ShellShock: Muss ich mir darüber bei OS X Mavericks Sorgen machen?

Der Titel sagt schon alles ... Ich war gerade dabei, einen ziemlich umfangreichen Satz von Mac OS X Server-Maschinen zu entwickeln, als ShellShocked die Welt eroberte. Sobald ich die Neuigkeiten gesehen hatte, begann ich hastig mit der Konfiguration der PF-Firewall. Wahrscheinlich zu voreilig, da ich es geschafft habe, einige der von mir konfigurierten Dienste zu deaktivieren.

Jetzt verhält sich einer der Mac OS X-Computer, die direkt dem Internet ausgesetzt waren, sehr seltsam. Ich kann mich weder über Remotedesktop noch über das normale Anmeldefenster mehr am Computer anmelden. (Ich erhalte das Dialogfeld zum Schütteln, als hätte ich das falsche Passwort eingegeben.) Trotzdem kann ich mich problemlos über SSH anmelden.

Ich kenne mich in OS X ziemlich gut aus und sehe keine ungewöhnlich aussehenden Prozesse. Wenn es auf der Welt kein Root-Kit für Mac OS X Mavericks gibt oder mein Mac Mini-Server diesen Moment nur ausgewählt hat, um ein Hardwareproblem zu manifestieren, scheint es, als würde mich das Herunterfahren der Firewall wieder auf den Computer bringen.

Ist es sicher?

Ich würde auf Nummer sicher gehen und jeden Server, auf dem Sie seltsames Verhalten feststellen und der im Allgemeinen dem öffentlichen Internet ausgesetzt ist, ohne eine Protokoll-Firewall und / oder eine Art Tripwire- oder Sicherheitsscan löschen, um die Änderungen seit der Installation zu vergleichen.

Ich glaube, einer meiner OS X-Server wurde zum ersten Mal in diesem Fenster mit der Sicherheitsanfälligkeit für Bash-Skripte kompromittiert. Die Zeit, die ich für die Suche nach einem Root-Kit benötigte, ist viel länger als die Zeit, die ich für die Erstellung eines letzten Backups und das anschließende Löschen von einem externen Laufwerk und den Neustart benötigte.

In meinem Fall habe ich einen neuen Benutzer namens A Lo als Standardbenutzer angelegt. Ziemlich seltsam und sehr unauffällig von jemandem, der es schafft, die Kontrolle über einen Server mit einer festen IP-Adresse zu erlangen.

Grundsätzlich gilt: Je ausgefeilter der schwarze Hut ist, der Ihren Computer in Mitleidenschaft gezogen hat - desto unwahrscheinlicher ist es, dass Sie dies unter dem Gesichtspunkt der Zuverlässigkeit bemerken. Wenn Sie eine Instabilität bemerken, ist dies wahrscheinlich darauf zurückzuführen, dass die Leute, die Ihren Server in Mitleidenschaft gezogen haben, unfähig oder schlampig sind und Sie möglicherweise dazu veranlassen neu installieren müssen.

Um ganz klar zu sein, jeder Server, der sich hinter einem Router mit NAT versteckt, ist weitaus weniger anfällig als ein Server, auf dem rund um die Uhr Live-Dienste mit einem echten statischen IPv4 und überhaupt keiner Firewall ausgeführt werden. Leute, die nur OS X ausführen, sollten überhaupt keine Bedenken haben, es sei denn, sie haben andere Gründe zu der Annahme, dass sie kompromittiert sind.