Персональный компьютер взломан: Как мне заблокировать повторный вход этого пользователя? Как узнать, как он входит в систему?

Персональный компьютер взломан: Как мне заблокировать повторный вход этого пользователя? Как узнать, как он входит в систему?

Я на 99,9% уверен, что моя система на моем персональном компьютере была взломана. Позвольте мне сначала привести свои доводы, чтобы ситуация была ясна:

Примерная хронология подозрительной активности и принятых мер:

4-26 23:00
Я закрыл все программы и закрыл ноутбук.

4-27 12:00
Я открыл свой ноутбук после того, как он находился в спящем режиме около 13 часов. Было открыто несколько окон, в том числе: два окна Chrome, системные настройки, центр программного обеспечения. На моем рабочем столе был установщик git (я проверил, он не был установлен).

4-27 13:00
История Chrome отображала входы в мою электронную почту и другую историю поиска, которую я не инициировал (между 01:00 и 03:00 4-27), включая "installing git". В моем браузере была открыта вкладка Digital Ocean "How to custom your bash prompt". Она открывалась несколько раз после того, как я ее закрыл. Я усилил безопасность в Chrome.

Я отключился от WiFi, но когда я снова подключился, вместо стандартного символа появился символ стрелки вверх-вниз, и в раскрывающемся меню для Wi-Fi больше не было списка сетей. В разделе
«Изменить подключения» я заметил, что мой ноутбук подключился к сети под названием «GFiberSetup 1802» примерно в 05:30 4-27. Мои соседи по адресу 1802 xx Drive только что установили Google fiber, так что я предполагаю, что это связано.

4-27 20:30
Команда whoпоказала, что второй пользователь с именем guest-g20zoo вошел в мою систему. Это мой личный ноутбук, на котором работает Ubuntu, больше никого не должно быть в моей системе. Запаниковав, я запустил sudo pkill -9 -u guest-g20zooи отключил Networking и Wifi

Я заглянул /var/log/auth.logи нашел вот это:

Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999  
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash    
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root  
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo  
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.  
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.  
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)  
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session

Извините за большой объем вывода, но это основная часть активности guest-g20zoo в журнале, и все это за пару минут.

Я также проверил /etc/passwd:

guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash

И /etc/shadow:

root:!:16669:0:99999:7:::  
daemon:*:16547:0:99999:7:::  
.  
.  
.   
nobody:*:16547:0:99999:7:::  
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::  
guest-G4J7WQ:*:16689:0:99999:7:::  
.  
.

Я не совсем понимаю, что означает этот вывод для моей ситуации. Являются ли guest-g20zooи одним и guest-G4J7WQтем же пользователем?

lastlogпоказывает:

guest-G4J7WQ      Never logged in

Однако, lastпоказывает:

guest-g20zoo      Wed Apr 27 06:55 - 20:33 (13:37)

Похоже, что это не один и тот же пользователь, но guest-g20zoo нигде не обнаружен в выводе lastlog.

Я хотел бы заблокировать доступ для пользователя guest-g20zoo, но поскольку он(а) не отображается /etc/shadowи я предполагаю, что он не использует пароль для входа, а использует SSH, сработает ли это passwd -l guest-g20zoo?

Я попробовал systemctl stop sshd, но получил следующее сообщение об ошибке:

Failed to stop sshd.service: Unit sshd.service not loaded

Означает ли это, что удаленный вход в систему уже отключен в моей системе, и поэтому указанная выше команда является избыточной?

Я пытался найти больше информации об этом новом пользователе, например, с какого IP-адреса он вошел в систему, но ничего не смог найти.

Некоторая потенциально важная информация:
в настоящее время я подключен к сети моего университета, и мой значок WiFi выглядит нормально, я вижу все свои сетевые опции, и нет никаких странных браузеров, которые появляются сами по себе. Означает ли это, что тот, кто входит в мою систему, находится в зоне действия моего маршрутизатора WiFi у меня дома?

Я побежал chkrootkitи все.казалосьхорошо, но я также не знаю, как интерпретировать все эти выходные данные. Я действительно не знаю, что здесь делать. Я просто хочу быть абсолютно уверен, что этот человек (или кто-либо другой, если на то пошло) никогда больше не сможет получить доступ к моей системе, и я хочу найти и удалить все скрытые файлы, созданные им. Пожалуйста и спасибо!

PS - Я уже сменил пароль и зашифровал важные файлы, пока Wi-Fi и сеть были отключены.

решение1

Очистите жесткий диск и переустановите операционную систему с нуля.

В любом случае несанкционированного доступа существует вероятность, что злоумышленник смог получить привилегии root, поэтому разумно предположить, что это произошло. В этом случае auth.log, похоже, подтверждает, что это действительно так - если только это не былотычто сменил пользователя:

27 апр. 06:55:55 Rho su[23881]: Успешный su для guest-g20zoo пользователем root

В частности, с привилегиями root они могли нарушить работу системы способами, которые практически невозможно исправить без переустановки, например, путем изменения загрузочных скриптов или установки новых скриптов и приложений, которые запускаются при загрузке, и т. д. Они могли бы делать такие вещи, как запуск несанкционированного сетевого программного обеспечения (т. е. входить в состав ботнета) или оставлять бэкдоры в вашей системе. Попытка обнаружить и исправить такие вещи без переустановки в лучшем случае грязная и не гарантирует избавления от всего.

решение2

Похоже, кто-то открыл гостевой сеанс на вашем ноутбуке, пока вы отсутствовали в своей комнате. Если бы я был на вашем месте, я бы поспрашивал, это может быть друг.

Гостевые аккаунты, которые вы видите /etc/passwd, /etc/shadowне вызывают у меня подозрений, они создаются системой, когда кто-то открывает гостевой сеанс.

27 апр. 06:55:55 Rho su[23881]: Успешный su для guest-g20zoo пользователем root

Эта строка означает, что rootимеет доступ к гостевой учетной записи, что может быть нормальным, но должно быть исследовано. Я пробовал на своем ubuntu1404LTS и не вижу такого поведения. Вам следует попробовать войти в гостевой сеанс и выполнить grep, auth.logчтобы увидеть, появляется ли эта строка каждый раз, когда входит гостевой пользователь.

Все открытые окна хрома, которые вы видели, когда открывали свой ноутбук. Возможно ли, что вы видели рабочий стол гостевой сессии?

решение3

Я просто хочу отметить, что "несколько вкладок/окон браузера открыты, Центр программного обеспечения открыт, файлы загружены на рабочий стол" не очень согласуются с тем, что кто-то входит в ваш компьютер через SSH. Злоумышленник, входящий в систему через SSH, получит текстовую консоль, которая полностью отделена от того, что вы видите на рабочем столе. Им также не нужно будет гуглить "как установить git" из сеанса вашего рабочего стола, потому что они будут сидеть перед своим собственным компьютером, верно? Даже если они захотят установить Git (зачем?), им не нужно будет загружать установщик, потому что Git есть в репозиториях Ubuntu, любой, кто хоть что-то знает о Git или Ubuntu, знает это. И зачем им нужно было гуглить, как настроить приглашение bash?

Я также подозреваю, что «В моем браузере была открыта вкладка... Она открывалась несколько раз после того, как я ее закрыл» на самом деле означало, что открыто несколько одинаковых вкладок, поэтому их приходилось закрывать одну за другой.

Я пытаюсь сказать, что характер деятельности напоминает «обезьяну с пишущей машинкой».

Вы также не упомянули, что у вас установлен SSH-сервер — по умолчанию он не установлен.

Итак, если вы абсолютно уверены, что никто нефизический доступваш ноутбук без вашего ведома, и у вашего ноутбука есть сенсорный экран, и он не переходит в режим ожидания должным образом, и он провел некоторое время в вашем рюкзаке, то я думаю, что все это может быть просто случаем «карманных звонков» — случайные прикосновения к экрану в сочетании с поисковыми подсказками и автокоррекцией открывали несколько окон и выполняли поиск в Google, нажимали на случайные ссылки и загружали случайные файлы.

Из личного опыта: это время от времени происходит, когда мой смартфон находится у меня в кармане: я открываю несколько приложений, меняю системные настройки, отправляю невнятные SMS-сообщения и смотрю случайные видео на YouTube.

решение4

«Подозрительная» активность объясняется следующим: мой ноутбук больше не приостанавливается при закрытии крышки, ноутбук оснащен сенсорным экраном и реагирует на приложенное давление (возможно, мои кошки). Предоставленные строки из /var/log/auth.logи вывод команды whoсоответствуют входу в гостевой сеанс. Хотя я отключил вход в гостевой сеанс из приветствия, он по-прежнему доступен из раскрывающегося меню в правом верхнем углу в среде разработки Unity. Следовательно, гостевой сеанс может быть открыт, пока я вошел в систему.

Я проверил теорию «приложенного давления»; окна могут открываться и открываются, пока крышка закрыта. Я также вошел в новый гостевой сеанс. Строки журнала, идентичные тому, что я воспринял как подозрительную активность, присутствовали /var/log/auth.logпосле того, как я это сделал. Я переключил пользователей, вернулся в свою учетную запись и выполнил whoкоманду — вывод показал, что в систему вошел гость.

Логотип WiFi со стрелкой вверх-вниз вернулся к стандартному логотипу WiFi, и видны все доступные соединения. Это была проблема с нашей сетью, и она не связана.

Связанный контент