP Address for 'oscdn.apple.com': 23.62.239.26
DownloadChunkedAsset: Downloading 44 chunks.
NetworkResolveDomainName: Resolved IP Address for 'oscdn.apple.com': 23.62.239.26
SlingShotUpdateProgressUI: Recent download rate 0 dropped below 5 KBps, starting download stall timer.
SlingShotUpdateProgressUI: 30 sec avg 0 KBps, 541 KBps new total, last total 0 KBps, now 270 KBps
SlingShotUpdateProgressUI: Recent download rate 5 is above minimum 5 KBps, cancelling download stall timer.
SlingShotUpdateProgressUI: 30 sec avg 24 KBps, 748 KBps new total, last total 934 KBps, now 841 KBps
SlingShotUpdateProgressUI: 30 sec avg 23 KBps, 385 KBps new total, last total 429 KBps, now 407 KBps
SlingShotUpdateProgressUI: 30 sec avg 24 KBps, 269 KBps new total, last total 286 KBps, now 277 KBps
SlingShotUpdateProgressUI: 30 sec avg 57 KBps, 499 KBps new total, last total 446 KBps, now 472 KBps
SlingShotUpdateProgressUI: 30 sec avg 90 KBps, 645 KBps new total, last total 608 KBps, now 626 KBps

Загрузка с Recovery HD или даже с Apple Network Recovery Drive по-прежнему заставляет меня застревать в этом перенаправлении, и каждый раз поврежденная система устанавливается. Как-то эта ошибка может аутентифицироваться в моей системе даже после вытирания.

Похоже, это связано с оборудованием. Загрузка из Kali Linux на USB-накопителе Я получаю эти записи в журнале загрузки, где отображается ошибка встроенного ПО Mac:

[    0.020231] [Firmware Bug]: ioapic 2 has no mapping iommu, interrupt remapping will be disabled
[    0.020291] Not enable interrupt remapping
[    0.020292] Failed to enable irq remapping.  You are vulnerable to irq-injection attacks.

Вскоре после этого система попадает в сигналы прерывания из сети?

[    0.174491] ACPI: Interpreter enabled
[    0.174496] ACPI Exception: AE_NOT_FOUND, While evaluating Sleep State [\_S1_] (20140926/hwxface-580)
[    0.174499] ACPI Exception: AE_NOT_FOUND, While evaluating Sleep State [\_S2_] (20140926/hwxface-580)
[    0.174509] ACPI: (supports S0 S3 S4 S5)
[    0.174510] ACPI: Using IOAPIC for interrupt routing
[    0.174530] PCI: Using host bridge windows from ACPI; if necessary, use "pci=nocrs" and report a bug
[    0.180547] ACPI: PCI Root Bridge [PCI0] (domain 0000 [bus 00-ff])
[    0.180552] acpi PNP0A08:00: _OSC: OS assumes control of [PCIeHotplug SHPCHotplug AER PCIeCapability]
[    0.180903] acpi PNP0A08:00: [Firmware Info]: MMCONFIG for domain 0000 [bus 00-9a] only partially covers this bridge

Позже есть записи, показывающие функции uPnP, которые кажутся маскирующими как основные аудиофайлы, и я заметил то же самое, что происходит с PulseAudio на моем ноутбуке Linux. И uPnP отключен на моем маршрутизаторе какое-то время.

Кроме того, каждый дистрибутив Linux, который я пытался загрузить и установить или установить с диска, был также проиндексирован этой же уязвимостью. Даже если я пойду в совершенно другую сеть. Так что ошибка на моем компьютере, но сохраняется через вытирание. И каждый компьютер и маршрутизатор были протерты и переустановлены с нуля, но он все еще попадает во все, и я до сих пор не контролирую свои сетевые подключения.

Довольно уверен, что все это началось с моего iPhone и доступ через аутентификацию «Доверяйте этому компьютеру», но я не подключил свой iPhone к любому ноутбуку с момента его запуска. И есть намного больше деталей и забавных моментов, таких как Apache-сервер, который развертывается через 15 минут после стирания, мой USB-накопитель удаляется, а концентратор отключен, поскольку я пытался скопировать файлы сервера в качестве доказательства, а AppleCare сказал мне, что ничего не видит особенно ненормальным в отношении любого из этого.

Но ... Предполагая, что это в основном в загрузочных конфигурационных файлах, как я могу их очистить на Mac и Linux, чтобы убедиться, что он не продолжает реплицировать себя? Или что мне делать, чтобы заблокировать вещи?


2
2018-03-17 02:22


Источник


Что повреждено в системе, которая устанавливается после восстановления Интернета? Что заставляет вас думать, что ошибка встроенного ПО, которую сообщает установщик Linux, - это нечто большее, чем просто типичная ошибка встроенного программного обеспечения или недостающая функция? То есть, почему вы думаете, что это испорченное / взломанное / взломанное прошивку? И что в третьем отрывке журнала, который вы опубликовали, заставляет вас думать, что вы получаете прерывания из сети? - Spiff


Ответы:


Я думаю, вы работали в параноидальном тиснении, используя самую худшую интерпретацию множества сообщений журнала, которые вы действительно не понимаете.

Я уверен, что SlingShot - это внутреннее имя Apple для общеизвестного «OS X Internet Recovery». Если ваш жесткий диск Mac полностью удален (даже не существует нормально скрытого раздела восстановления), ваш Mac попытается отключиться от сервера Apple (возможно, он будет размещен на сервере CDN Akamai / EdgeSuite, Apple использует Akamai в качестве своего любимый CDN).

В этой статье вы найдете информацию о восстановлении Интернета (а также восстановление восстановления локального жесткого диска): https://support.apple.com/en-us/HT4718

Я думаю, что «Firmware Bug», установленный установщиком Linux, является либо просто ошибкой, либо чрезмерно усложненным установщиком, называющим это «ошибкой», когда прошивка просто не имеет конкретной функции безопасности, которую, как надеялся, установил установщик. Я не вижу никаких доказательств того, что это поврежденный, взломанный или захваченный образ прошивки.

Что касается последнего фрагмента журнала, убедитесь, что на материнских платах часто есть «мостовые чипы» для подключения одной шины к другой (например, подключение двух шин PCI друг к другу), а «маршрутизация прерываний» относится к маршруту от чипа до чипа, который сигналы прерывания проходят через материнскую плату. Эта «мостовая» и «маршрутизация» - это чипы и шины и другие схемы электроники на материнской плате, а не сети LAN / Интернет.


6
2018-03-17 04:22



У меня больше полных журналов, но они слишком длинны для включения. Как я могу опубликовать их? Но я также могу сказать, что парень Apple, с которым я разговаривал, не знал о сделке с сервером Akamai, и после того, как я впервые загрузил эту переустановку, я нашел файлы журналов, показывающие последующую загрузку файлов конфигурации Gatekeeper, файлов настроек удаленного доступа и китайских языковая поддержка. Это было все, пока я спал. Многое другое. И у меня есть журналы Wireshark, показывающие все виды ненормального поведения тоже с IP-адресами, которые я не распознаю, когда летаю, когда я сижу здесь, ничего не делая. - scissortail
Также, пожалуйста, поймите, что до двух недель назад я ничего не знал о каких-либо Linux-процессах или процессах загрузки или маршрутизации. За последние пару недель я пытался дать себе крутой курс, и сделал все, что знаю, как самостоятельно, чтобы устранить эту проблему, помимо того, что занимался технической поддержкой Apple. Я не могу объяснить, что не так хорошо, потому что я не знаю, и я не знаю, какая из миллионов строк журналов актуальна ... Но я обращал внимание на журналы в течение многих лет. Определенно достаточно долго, чтобы знать, что здесь есть много вещей, которые не являются нормальными. - scissortail
Вы можете отправлять длинные тексты в gist.github.com или pastebin.com, а затем ссылаться на него со своего поста. Если вы столкнетесь с ограничениями количества ссылок, которые могут сделать новые пользователи, подумайте о том, чтобы ввести URL-адрес в текст, не делая его ссылкой. Гейткипер, удаленный доступ и файлы на китайском языке - это все имена для обычной установки OS X. Современные ОС имеют много фоновых процессов, которые общаются с большим количеством серверов и CDN, поэтому вы всегда будете видеть много IP-адресов, которые вы не узнаете; не волнуйтесь, что вы сделали поиск хостов на этих IP-адресах и убедились, что они не Apple или Akamai. - Spiff
В целом, я думаю, вам стоит просто сосредоточиться на том, что изначально пыталось сделать (установить Linux, переустановить OS X или как бы вы ни были), и написать отдельные вопросы, если вам нужна помощь в этом. До сих пор ничто из того, что вы поделили, выглядит подозрительно. Если оставить в стороне сообщения журнала, которые вы не понимаете, есть ли что-то на самом деле неправильно с вашей машиной? У вас возникли какие-либо проблемы? - Spiff


Это либо неотъемлемая часть сети, в которой вы находитесь, либо ваш маршрутизатор был скомпрометирован, и с ним играл DNS.


0
2018-02-07 02:34