我的 MacBook 现在为某些黑客留有永久后门,我似乎无法摆脱它。我甚至尝试从 Linux USB 启动,清除包括 EFI 分区在内的所有内容,但每次我尝试重新安装时,我的连接都会被这个“SlingShot”功能劫持,并重新路由到某个托管受感染安装的服务器:
NetworkFinishOSRSHostInfoLookup: Resolved OSRS Hostname [osrecovery.apple.com] to 17.164.1.12, Port 80
GetStationAddressViaIpAgent: Client IP Address: 172.20.10.6
GetStationAddressViaIpAgent: Client Subnet Mask: 255.255.255.240
GetStationAddressViaIpAgent: Router IP Address: 172.20.10.1
GetStationAddressViaIpAgent: DnsServer 0 Address: 172.20.10.1
NetworkFinishOSRSHostInfoLookup: Resolved DNS Address on interface with address 172.20.10.6
NetworkFinishOSRSHostInfoLookup: Got 1 Network Interfaces.
NetworkFinishOSRSHostInfoLookup: Handle 0 was used for successful DNS resolution of OSRS.
SlingShot: Got OSRS Info: Hostname osrecovery.apple.com, Host IP 17.164.1.12, Port: 80
SlingShotSetupAuthParams: Got MLB SN 'XXXXXXXXXXXXXXX'
NetworkResolveDomainName: Resolved IP Address for 'oscdn.apple.com': 23.62.239.26
DownloadChunkedAsset: Downloading 44 chunks.
NetworkResolveDomainName: Resolved IP Address for 'oscdn.apple.com': 23.62.239.26
SlingShotUpdateProgressUI: Recent download rate 0 dropped below 5 KBps, starting download stall timer.
SlingShotUpdateProgressUI: 30 sec avg 0 KBps, 541 KBps new total, last total 0 KBps, now 270 KBps
SlingShotUpdateProgressUI: Recent download rate 5 is above minimum 5 KBps, cancelling download stall timer.
SlingShotUpdateProgressUI: 30 sec avg 24 KBps, 748 KBps new total, last total 934 KBps, now 841 KBps
SlingShotUpdateProgressUI: 30 sec avg 23 KBps, 385 KBps new total, last total 429 KBps, now 407 KBps
SlingShotUpdateProgressUI: 30 sec avg 24 KBps, 269 KBps new total, last total 286 KBps, now 277 KBps
SlingShotUpdateProgressUI: 30 sec avg 57 KBps, 499 KBps new total, last total 446 KBps, now 472 KBps
SlingShotUpdateProgressUI: 30 sec avg 90 KBps, 645 KBps new total, last total 608 KBps, now 626 KBps
从 Recovery HD 启动,甚至从 Apple 的网络恢复驱动器启动,仍然会卡在这个重新路由中,每次都会安装损坏的系统。不知何故,即使在擦除后,这个错误仍能在我的系统上进行身份验证。
不过这似乎与硬件有关。从 USB 上的 Kali Linux 启动时,我在启动日志中看到以下条目,显示 Mac 固件存在错误:
[ 0.020231] [Firmware Bug]: ioapic 2 has no mapping iommu, interrupt remapping will be disabled
[ 0.020291] Not enable interrupt remapping
[ 0.020292] Failed to enable irq remapping. You are vulnerable to irq-injection attacks.
随后系统很快就受到来自网络的中断信号的影响?
[ 0.174491] ACPI: Interpreter enabled
[ 0.174496] ACPI Exception: AE_NOT_FOUND, While evaluating Sleep State [\_S1_] (20140926/hwxface-580)
[ 0.174499] ACPI Exception: AE_NOT_FOUND, While evaluating Sleep State [\_S2_] (20140926/hwxface-580)
[ 0.174509] ACPI: (supports S0 S3 S4 S5)
[ 0.174510] ACPI: Using IOAPIC for interrupt routing
[ 0.174530] PCI: Using host bridge windows from ACPI; if necessary, use "pci=nocrs" and report a bug
[ 0.180547] ACPI: PCI Root Bridge [PCI0] (domain 0000 [bus 00-ff])
[ 0.180552] acpi PNP0A08:00: _OSC: OS assumes control of [PCIeHotplug SHPCHotplug AER PCIeCapability]
[ 0.180903] acpi PNP0A08:00: [Firmware Info]: MMCONFIG for domain 0000 [bus 00-9a] only partially covers this bridge
后来,有些条目显示 uPnP 功能似乎伪装成核心音频文件,我注意到我的 Linux 笔记本电脑上的 PulseAudio 也发生了同样的事情。而且我的路由器上的 uPnP 已经禁用了一段时间。
此外,我尝试下载和安装或从磁盘安装的每个 Linux 发行版都注入了同样的漏洞。即使我转到完全不同的网络。因此,这个漏洞存在于我的电脑上,但即使擦除后仍然存在。每台电脑和路由器都已擦除并从头开始重新安装,但它仍然进入了所有地方,我仍然无法控制我的网络连接。
可以肯定这一切都是从我的 iPhone 开始的,并通过“信任此计算机”身份验证进行访问,但自从这件事发生以来,我还没有将我的 iPhone 插入任何一台笔记本电脑。还有很多细节和有趣的时刻,比如在擦除 15 分钟后部署了 Apache 服务器,我的 USB 记忆棒被删除,当我试图复制服务器文件作为证据时,集线器被禁用,AppleCare 告诉我,他们认为这一切没有什么特别异常。
但是……假设这主要发生在启动配置文件中,我该如何在 Mac 和 Linux 上清理这些文件以确保它不会不断自我复制?或者我应该怎么做才能锁定它?
答案1
我觉得您对一堆您并不真正理解的日志消息做出了最坏的解释,从而使自己陷入了偏执的焦虑之中。
我非常确定 SlingShot 是 Apple 内部对“OS X Internet Recovery”的称呼。如果您的 Mac 硬盘驱动器已被完全清除(甚至连通常隐藏的恢复分区都不存在),那么您的 Mac 将尝试从 Apple 服务器进行网络启动(可能托管在 Akamai/EdgeSuite CDN 服务器上;Apple 长期以来一直使用 Akamai 作为其最喜欢的 CDN)。
本文为您提供有关互联网恢复(以及本地硬盘恢复分区恢复)的一些信息:https://support.apple.com/en-us/HT4718
我认为 Linux 安装程序报告的“固件错误”要么只是一个错误,要么是一个过于热心的安装程序将其称为“错误”,而固件只是没有安装程序希望它具有的特定安全功能。我没有看到任何证据表明这是一个损坏、被黑客入侵或被劫持的固件映像。
至于最后一段日志,请注意主板通常有“桥接芯片”来连接一条总线和另一条总线(例如将两条 PCI 总线相互连接),而“中断路由”是指中断信号在主板上从芯片到芯片的路由。这种“桥接”和“路由”都是关于主板上的芯片、总线和其他电子电路,而不是 LAN/Internet 网络。
答案2
它要么是您所在网络的一个组成部分,要么您的路由器已被入侵并且其 DNS 被篡改。