Questão servidor macOS - compartilhamento de tela em execução com o UID 0


Eu corro um servidor mac com uma pilha LAMP tudo instalado via MacPorts, que eu diligentemente manter-se atualizado. O servidor está executando o macOS X Sierra, e estou menos empenhado em atualizar isso, porque a pilha LAMP é completamente independente.

No entanto, hoje o servidor apreendeu e quando eu finalmente cheguei via ssh eu encontrei kernel_task em execução. Demorou um disco rígido para fazer as coisas voltarem ao normal.

Irã top -o cpu e notei que uma tarefa chamada compartilhamento de tela estava em execução. Estranho, porque na verdade eu não estava compartilhando de telas, mas eu tinha o serviço habilitado por conveniência.

Eu descarreguei o serviço:

sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.screensharing.plist

mas então comecei a me perguntar o que era aquilo. Eu recarreguei o serviço e cerca de cinco minutos depois lá estava novamente. Desta vez, pude ver que o UID que estava sendo executado era 0. Desativei-o rapidamente novamente.

Minhas perguntas:

  1. Isso é um sinal de jogo sujo, ou isso é uma peculiaridade do serviço de compartilhamento de tela?
  2. Se isso é um jogo sujo, não deveria desabilitar o login remoto pelo root evitar algo assim?
  3. Se este é um bug conhecido, ele foi corrigido? Estou voltando a entrar em contato com softwareupdate.

Edite com uma pergunta de acompanhamento de brincadeira: onde eu olho para ver se o software de mineração de criptografia foi instalado?


0


origem


Você já entrou em "Preferências do Sistema> Compartilhamento" e certifique-se de que "Compartilhamento de tela" esteja desativado. Eu duvido que seu Mac esteja infectado. - JakeGould
Foi ativado; Eu desativei na linha de comando como mencionei acima. Quando eu reativei, vi a atividade, com o UID 0. Eu não teria pensado nisso se não fosse pelo usuário root. - Jerry Seeger
"Estranho, porque na verdade eu não estava compartilhando a tela, mas eu tinha o serviço habilitado por conveniência." Eu senti falta disso antes. Absolutamente nada para se preocupar. - JakeGould


Respostas:


O compartilhamento de tela faz parte do gerenciamento remoto. O gerenciamento remoto requer acesso root (você pode alterar remotamente as configurações que o root precisa alterar). Para que o compartilhamento de tela forneça acesso à GUI para o root, ele também deve ter acesso root.

É normal que o compartilhamento de tela esteja sendo executado como um daemon raiz (UID de zero).

Isso por si só não indica jogo sujo.

Isto é um erro conhecido? Eu não achei listado (como um bug conhecido) no site da Apple.

Você seria prejudicado pela atualização desde que a atualização não custa nada? Não, eu corro LAMP na High Sierra. Seu servidor suportará a atualização para o High Sierra? Sem conhecer o hardware, não posso responder a isso, mas uma viagem ao site da Apple vai.


0



Obrigado! Atualizar para o High Sierra é impraticável porque é um Mac sem cabeça a centenas de quilômetros de distância de mim, mas fico feliz em saber que o compartilhamento de tela não está dando acesso root ao Bad People. - Jerry Seeger