Tenho 99,9% de certeza de que meu sistema no meu computador pessoal foi infiltrado. Permita-me primeiro apresentar meu raciocínio para que a situação fique clara:
Cronograma aproximado de atividades suspeitas e ações subsequentes tomadas:
26/04 23:00
Encerrei todos os programas e fechei meu laptop.
4-27 12:00
Abri meu laptop depois de ele ter ficado em modo de suspensão por cerca de 13 horas. Várias janelas foram abertas, incluindo: Duas janelas cromadas, configurações do sistema, centro de software. Na minha área de trabalho havia um instalador git (verifiquei, não foi instalado).
4-27 13:00
O histórico do Chrome exibiu logins no meu e-mail e outros históricos de pesquisa que não iniciei (entre 01:00 e 03:00 do dia 27/04), incluindo "instalando o git". Havia uma guia, Digital Ocean "Como personalizar seu prompt do bash" aberta no meu navegador. Reabriu várias vezes depois que fechei. Aumentei a segurança no Chrome.
Desconectei-me do WiFi, mas quando reconectei, havia um símbolo de seta para cima e para baixo em vez do símbolo padrão e não havia mais uma lista de redes no menu suspenso de Wifi.
Em 'Editar conexões', percebi que meu laptop estava conectado para uma rede chamada "GFiberSetup 1802" às 05:30 do dia 27/04. Meus vizinhos da 1802 xx Drive acabaram de instalar o Google Fiber, então acho que está relacionado.
4-27 20:30
O whocomando revelou que um segundo usuário chamado guest-g20zoo estava logado em meu sistema. Este é o meu laptop particular que roda o Ubuntu, não deve haver mais ninguém no meu sistema. Em pânico, corri sudo pkill -9 -u guest-g20zooe desativei a rede e o Wifi
Procurei /var/log/auth.loge encontrei isto:
Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session
Desculpe, é muita saída, mas essa é a maior parte da atividade do guest-g20zoo no log, tudo em alguns minutos.
Eu também verifiquei /etc/passwd:
guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash
E /etc/shadow:
root:!:16669:0:99999:7:::
daemon:*:16547:0:99999:7:::
.
.
.
nobody:*:16547:0:99999:7:::
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::
guest-G4J7WQ:*:16689:0:99999:7:::
.
.
Não entendo inteiramente o que essa saída significa para minha situação. São guest-g20zooe guest-G4J7WQo mesmo usuário?
lastlogmostra:
guest-G4J7WQ Never logged in
No entanto, lastmostra:
guest-g20zoo Wed Apr 27 06:55 - 20:33 (13:37)
Parece que eles não são o mesmo usuário, mas guest-g20zoo não foi encontrado em lugar nenhum na saída de lastlog.
Gostaria de bloquear o acesso do usuário guest-g20zoo mas como ele não aparece /etc/shadowe presumo que não usa senha para fazer login, mas usa ssh, vai passwd -l guest-g20zoofuncionar?
Eu tentei systemctl stop sshd, mas recebi esta mensagem de erro:
Failed to stop sshd.service: Unit sshd.service not loaded
Isso significa que o login remoto já estava desabilitado no meu sistema e, portanto, o comando acima é redundante?
Tentei encontrar mais informações sobre esse novo usuário, como o endereço IP de onde ele fez login, mas não consigo encontrar nada.
Algumas informações potencialmente relevantes:
atualmente estou conectado à rede da minha universidade e meu ícone WiFi parece bom, posso ver todas as minhas opções de rede e não há navegadores estranhos aparecendo sozinhos. Isso indica que quem está fazendo login no meu sistema está dentro do alcance do meu roteador WiFi em minha casa?
Eu corri chkrootkite tudopareceutudo bem, mas também não sei como interpretar toda a saída. Eu realmente não sei o que fazer aqui. Só quero ter certeza absoluta de que essa pessoa (ou qualquer outra pessoa) nunca mais conseguirá acessar meu sistema e quero encontrar e remover quaisquer arquivos ocultos criados por ela. Por favor e obrigado!
PS - Já mudei minha senha e criptografei meus arquivos importantes enquanto o WiFi e a rede estavam desativados.
Responder1
Limpe o disco rígido e reinstale o sistema operacional do zero.
Em qualquer caso de acesso não autorizado, existe a possibilidade de o invasor ter conseguido obter privilégios de root, por isso é sensato presumir que isso aconteceu. Neste caso, auth.log parece confirmar que este foi realmente o caso - a menos que tenha sidovocêaquele usuário trocado:
27 de abril 06:55:55 Rho su[23881]: Su bem-sucedido para guest-g20zoo por root
Com privilégios de root em particular, eles podem ter mexido no sistema de maneiras que são praticamente impossíveis de consertar sem reinstalar, como modificando scripts de inicialização ou instalando novos scripts e aplicativos que são executados na inicialização e assim por diante. Eles podem fazer coisas como executar software de rede não autorizado (ou seja, fazer parte de uma botnet) ou deixar backdoors em seu sistema. Tentar detectar e reparar esse tipo de coisa sem reinstalar é, na melhor das hipóteses, confuso e não é garantido que você se livrará de tudo.
Responder2
Parece que alguém abriu uma sessão de convidado em seu laptop enquanto você estava fora do quarto. Se eu fosse você perguntaria por aí, pode ser um amigo.
As contas de convidados que você vê /etc/passwde /etc/shadownão são suspeitas para mim, são criadas pelo sistema quando alguém abre uma sessão de convidado.
27 de abril 06:55:55 Rho su[23881]: Su bem-sucedido para guest-g20zoo por root
Esta linha significa rootque tem acesso à conta de convidado, o que pode ser normal, mas deve ser investigado. Eu tentei no meu ubuntu1404LTS e não vejo esse comportamento. Você deve tentar fazer login com uma sessão de convidado e usar o grep auth.logpara ver se esta linha aparece sempre que um usuário convidado faz login.
Todas as janelas abertas do Chrome, que você viu quando abriu seu laptop. É possível que você estivesse vendo a área de trabalho da sessão de convidado?
Responder3
Só quero mencionar que "várias guias/janelas do navegador abertas, Centro de Software aberto, arquivos baixados para a área de trabalho" não é muito consistente com alguém fazendo login em sua máquina via SSH. O login de um invasor via SSH obteria um console de texto completamente separado do que você vê em sua área de trabalho. Eles também não precisariam pesquisar no Google "como instalar o git" na sua sessão de desktop porque estariam sentados na frente de seus próprios computadores, certo? Mesmo se eles quisessem instalar o Git (por quê?), eles não precisariam baixar um instalador porque o Git está nos repositórios do Ubuntu, qualquer um que saiba alguma coisa sobre o Git ou o Ubuntu sabe disso. E por que eles precisaram pesquisar no Google como personalizar o prompt do bash?
Também suspeito que "Havia uma guia... aberta no meu navegador. Ela reabriu várias vezes depois de fechá-la" eram na verdade várias guias idênticas abertas, então você teve que fechá-las uma por uma.
O que estou tentando dizer aqui é que o padrão de atividade lembra um “macaco com uma máquina de escrever”.
Você também não mencionou que tinha o servidor SSH instalado - ele não é instalado por padrão.
Então, se você tem certeza absoluta de que ninguém teveacesso físicoseu laptop sem o seu conhecimento, e seu laptop tem uma tela sensível ao toque, não suspende corretamente e passou algum tempo na sua mochila, então acho que tudo pode ser simplesmente um caso de "chamada de bolso" - toques aleatórios na tela combinados com sugestões de pesquisa e correção automática abriram várias janelas e realizaram pesquisas no Google, clicando em links aleatórios e baixando arquivos aleatórios.
Como uma anedota pessoal - isso acontece de vez em quando com meu smartphone no bolso, incluindo abrir vários aplicativos, alterar configurações do sistema, enviar mensagens SMS semicoerentes e assistir vídeos aleatórios do YouTube.
Responder4
A atividade "suspeita" é explicada pelo seguinte: meu laptop não fica mais suspenso quando a tampa é fechada, o laptop é uma tela sensível ao toque e reage à pressão aplicada (possivelmente meus gatos). As linhas fornecidas em /var/log/auth.loge a saída do whocomando são consistentes com um login de sessão de convidado. Embora eu tenha desabilitado o login da sessão de convidado no saudador, ele ainda está acessível no menu suspenso no canto superior direito do Unity DE. Portanto, uma sessão de convidado pode ser aberta enquanto eu estiver logado.
Testei a teoria da “pressão aplicada”; as janelas podem abrir e abrem enquanto a tampa está fechada. Também entrei em uma nova sessão de convidado. Linhas de registro idênticas ao que percebi como atividade suspeita estavam presentes /var/log/auth.logdepois que fiz isso. Troquei de usuário, voltei para minha conta e executei o whocomando - a saída indicou que havia um convidado conectado ao sistema.
O logotipo WiFi com seta para cima e para baixo foi revertido para o logotipo WiFi padrão e todas as conexões disponíveis estão visíveis. Este foi um problema com nossa rede e não está relacionado.