Alguns usuários estranhos

tag-icon tag-icon 14.04 xubuntu firefox security users
Alguns usuários estranhos

algo está errado aqui. Aqui está minha captura de tela do htop. Não lancei nenhum plugin do Firefox ou do Firefox. Na verdade, acabei de excluir o Firefox.

Aqui está meu /etc/passwd

$ cat /etc/passwd
...
guest-v2ZwkB:x:119:127:Guest,,,:/tmp/guest-v2ZwkB:/bin/bash
guest-CoeJOG:x:120:128:Guest,,,:/tmp/guest-CoeJOG:/bin/bash
guest-GBapg4:x:121:129:Guest,,,:/tmp/guest-GBapg4:/bin/bash
guest-oqAb2e:x:122:130:Guest,,,:/tmp/guest-oqAb2e:/bin/bash

Quem diabos é o convidado-*? Eu não criei esses usuários.

Aqui está a saída w cmd

$ w
 03:06:54 up 12:50,  6 users,  load average: 3,45, 3,29, 2,82
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
m0x35    :0       :0               Сб.14   ?xdm?   9:45m  0.11s init --user
m0x35    pts/6    :0.0             Сб.14    0.00s  0.11s  0.01s w
guest-v2 :1       :1               17:52   ?xdm?   9:45m  0.09s init --user
guest-Co :2       :2               18:04   ?xdm?   9:45m  0.09s init --user
guest-GB :3       :3               23:36   ?xdm?   9:45m  0.10s init --user
guest-oq :4       :4               23:58   ?xdm?   9:45m  0.08s init --user

O que diabos está acontecendo? Eu fui hackeado? Eu tenho que me preocupar com isso?

$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 14.04.3 LTS
Release:    14.04
Codename:   trusty

Terei prazer em fornecer informações adicionais. Obrigado.

sudo netstat -natpnão mostrou nada de especial. Apenas algumas portas abertas para serviço nfs, cupsd, dnsmasq. Mas duas portas estão vinculadas a algum outro serviço e não consigo obter o nome do pid/programm no netstat.

tcp        0      0 0.0.0.0:2049            0.0.0.0:*               LISTEN      -               
tcp        0      0 0.0.0.0:44483           0.0.0.0:*               LISTEN      -

Monitorei minha interface com o tcpdump por cerca de um minuto - nada de estranho.

Atualização:

03:32:42.455320 IP le-in-f93.1e100.net.https > m0x35-pc.47065: tcp 727
03:32:42.455334 IP m0x35-pc.47065 > le-in-f93.1e100.net.https: tcp 0
03:32:42.455339 IP le-in-f93.1e100.net.https > m0x35-pc.47065: tcp 46
03:32:42.455662 IP m0x35-pc.47065 > le-in-f93.1e100.net.https: tcp 46
03:32:42.456394 IP m0x35-pc.63482 > 192.168.35.4.domain: UDP, length 47
03:32:42.456428 IP m0x35-pc.25024 > 192.168.35.4.domain: UDP, length 47
03:32:42.456453 IP m0x35-pc.20231 > 192.168.35.4.domain: UDP, length 47
03:32:42.463492 IP 192.168.35.4.domain > m0x35-pc.63482: UDP, length 314
03:32:42.463547 IP 192.168.35.4.domain > m0x35-pc.25024: UDP, length 246
03:32:42.463566 IP 192.168.35.4.domain > m0x35-pc.20231: UDP, length 314
03:32:42.463926 IP m0x35-pc.39292 > lj-in-f100.1e100.net.https: tcp 0
03:32:42.468759 IP lj-in-f100.1e100.net.https > m0x35-pc.39292: tcp 0
03:32:42.468802 IP m0x35-pc.39292 > lj-in-f100.1e100.net.https: tcp 0
03:32:42.468940 IP m0x35-pc.39292 > lj-in-f100.1e100.net.https: tcp 517
03:32:42.473731 IP lj-in-f100.1e100.net.https > m0x35-pc.39292: tcp 0
03:32:42.473899 IP lj-in-f100.1e100.net.https > m0x35-pc.39292: tcp 152
03:32:42.473913 IP m0x35-pc.39292 > lj-in-f100.1e100.net.https: tcp 0
03:32:42.474249 IP m0x35-pc.39292 > lj-in-f100.1e100.net.https: tcp 51
03:32:42.474523 IP m0x35-pc.39292 > lj-in-f100.1e100.net.https: tcp 157
03:32:42.474585 IP m0x35-pc.39292 > lj-in-f100.1e100.net.https: tcp 301

Fechei tudo que pode se comunicar (ou deveria) com a internet. Ps Parece que é um servidor do Google.

Responder1

Parece que você ou outra pessoa que tem acesso ao seu computador está logado como convidado no sistema.

Você pode excluir esses usuários convidados com:

sudo deluser username

Assim:

sudo deluser guest-v2ZwkB

E você pode desabilitar a sessão de convidado editando o seguinte arquivo:

sudo nano /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf

Adicione a seguinte linha, salve e feche.

allow-guest=false

informação relacionada