Ich bin zu 99,9 % sicher, dass mein System auf meinem PC infiltriert wurde. Lassen Sie mich zunächst meine Gründe darlegen, damit die Situation klar ist:
Ungefährer Zeitplan der verdächtigen Aktivitäten und der daraufhin ergriffenen Maßnahmen:
26.4. 23:00
Ich habe alle Programme beendet und meinen Laptop zugeklappt.
27.4. 12:00
Ich habe meinen Laptop geöffnet, nachdem er etwa 13 Stunden im Ruhezustand gewesen war. Mehrere Fenster waren geöffnet, darunter: Zwei Chrome-Fenster, Systemeinstellungen, Softwarecenter. Auf meinem Desktop befand sich ein Git-Installationsprogramm (ich habe es überprüft, es war nicht installiert).
27.4. 13:00
Der Chrome-Verlauf zeigte Anmeldungen bei meiner E-Mail und anderen Suchverlauf an, den ich nicht initiiert hatte (zwischen 01:00 und 03:00 am 27.4.), einschließlich „Git installieren“. In meinem Browser war eine Registerkarte „So passen Sie Ihre Bash-Eingabeaufforderung an“ von Digital Ocean geöffnet. Sie wurde nach dem Schließen mehrmals erneut geöffnet. Ich habe die Sicherheit in Chrome erhöht.
Ich habe die WLAN-Verbindung getrennt, aber als ich sie wieder herstellte, war dort ein Auf-Ab-Pfeilsymbol statt des Standardsymbols und im Dropdown-Menü für WLAN gab es keine Netzwerkliste mehr.
Unter „Verbindungen bearbeiten“ bemerkte ich, dass mein Laptop am 27.4. um ca. 05:30 Uhr eine Verbindung zu einem Netzwerk namens „GFiberSetup 1802“ hergestellt hatte. Meine Nachbarn in 1802 xx Drive haben gerade Google Fiber installiert, also nehme ich an, dass es damit zusammenhängt.
27.4. 20:30
Der who
Befehl zeigte, dass ein zweiter Benutzer mit dem Namen guest-g20zoo in mein System eingeloggt war. Dies ist mein privater Laptop, auf dem Ubuntu läuft, es sollte niemand sonst auf meinem System sein. In Panik rannte ich los sudo pkill -9 -u guest-g20zoo
und deaktivierte Netzwerk und WLAN
Ich habe nachgeschaut /var/log/auth.log
und Folgendes gefunden:
Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session
Es tut uns leid, dass dies eine große Ausgabe ist, aber das ist der Großteil der Aktivität von guest-g20zoo im Protokoll, und zwar innerhalb von ein paar Minuten.
Ich habe auch überprüft /etc/passwd
:
guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash
Und /etc/shadow
:
root:!:16669:0:99999:7:::
daemon:*:16547:0:99999:7:::
.
.
.
nobody:*:16547:0:99999:7:::
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::
guest-G4J7WQ:*:16689:0:99999:7:::
.
.
Ich verstehe nicht ganz, was diese Ausgabe für meine Situation bedeutet. Sind guest-g20zoo
und guest-G4J7WQ
derselbe Benutzer?
lastlog
zeigt an:
guest-G4J7WQ Never logged in
Allerdings last
zeigt sich:
guest-g20zoo Wed Apr 27 06:55 - 20:33 (13:37)
Es scheint also, als ob es sich nicht um denselben Benutzer handelt, aber guest-g20zoo wurde in der Ausgabe von nirgends gefunden lastlog
.
Ich möchte den Zugriff für den Benutzer „guest-g20zoo“ sperren, da er/sie aber nicht erscheint /etc/shadow
und ich davon ausgehe, dass er/sie kein Passwort zum Anmelden verwendet, sondern SSH nutzt, wird passwd -l guest-g20zoo
das funktionieren?
Ich habe es versucht systemctl stop sshd
, aber diese Fehlermeldung erhalten:
Failed to stop sshd.service: Unit sshd.service not loaded
Bedeutet dies, dass die Remote-Anmeldung auf meinem System bereits deaktiviert wurde und der obige Befehl daher überflüssig ist?
Ich habe versucht, weitere Informationen zu diesem neuen Benutzer herauszufinden, etwa von welcher IP-Adresse aus er sich angemeldet hat, aber ich kann scheinbar nichts finden.
Einige möglicherweise relevante Informationen:
Ich bin derzeit mit dem Netzwerk meiner Universität verbunden, mein WLAN-Symbol sieht gut aus, ich kann alle meine Netzwerkoptionen sehen und es werden keine seltsamen Browser von selbst angezeigt. Bedeutet dies, dass sich die Person, die sich bei meinem System anmeldet, in Reichweite meines WLAN-Routers bei mir zu Hause befindet?
Ich rannte chkrootkit
und allesschiengut, aber ich weiß auch nicht, wie ich die ganze Ausgabe interpretieren soll. Ich weiß nicht wirklich, was ich hier tun soll. Ich möchte einfach absolut sicher sein, dass diese Person (oder sonst jemand) nie wieder auf mein System zugreifen kann, und ich möchte alle von ihr erstellten versteckten Dateien finden und entfernen. Bitte und Danke!
PS: Ich habe mein Passwort bereits geändert und meine wichtigen Dateien verschlüsselt, während WLAN und Netzwerk deaktiviert waren.
Antwort1
Löschen Sie die Festplatte und installieren Sie Ihr Betriebssystem von Grund auf neu.
Bei jedem unberechtigten Zugriff besteht die Möglichkeit, dass der Angreifer Root-Rechte erlangt hat. Daher ist es sinnvoll anzunehmen, dass dies passiert ist. In diesem Fall scheint auth.log zu bestätigen, dass dies tatsächlich der Fall war – es sei denn, dies warDuder den Benutzer gewechselt hat:
27. Apr 06:55:55 Rho su[23881]: Erfolgreiches su für guest-g20zoo durch root
Insbesondere mit Root-Rechten haben sie das System möglicherweise auf eine Weise manipuliert, die ohne Neuinstallation praktisch nicht mehr zu beheben ist, beispielsweise durch Ändern von Boot-Skripten oder Installieren neuer Skripte und Anwendungen, die beim Booten ausgeführt werden usw. Diese könnten beispielsweise nicht autorisierte Netzwerksoftware ausführen (d. h. Teil eines Botnetzes werden) oder Hintertüren in Ihr System hinterlassen. Der Versuch, solche Dinge ohne Neuinstallation zu erkennen und zu reparieren, ist bestenfalls chaotisch und garantiert nicht, dass Sie alles loswerden.
Antwort2
Es sieht so aus, als hätte jemand eine Gastsitzung auf Ihrem Laptop geöffnet, während Sie nicht in Ihrem Zimmer waren. An Ihrer Stelle würde ich herumfragen, vielleicht ist das ein Freund.
Die Gastkonten, die Sie sehen /etc/passwd
, /etc/shadow
sind für mich nicht verdächtig. Sie werden vom System erstellt, wenn jemand eine Gastsitzung öffnet.
27. Apr 06:55:55 Rho su[23881]: Erfolgreiches su für guest-g20zoo durch root
Diese Zeile bedeutet, root
dass Zugriff auf das Gastkonto besteht. Das könnte normal sein, sollte aber untersucht werden. Ich habe es auf meinem Ubuntu1404LTS versucht und sehe dieses Verhalten nicht. Sie sollten versuchen, sich mit einer Gastsitzung anzumelden und Ihre Seite zu greppen, auth.log
um zu sehen, ob diese Zeile jedes Mal erscheint, wenn sich ein Gastbenutzer anmeldet.
Alle geöffneten Chrome-Fenster, die Sie beim Öffnen Ihres Laptops gesehen haben. Ist es möglich, dass Sie den Desktop der Gastsitzung gesehen haben?
Antwort3
Ich möchte nur erwähnen, dass „mehrere Browser-Tabs/-Fenster geöffnet, Software Center geöffnet, Dateien auf den Desktop heruntergeladen“ nicht sehr konsistent mit jemandem ist, der sich über SSH bei Ihrem Computer anmeldet. Ein Angreifer, der sich über SSH anmeldet, würde eine Textkonsole erhalten, die völlig getrennt von dem ist, was Sie auf Ihrem Desktop sehen. Er müsste auch nicht von Ihrer Desktop-Sitzung aus googeln, „wie installiere ich Git“, weil er vor seinem eigenen Computer sitzen würde, richtig? Selbst wenn er Git installieren wollte (warum?), müsste er kein Installationsprogramm herunterladen, weil Git in Ubuntu-Repositories ist, das weiß jeder, der etwas über Git oder Ubuntu weiß. Und warum musste er googeln, wie man die Bash-Eingabeaufforderung anpasst?
Ich vermute auch, dass bei „In meinem Browser war ein Tab geöffnet. Er wurde mehrmals erneut geöffnet, nachdem ich ihn geschlossen hatte“ tatsächlich mehrere identische geöffnete Tabs gemeint waren, die Sie also einen nach dem anderen schließen mussten.
Was ich hier sagen möchte, ist, dass das Aktivitätsmuster einem „Affen mit einer Schreibmaschine“ ähnelt.
Sie haben auch nicht erwähnt, dass Sie einen SSH-Server installiert haben – er ist nicht standardmäßig installiert.
Wenn Sie also absolut sicher sind, dass niemandPhysischer ZugangIhr Laptop ohne Ihr Wissen und Ihr Laptop hat einen Touchscreen und lässt sich nicht richtig aussetzen und er verbrachte einige Zeit in Ihrem Rucksack, dann denke ich, dass es sich einfach um einen Fall von „Pocket Calling“ handeln kann - zufällige Bildschirmberührungen in Kombination mit Suchvorschlägen und Autokorrektur öffneten mehrere Fenster und führten Google-Suchen durch, klickten auf zufällige Links und luden zufällige Dateien herunter.
Eine persönliche Anekdote: Das passiert mir von Zeit zu Zeit, wenn ich mein Smartphone in der Tasche habe. Dabei öffne ich mehrere Apps, ändere Systemeinstellungen, sende halbwegs zusammenhängende SMS-Nachrichten und schaue mir zufällige YouTube-Videos an.
Antwort4
Die „verdächtige“ Aktivität lässt sich wie folgt erklären: Mein Laptop hängt sich nicht mehr auf, wenn der Deckel geschlossen ist, der Laptop ist ein Touchscreen und reagiert auf Druck (möglicherweise von meinen Katzen). Die bereitgestellten Zeilen /var/log/auth.log
und die Ausgabe des who
Befehls stimmen mit einer Gastsitzungsanmeldung überein. Obwohl ich die Gastsitzungsanmeldung über den Begrüßer deaktiviert habe, ist sie immer noch über das Dropdown-Menü in der oberen rechten Ecke in Unity DE zugänglich. Ergo kann eine Gastsitzung geöffnet werden, während ich angemeldet bin.
Ich habe die Theorie des „angewandten Drucks“ getestet; Fenster können geöffnet werden, während der Deckel geschlossen ist, und /var/log/auth.log
das tun sie auch. Ich habe mich auch bei einer neuen Gastsitzung angemeldet. Danach waren Protokollzeilen vorhanden, die mit dem identisch waren, was ich als verdächtige Aktivität empfand. Ich wechselte den Benutzer, ging zurück zu meinem Konto und führte den who
Befehl aus – die Ausgabe zeigte an, dass ein Gast am System angemeldet war.
Das WiFi-Logo mit dem Auf- und Ab-Pfeil ist wieder das Standard-WiFi-Logo und alle verfügbaren Verbindungen sind sichtbar. Dies war ein Problem mit unserem Netzwerk und hat nichts damit zu tun.