私のパソコンのシステムが侵入されたことは 99.9% 確信しています。まずは状況を明確にするために、私の考えを述べさせてください。
疑わしい活動の大まかなタイムラインとその後の措置:
4-26 23:00
すべてのプログラムを終了し、ノートパソコンを閉じました。
4-27 12:00
約 13 時間サスペンド モードになっていたラップトップを開きました。2 つの Chrome ウィンドウ、システム設定、ソフトウェア センターなど、複数のウィンドウが開いていました。デスクトップには Git インストーラーがありました (確認しましたが、インストールされていませんでした)。
4-27 13:00
Chrome の履歴に、私のメールへのログイン、および「git のインストール」など、私が開始していないその他の検索履歴 (4-27 の 01:00 から 03:00 の間) が表示されました。ブラウザで、Digital Ocean の「bash プロンプトをカスタマイズする方法」というタブが開いていました。閉じた後も、何度か再び開きました。Chrome のセキュリティを強化しました。
WiFi から切断しましたが、再接続すると、標準の記号の代わりに上下矢印記号が表示され、WiFi のドロップダウン メニューの
[接続の編集] にネットワークの一覧が表示されなくなりました。4 月 27 日の午前 5 時 30 分頃に、ラップトップが「GFiberSetup 1802」というネットワークに接続したことに気付きました。1802 xx Drive の隣人が Google Fiber をインストールしたばかりなので、関連があると思います。
4-27 20:30
コマンドwhoを実行すると、guest-g20zoo という 2 番目のユーザーが私のシステムにログインしていることがわかりました。これは Ubuntu を実行する私用のラップトップで、私のシステムには他のユーザーがいないはずです。パニックになり、sudo pkill -9 -u guest-g20zooネットワークと Wi-Fi を無効にしました。
調べてみたら/var/log/auth.log、こんなのが見つかりました:
Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session
出力が大量で申し訳ありませんが、これはログ内の guest-g20zoo からのアクティビティの大部分であり、すべて数分以内に発生しました。
以下も確認しました/etc/passwd:
guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash
そして/etc/shadow:
root:!:16669:0:99999:7:::
daemon:*:16547:0:99999:7:::
.
.
.
nobody:*:16547:0:99999:7:::
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::
guest-G4J7WQ:*:16689:0:99999:7:::
.
.
この出力が私の状況にどのような意味を持つのか、完全には理解していません。同じユーザーguest-g20zooですか?guest-G4J7WQ
lastlog表示:
guest-G4J7WQ Never logged in
ただし、次のことlastを示します。
guest-g20zoo Wed Apr 27 06:55 - 20:33 (13:37)
したがって、同じユーザーではないようですが、guest-g20zoo は の出力のどこにも見つかりませんでしたlastlog。
ユーザー guest-g20zoo のアクセスをブロックしたいのですが、(彼/彼女) は に表示されず/etc/shadow、ログインにパスワードを使用せず、ssh を使用すると想定しているので、機能しますかpasswd -l guest-g20zoo?
試してみましたsystemctl stop sshdが、次のエラーメッセージが表示されました:
Failed to stop sshd.service: Unit sshd.service not loaded
これは、システム上でリモート ログインがすでに無効になっているため、上記のコマンドが冗長であることを意味しますか?
この新しいユーザーについて、どの IP アドレスからログインしたかなど、さらに詳しい情報を探してみましたが、何も見つかりません。
関連する可能性のある情報:
現在、大学のネットワークに接続しており、WiFi アイコンは正常に表示され、すべてのネットワーク オプションが表示され、奇妙なブラウザーが勝手にポップアップ表示されることもありません。これは、私のシステムにログインしている人が自宅の WiFi ルーターの範囲内にいることを示していますか?
私は走ってchkrootkitすべてを思われた結構ですが、出力の解釈方法もわかりません。ここで何をすべきか本当にわかりません。この人物 (または他の誰か) が二度と私のシステムにアクセスできないように確実にしたいだけです。また、この人物が作成した隠しファイルを見つけて削除したいのです。よろしくお願いします。
PS - WiFi とネットワークが無効になっている間に、すでにパスワードを変更し、重要なファイルを暗号化しました。
答え1
ハードドライブを消去し、オペレーティング システムを最初から再インストールします。
不正アクセスの場合、攻撃者がルート権限を取得できた可能性があるので、それが起こったと想定するのが妥当です。この場合、auth.logはこれが実際に起こったことを確認しているようです。あなたユーザーを切り替えた:
4月27日 06:55:55 Rho su[23881]: rootによるguest-g20zooのsuが成功しました
特にルート権限の場合、ブート スクリプトを変更したり、ブート時に実行される新しいスクリプトやアプリケーションをインストールしたりするなど、再インストールなしでは修復が事実上不可能な方法でシステムを操作している可能性があります。これにより、許可されていないネットワーク ソフトウェアを実行したり (ボットネットの一部を形成するなど)、システムにバックドアを残したりする可能性があります。再インストールせずにこのようなことを検出して修復しようとすると、面倒な作業になるだけでなく、すべてを取り除ける保証もありません。
答え2
あなたが部屋から離れている間に、誰かがあなたのラップトップでゲスト セッションを開始したようです。私なら、友人かもしれないので、周りに聞いてみます。
に表示されるゲスト アカウントは、誰かがゲスト セッションを開いたときにシステムによって作成されるため、私には疑わしいものではありません/etc/passwd。/etc/shadow
4月27日 06:55:55 Rho su[23881]: rootによるguest-g20zooのsuが成功しました
この行は、rootゲスト アカウントにアクセスできることを意味します。これは正常な場合もありますが、調査する必要があります。ubuntu1404LTS で試してみましたが、この動作は見られません。ゲスト セッションでログインして grep を実行し、auth.logゲスト ユーザーがログインするたびにこの行が表示されるかどうかを確認してください。
ラップトップを開いたときに表示された、開いている Chrome のすべてのウィンドウ。ゲスト セッション デスクトップが表示されていた可能性はありますか?
答え3
「複数のブラウザ タブ/ウィンドウが開き、ソフトウェア センターが開き、ファイルがデスクトップにダウンロードされている」という状況は、誰かが SSH 経由でマシンにログインしていることとはあまり一致しません。SSH 経由でログインしている攻撃者は、デスクトップに表示されるものとはまったく別のテキスト コンソールを取得します。また、攻撃者は自分のコンピューターの前に座っているので、デスクトップ セッションから「git のインストール方法」を Google で検索する必要もありません。Git をインストールしたい場合でも (なぜ?)、インストーラーをダウンロードする必要はありません。Git は Ubuntu リポジトリにあるからです。Git や Ubuntu について知っている人なら誰でもそのことは知っています。では、なぜ攻撃者は bash プロンプトをカスタマイズする方法を Google で検索しなければならなかったのでしょうか?
また、「ブラウザでタブが開いていました。閉じた後も何度か再度開きました」というのは、実際には複数の同一のタブが開いていたため、それらを 1 つずつ閉じる必要があったのではないかと思います。
ここで私が言おうとしているのは、活動パターンが「タイプライターを持った猿」に似ているということです。
また、SSH サーバーがインストールされているかどうかも言及されていません。デフォルトではインストールされていません。
だから、もし誰も物理的アクセス知らないうちにノートパソコンがロックされ、ノートパソコンにはタッチスクリーンがあり、正しくサスペンドされず、バックパックの中にしばらく入れられていた場合、それはすべて単に「ポケット コーリング」のケースである可能性があると思います。つまり、ランダムな画面タッチと検索候補および自動修正が組み合わさって、複数のウィンドウが開き、Google 検索が実行され、ランダムなリンクがクリックされ、ランダムなファイルがダウンロードされるのです。
個人的な逸話ですが、ポケットの中にスマートフォンを入れていると、複数のアプリを開いたり、システム設定を変更したり、まとまりのない SMS メッセージを送信したり、ランダムに YouTube ビデオを視聴したりするなど、時々このようなことが起こります。
答え4
「疑わしい」アクティビティは、次のように説明されます。私のラップトップは、蓋を閉じてもサスペンドしなくなりました。ラップトップはタッチ スクリーンで、加えられた圧力 (おそらく猫) に反応しました。 から提供された行/var/log/auth.logとコマンドの出力は、whoゲスト セッション ログインと一致しています。グリーターからのゲスト セッション ログインを無効にしましたが、Unity DE の右上隅にあるドロップダウン メニューからは引き続きアクセスできます。したがって、ログイン中にゲスト セッションを開くことができます。
私は「圧力をかける」という理論をテストしました。蓋が閉じている状態でも窓は開くことがあります。また、新しいゲスト セッションにもログインしました。/var/log/auth.logこの操作を行った後、疑わしいアクティビティと認識したものと同じログ ラインが表示されました。ユーザーを切り替えて自分のアカウントに戻り、whoコマンドを実行しました。出力には、ゲストがシステムにログインしていることが示されていました。
上下矢印の WiFi ロゴが標準の WiFi ロゴに戻り、利用可能な接続がすべて表示されます。これは当社のネットワークの問題であり、無関係です。