Mac OS X actividad inusual de bash?

Entonces, cuando revisé mi computadora esta mañana, tenía el terminal abierto diciendo:

Última conexión: sábado 5 de marzo, 00:02:43 en ttys000

Revisé el tiempo de actividad y han pasado 27 días, 2 usuarios como siempre.

Ahora sé a ciencia cierta que en ese momento preciso dejé mi computadora portátil en la habitación de alguien durante un par de horas y cuando revisé la historia, encontré que estos comandos eran los más recientes (bastante seguros de que no era yo como recuerdo el anterior conjunto):

cd ~/Library
cd Messages/
l
ls
cd Archive
cd ~
exit

Cuando repetí los comandos llegué a producir.

Archivos adjuntos chat.db chat.db-shm chat.db-wal

Pero más allá de eso no puedo rastrear o entender lo que hizo el siguiente comando. Intenté cambiar el registro del historial para mostrar las marcas de fecha / hora en los registros del historial, pero todos salieron como la fecha de hoy, supongo que porque solo le aplicé el formato ahora.

No soy un programador, sé muy poco acerca de esto. Llegué tan lejos como a través de Google. ¿Alguien podría explicar qué hicieron esos comandos y si estoy siendo paranoico al sospechar que dicha persona ha intentado exportar mis mensajes? El último conjunto de comandos anterior (para el que estaba allí) había terminado en un archivo de mi trabajo más reciente de Pages que se estaba enviando a alguien a través de iMessage. ¿Podría haber sido eso? Solo un poco raro porque hubo una "salida" justo antes de este set, así que parece que hay algunas cosas separadas ... + Todavía no puedo explicar el inicio de sesión 00:02 esta mañana ... ¿Hay alguna manera de demostrarlo? Lo peor, si es así?

¡Gracias!

Los comandos que enumeró en su pregunta lo llevan al archivo de mensajes de la aplicación de mensajería del usuario que ha iniciado sesión actualmente, enumera el contenido de ese directorio y luego regresa al directorio principal del usuario que está conectado actualmente. Si has iniciado sesión, entonces es tu archivo de mensajes.

los exit El comando sale, o cierra, la sesión del terminal, nada más.

Para ver quién ha iniciado sesión en su computadora (o cuándo fue la última vez que inició sesión desde dónde), escriba el comando last en su terminal:

$ last

Para obtener una lista de los comandos que ha ejecutado escriba:

$ history

Si desea guardar eso en un archivo para leerlo más tarde, escriba esto:

$ history > ~/Desktop/history.txt

y un archivo aparecerá en su escritorio con todos esos comandos. Puedes usar la misma técnica para last pero asegúrese de cambiar el nombre del archivo.

Ahora, si desea ver qué sucede cuando no está frente a su Mac, simplemente borre el historial antes de irse con el comando history -c. De esta manera, verá exactamente lo que se ha hecho cuando no estaba cerca.

Ahora, obviamente tienes un inicio de sesión de 2AM en tu computadora. Por qué

a) no tienes contraseña

o

b) Si tiene uno, ¿por qué se comparte con otros?

Puedes inferir dos hechos que podrían ser útiles:

Primero, el inicio de sesión fue de ttys000. Esto significa que el inicio de sesión no fue a través de la red, sino local. Segundo, dado que hay un error tipográfico en los comandos ("l" en lugar de "ls"), ciertamente fue un ser humano que escribió estos comandos, y no un script.

Entonces, la pregunta debería ser: ¿quién tiene acceso físico a su computadora?