Estoy 99,9% seguro de que el sistema de mi computadora personal ha sido infiltrado. Permítanme primero dar mi razonamiento para que la situación quede clara:
Cronograma aproximado de actividad sospechosa y acciones posteriores tomadas:
4-26 23:00
Terminé todos los programas y cerré mi computadora portátil.
4-27 12:00
Abrí mi computadora portátil después de haber estado en modo suspendido durante aproximadamente 13 horas. Se abrieron varias ventanas, incluidas: dos ventanas de Chrome, configuración del sistema, centro de software. En mi escritorio había un instalador de git (lo verifiqué, no se ha instalado).
4-27 13:00
El historial de Chrome muestra los inicios de sesión en mi correo electrónico y otro historial de búsqueda que no inicié (entre las 01:00 y las 03:00 del 4-27), incluida la "instalación de git". Había una pestaña, Digital Ocean "Cómo personalizar el indicador de bash" abierta en mi navegador. Se volvió a abrir varias veces después de que lo cerré. Reforcé la seguridad en Chrome.
Me desconecté de WiFi, pero cuando me volví a conectar había un símbolo de flecha hacia arriba y hacia abajo en lugar del símbolo estándar, y ya no había una lista de redes en el menú desplegable de Wifi.
En "Editar conexiones", noté que mi computadora portátil se había conectado. a una red llamada "GFiberSetup 1802" a las ~05:30 del 4-27. Mis vecinos en 1802 xx Drive acaban de instalar Google Fiber, así que supongo que está relacionado.
4-27 20:30
El who
comando reveló que un segundo usuario llamado guest-g20zoo había iniciado sesión en mi sistema. Esta es mi computadora portátil privada que ejecuta Ubuntu, no debería haber nadie más en mi sistema. Entré en pánico, corrí sudo pkill -9 -u guest-g20zoo
y desactivé Redes y Wifi.
Miré /var/log/auth.log
y encontré esto:
Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session
Lo siento, es mucho resultado, pero esa es la mayor parte de la actividad de guest-g20zoo en el registro, todo en un par de minutos.
También verifiqué /etc/passwd
:
guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash
Y /etc/shadow
:
root:!:16669:0:99999:7:::
daemon:*:16547:0:99999:7:::
.
.
.
nobody:*:16547:0:99999:7:::
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::
guest-G4J7WQ:*:16689:0:99999:7:::
.
.
No entiendo del todo qué significa este resultado para mi situación. ¿Son guest-g20zoo
y guest-G4J7WQ
el mismo usuario?
lastlog
muestra:
guest-G4J7WQ Never logged in
Sin embargo, last
muestra:
guest-g20zoo Wed Apr 27 06:55 - 20:33 (13:37)
Entonces parece que no son el mismo usuario, pero guest-g20zoo no se encontró por ninguna parte en la salida de lastlog
.
Me gustaría bloquear el acceso del usuario guest-g20zoo, pero como él no aparece /etc/shadow
y supongo que no usa una contraseña para iniciar sesión, pero usa ssh, ¿funcionará passwd -l guest-g20zoo
?
Lo intenté systemctl stop sshd
, pero recibí este mensaje de error:
Failed to stop sshd.service: Unit sshd.service not loaded
¿Significa esto que el inicio de sesión remoto ya estaba deshabilitado en mi sistema y, por lo tanto, el comando anterior es redundante?
Intenté encontrar más información sobre este nuevo usuario, como desde qué dirección IP inició sesión, pero parece que no puedo encontrar nada.
Alguna información potencialmente relevante:
actualmente estoy conectado a la red de mi universidad y mi ícono de WiFi se ve bien, puedo ver todas mis opciones de red y no aparecen navegadores extraños por sí solos. ¿Esto indica que quienquiera que inicie sesión en mi sistema está dentro del alcance de mi enrutador WiFi en mi casa?
corrí chkrootkit
y todoparecióbien, pero tampoco sé cómo interpretar todo el resultado. Realmente no sé qué hacer aquí. Solo quiero estar absolutamente seguro de que esta persona (o cualquier otra persona) nunca podrá volver a acceder a mi sistema y quiero encontrar y eliminar cualquier archivo oculto creado por ella. ¡Por favor y gracias!
PD: ya cambié mi contraseña y cifré mis archivos importantes mientras WiFi y redes estaban desactivados.
Respuesta1
Limpia el disco duro y reinstala tu sistema operativo desde cero.
En cualquier caso de acceso no autorizado existe la posibilidad de que el atacante haya podido obtener privilegios de root, por lo que es sensato suponer que así fue. En este caso, auth.log parece confirmar que efectivamente fue así, a menos que fuera así.túese usuario cambiado:
27 de abril 06:55:55 Rho su[23881]: Su exitoso para guest-g20zoo por root
Con los privilegios de root en particular, es posible que hayan alterado el sistema de maneras que son prácticamente imposibles de solucionar sin una reinstalación, como modificando los scripts de arranque o instalando nuevos scripts y aplicaciones que se ejecutan en el arranque, etc. Estos podrían hacer cosas como ejecutar software de red no autorizado (es decir, formar parte de una botnet) o dejar puertas traseras en su sistema. Intentar detectar y reparar este tipo de cosas sin reinstalar es, en el mejor de los casos, complicado y no se garantiza que se deshaga de todo.
Respuesta2
Parece que alguien abrió una sesión de invitado en tu computadora portátil mientras no estabas en tu habitación. Si yo fuera tú, preguntaría por ahí, puede que sea un amigo.
Las cuentas de invitado que ves /etc/passwd
y /etc/shadow
no me resultan sospechosas, las crea el sistema cuando alguien abre una sesión de invitado.
27 de abril 06:55:55 Rho su[23881]: Su exitoso para guest-g20zoo por root
Esta línea significa root
que tiene acceso a la cuenta de invitado, lo cual podría ser normal pero debe investigarse. Lo probé en mi ubuntu1404LTS y no veo este comportamiento. Debería intentar iniciar sesión con una sesión de invitado y buscar auth.log
para ver si esta línea aparece cada vez que un usuario invitado inicia sesión.
Todas las ventanas abiertas de Chrome que has visto cuando abriste tu computadora portátil. ¿Es posible que estuvieras viendo el escritorio de la sesión de invitado?
Respuesta3
Solo quiero mencionar que "múltiples pestañas/ventanas del navegador abiertas, Centro de software abierto, archivos descargados al escritorio" no es muy consistente con que alguien inicie sesión en su máquina a través de SSH. Un atacante que inicie sesión a través de SSH obtendría una consola de texto que está completamente separada de lo que ve en su escritorio. Tampoco necesitarían buscar en Google "cómo instalar git" desde su sesión de escritorio porque estarían sentados frente a su propia computadora, ¿verdad? Incluso si quisieran instalar Git (¿por qué?), no necesitarían descargar un instalador porque Git está en los repositorios de Ubuntu, cualquiera que sepa algo sobre Git o Ubuntu lo sabe. ¿Y por qué tuvieron que buscar en Google cómo personalizar el indicador de bash?
También sospecho que "Había una pestaña... abierta en mi navegador. Se volvió a abrir varias veces después de que la cerré" en realidad eran varias pestañas idénticas abiertas, por lo que había que cerrarlas una por una.
Lo que intento decir aquí es que el patrón de actividad se asemeja a un "mono con una máquina de escribir".
Tampoco mencionaste que tenías instalado el servidor SSH; no está instalado de forma predeterminada.
Entonces, si estás absolutamente seguro de que nadie tuvoacceso físicosu computadora portátil sin su conocimiento, y su computadora portátil tiene una pantalla táctil, y no se suspende correctamente, y pasó algún tiempo en su mochila, entonces creo que todo puede ser simplemente un caso de "llamadas de bolsillo": toques de pantalla aleatorios combinados con Las sugerencias de búsqueda y la autocorrección abrieron varias ventanas y realizaron búsquedas en Google, haciendo clic en enlaces aleatorios y descargando archivos aleatorios.
Como anécdota personal, sucede de vez en cuando con mi teléfono inteligente en el bolsillo, lo que incluye abrir múltiples aplicaciones, cambiar la configuración del sistema, enviar mensajes SMS semicoherentes y mirar videos aleatorios de YouTube.
Respuesta4
La actividad "sospechosa" se explica por lo siguiente: mi computadora portátil ya no se suspende cuando la tapa está cerrada, la computadora portátil tiene una pantalla táctil y reacciona a la presión aplicada (posiblemente mis gatos). Las líneas proporcionadas por /var/log/auth.log
y el resultado del who
comando son consistentes con el inicio de sesión de un invitado. Si bien desactivé el inicio de sesión de invitado desde el recibidor, todavía se puede acceder a él desde el menú desplegable en la esquina superior derecha de Unity DE. Ergo, se puede abrir una sesión de invitado mientras estoy conectado.
He probado la teoría de la "presión aplicada"; Las ventanas pueden abrirse y de hecho lo hacen mientras la tapa está cerrada. También inicié sesión en una nueva sesión de invitado. /var/log/auth.log
Después de hacer esto, aparecieron líneas de registro idénticas a lo que percibí como actividad sospechosa . Cambié de usuario, volví a mi cuenta y ejecuté el who
comando; el resultado indicó que había un invitado conectado al sistema.
El logotipo de WiFi con la flecha hacia arriba y hacia abajo ha vuelto al logotipo de WiFi estándar y todas las conexiones disponibles son visibles. Este fue un problema con nuestra red y no está relacionado.