나는 내 개인용 컴퓨터의 시스템이 침입했다고 99.9% 확신합니다. 상황이 명확해질 수 있도록 먼저 추론을 설명하겠습니다.
의심스러운 활동 및 후속 조치에 대한 대략적인 타임라인:
4-26 23:00
모든 프로그램을 종료하고 노트북을 닫았습니다.
4-27 12:00
약 13시간 동안 대기 모드에 있던 노트북을 열었습니다. 두 개의 크롬 창, 시스템 설정, 소프트웨어 센터를 포함하여 여러 창이 열렸습니다. 내 데스크탑에는 git 설치 프로그램이 있었습니다(확인해 보니 설치되지 않았습니다).
4-27 13:00
Chrome 기록에는 "git 설치"를 포함하여 내 이메일에 대한 로그인과 내가 시작하지 않은 기타 검색 기록(4-27의 01:00에서 03:00 사이)이 표시되었습니다. 내 브라우저에 Digital Ocean "배시 프롬프트를 사용자 정의하는 방법"이라는 탭이 열려 있었습니다. 닫은 후 여러 번 다시 열렸습니다. Chrome에서 보안을 강화했습니다.
Wi-Fi 연결이 끊어졌지만 다시 연결했을 때 표준 기호 대신 위아래 화살표 기호가 있었고 Wi-Fi 드롭다운 메뉴에 더 이상 네트워크 목록이 없었습니다.
'연결 편집' 아래에서 내 노트북이 연결된 것을 확인했습니다. 4-27 ~05:30에 "GFiberSetup 1802"라는 네트워크에 연결됩니다. 1802 xx Drive에 있는 내 이웃이 방금 Google Fiber를 설치했기 때문에 관련이 있을 것으로 추측됩니다.
4-27 20:30
이 who명령은 guest-g20zoo라는 두 번째 사용자가 내 시스템에 로그인했음을 나타냅니다. 이것은 Ubuntu를 실행하는 내 개인 노트북입니다. 내 시스템에는 다른 사람이 있어서는 안 됩니다. 당황해서 sudo pkill -9 -u guest-g20zoo네트워킹과 Wi-Fi를 실행하고 비활성화 했습니다.
나는 조사해서 /var/log/auth.log이것을 발견했다:
Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session
출력량이 많아서 죄송합니다. 하지만 이는 로그에 있는 guest-g20zoo의 활동 중 대부분입니다. 모두 몇 분 안에 이루어집니다.
나는 또한 다음을 확인했습니다 /etc/passwd.
guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash
그리고 /etc/shadow:
root:!:16669:0:99999:7:::
daemon:*:16547:0:99999:7:::
.
.
.
nobody:*:16547:0:99999:7:::
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::
guest-G4J7WQ:*:16689:0:99999:7:::
.
.
이 결과가 내 상황에서 무엇을 의미하는지 완전히 이해하지 못합니다. guest-g20zoo과( guest-G4J7WQ와) 같은 사용자 인가요 ?
lastlog쇼:
guest-G4J7WQ Never logged in
그러나 다음을 last보여줍니다.
guest-g20zoo Wed Apr 27 06:55 - 20:33 (13:37)
따라서 동일한 사용자가 아닌 것처럼 보이지만 lastlog.
사용자 guest-g20zoo에 대한 액세스를 차단하고 싶지만 그 사람이 표시되지 않고 /etc/shadow로그인에 비밀번호를 사용하지 않고 ssh를 사용한다고 가정하므로 passwd -l guest-g20zoo작동할까요?
시도했지만 systemctl stop sshd다음과 같은 오류 메시지가 나타납니다.
Failed to stop sshd.service: Unit sshd.service not loaded
이는 내 시스템에서 원격 로그인이 이미 비활성화되어 있으므로 위 명령이 중복된다는 의미입니까?
나는 이 새로운 사용자에 대해 그들이 로그인한 IP 주소와 같은 추가 정보를 찾으려고 노력했지만 아무 것도 찾을 수 없는 것 같습니다.
잠재적으로 관련이 있는 정보:
현재 대학 네트워크에 연결되어 있고 Wi-Fi 아이콘이 괜찮아 보이고 모든 네트워크 옵션을 볼 수 있으며 자체적으로 이상한 브라우저가 표시되지 않습니다. 이는 내 시스템에 로그인하는 사람이 내 집에 있는 내 WiFi 라우터 범위 내에 있다는 것을 의미합니까?
나는 달렸고 chkrootkit모든 것이보였다좋습니다. 하지만 모든 출력을 해석하는 방법도 모르겠습니다. 여기서 무엇을 해야할지 모르겠습니다. 나는 단지 이 사람(또는 그 문제에 대해 다른 사람)이 내 시스템에 다시는 액세스할 수 없도록 확실히 하고 싶고 그들이 만든 숨겨진 파일을 찾아 제거하고 싶습니다. 부탁드립니다. 감사합니다!
추신 - Wi-Fi와 네트워킹이 비활성화된 동안 이미 비밀번호를 변경하고 중요한 파일을 암호화했습니다.
답변1
하드 드라이브를 지우고 운영 체제를 처음부터 다시 설치하십시오.
무단 액세스의 경우에는 공격자가 루트 권한을 얻을 가능성이 있으므로 그런 일이 발생했다고 가정하는 것이 합리적입니다. 이 경우 auth.log는 이것이 실제로 사실임을 확인하는 것으로 보입니다.너전환된 사용자:
4월 27일 06:55:55 Rho su[23881]: 루트로 guest-g20zoo에 대한 su 성공
특히 루트 권한을 사용하면 부팅 스크립트를 수정하거나 부팅 시 실행되는 새 스크립트 및 응용 프로그램을 설치하는 등 재설치 없이는 실제로 수정이 불가능한 방식으로 시스템을 망칠 수 있습니다. 이는 승인되지 않은 네트워크 소프트웨어를 실행하거나(예: 봇넷의 일부를 형성) 시스템에 백도어를 남기는 등의 작업을 수행할 수 있습니다. 재설치 없이 이런 종류의 문제를 감지하고 복구하려고 시도하는 것은 기껏해야 지저분한 일이며 모든 것을 제거한다는 보장은 없습니다.
답변2
귀하가 방에 없는 동안 누군가가 귀하의 노트북에서 게스트 세션을 연 것 같습니다. 내가 너라면 주변에 물어볼 텐데, 그 사람이 친구일 수도 있다.
/etc/passwd당신이 보고 의심 하지 않는 게스트 계정은 /etc/shadow누군가 게스트 세션을 열 때 시스템에 의해 생성됩니다.
4월 27일 06:55:55 Rho su[23881]: 루트로 guest-g20zoo에 대한 su 성공
이 줄은 root게스트 계정에 대한 액세스 권한이 있음을 의미하며 이는 정상일 수 있지만 조사해야 합니다. ubuntu1404LTS를 사용해 보았는데 이 동작이 보이지 않습니다. 게스트 세션으로 로그인을 시도하고 auth.log게스트 사용자가 로그인할 때마다 이 줄이 나타나는지 확인해야 합니다.
노트북을 열었을 때 보았던 모든 열린 크롬 창. 게스트 세션 데스크톱을 보고 있었을 가능성이 있나요?
답변3
"여러 개의 브라우저 탭/창이 열려 있고, 소프트웨어 센터가 열려 있고, 파일이 데스크탑에 다운로드되었습니다."는 누군가가 SSH를 통해 귀하의 컴퓨터에 로그인하는 것과 그다지 일치하지 않는다는 점을 언급하고 싶습니다. 공격자가 SSH를 통해 로그인하면 데스크탑에 표시되는 것과 완전히 별개인 텍스트 콘솔이 표시됩니다. 그들은 또한 자신의 컴퓨터 앞에 앉아 있기 때문에 데스크톱 세션에서 "git 설치 방법"을 검색할 필요가 없습니다. 그렇죠? Git을 설치하고 싶어도(왜?) Git은 Ubuntu 리포지토리에 있기 때문에 설치 프로그램을 다운로드할 필요가 없습니다. Git이나 Ubuntu에 대해 아는 사람이라면 누구나 알 것입니다. 그리고 왜 bash 프롬프트를 사용자 정의하는 방법을 Google에 검색해야 했습니까?
또한 "브라우저에 탭이 열려 있었습니다. 닫은 후 여러 번 다시 열렸습니다."는 실제로 여러 개의 동일한 탭이 열려 있었기 때문에 하나씩 닫아야 했던 것으로 의심됩니다.
여기서 내가 말하려는 것은 활동 패턴이 "타자기를 든 원숭이"와 비슷하다는 것입니다.
또한 SSH 서버가 설치되어 있다고 언급하지 않았습니다. 기본적으로 설치되지 않습니다.
그러니 아무도 없었다고 확신한다면물리적 접근당신이 모르는 사이에 노트북에 터치스크린이 있고 제대로 정지되지 않고 배낭에 한동안 넣어 두었다면 이 모든 것이 단순히 "포켓 콜"의 사례일 수 있다고 생각합니다. 검색 제안 및 자동 수정 기능은 여러 창을 열고 Google 검색을 수행하여 임의의 링크를 클릭하고 임의의 파일을 다운로드했습니다.
개인적인 일화로 말하자면, 주머니에 스마트폰을 넣고 여러 앱을 열고, 시스템 설정을 변경하고, 반일관적인 SMS 메시지를 보내고, 임의의 YouTube 동영상을 보는 등의 일이 가끔 발생합니다.
답변4
"의심스러운" 활동은 다음과 같이 설명됩니다. 덮개를 닫았을 때 내 노트북이 더 이상 정지되지 않고 노트북이 터치 스크린이며 가해진 압력에 반응합니다(아마도 고양이일 것입니다). 에서 제공된 행 /var/log/auth.log과 명령의 출력은 who게스트 세션 로그인과 일치합니다. 인사말에서 게스트 세션 로그인을 비활성화했지만 Unity DE의 오른쪽 상단에 있는 드롭다운 메뉴에서 계속 액세스할 수 있습니다. 따라서 로그인한 동안 게스트 세션을 열 수 있습니다.
나는 "적용 압력" 이론을 테스트했습니다. 뚜껑이 닫혀 있는 동안에도 창문이 열릴 수 있습니다. 나는 또한 새로운 게스트 세션에 로그인했습니다. /var/log/auth.log이 작업을 수행한 후에 의심스러운 활동으로 인식된 것과 동일한 로그 라인이 나타났습니다 . 사용자를 다시 내 계정으로 전환하고 who명령을 실행했습니다. 출력에는 시스템에 로그인한 게스트가 있음이 표시되었습니다.
위쪽-아래쪽 화살표 WiFi 로고가 표준 WiFi 로고로 되돌아갔으며 사용 가능한 모든 연결이 표시됩니다. 이는 당사 네트워크의 문제이며 관련이 없습니다.