我 99.9% 確信我的個人電腦上的系統已被滲透。請容許我先給我的推理,以便情況清楚:
可疑活動的大致時間表和隨後採取的行動:
4-26 23:00
我結束了所有程式並關閉了我的筆記型電腦。
4-27 12:00
我在筆記型電腦處於掛起模式大約 13 個小時後打開了它。開啟了多個窗口,包括:兩個鍍鉻窗口、系統設定、軟體中心。我的桌面上有一個 git 安裝程式(我檢查過,它還沒有安裝)。
4-27 13:00
Chrome 歷史記錄顯示了我的電子郵件的登入信息,以及我未啟動的其他搜尋記錄(4-27 01:00 到 03:00 之間),包括「安裝 git」。我的瀏覽器中開啟了一個標籤 Digital Ocean「如何自訂 bash 提示字元」。我關閉它後又重新打開了好幾次。我加強了 Chrome 的安全性。
我斷開了 WiFi 連接,但是當我重新連接時,出現了一個向上向下箭頭符號,而不是標準符號,並且在“編輯連接”下的 Wifi 下拉菜單中不再有網絡列表,
我注意到我的筆記型電腦已連接於 4 月 27 日 ~05:30 發送至名為「GFiberSetup 1802」的網路。我在 1802 xx Drive 的鄰居剛剛安裝了谷歌光纖,所以我猜這是相關的。
4-27 20:30
該who指令顯示第二個名為 guest-g20zoo 的使用者已登入我的系統。這是我運行 Ubuntu 的私人筆記型電腦,我的系統上不應該有任何其他人。驚慌失措,我跑了sudo pkill -9 -u guest-g20zoo並禁用了網路和 Wifi
我查看了一下/var/log/auth.log,發現了這個:
Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session
抱歉,輸出量很大,但這是日誌中 guest-g20zoo 的大部分活動,所有這些都在幾分鐘內完成。
我還檢查了/etc/passwd:
guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash
和/etc/shadow:
root:!:16669:0:99999:7:::
daemon:*:16547:0:99999:7:::
.
.
.
nobody:*:16547:0:99999:7:::
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::
guest-G4J7WQ:*:16689:0:99999:7:::
.
.
我不完全理解這個輸出對我的情況意味著什麼。guest-g20zoo和是guest-G4J7WQ同一個用戶嗎?
lastlog顯示:
guest-G4J7WQ Never logged in
然而,last顯示:
guest-g20zoo Wed Apr 27 06:55 - 20:33 (13:37)
所以看起來他們不是同一個用戶,但 guest-g20zoo 在 的輸出中找不到lastlog。
我想阻止用戶 guest-g20zoo 的訪問,但由於他沒有出現,/etc/shadow並且我假設不使用密碼登錄,而是使用 ssh,會passwd -l guest-g20zoo起作用嗎?
我嘗試過systemctl stop sshd,但收到此錯誤訊息:
Failed to stop sshd.service: Unit sshd.service not loaded
這是否意味著我的系統上已停用遠端登錄,因此上述命令是多餘的?
我試圖找到有關這個新用戶的更多信息,例如他們登入的 IP 位址,但我似乎找不到任何資訊。
一些可能相關的資訊:
目前我已連接到大學的網絡,而且我的 WiFi 圖示看起來很好,我可以看到我的所有網路選項,並且沒有任何奇怪的瀏覽器自行彈出。這是否表示登入我係統的人在我家 WiFi 路由器的範圍內?
我跑chkrootkit了一切似乎很好,但我也不知道如何解釋所有輸出。我真的不知道在這裡做什麼。我只是想絕對確定此人(或任何其他人)將永遠無法再次訪問我的系統,並且我想找到並刪除他們創建的任何隱藏文件。謝謝,麻煩您了!
PS - 當 WiFi 和網路被停用時,我已經更改了密碼並加密了我的重要文件。
答案1
擦除硬碟並從頭開始重新安裝作業系統。
在任何未經授權的存取情況下,攻擊者都有可能獲得 root 權限,因此假設這種情況發生是明智的。在這種情況下,auth.log 似乎證實了情況確實如此 - 除非這是你切換用戶:
4 月 27 日 06:55:55 Rho su[23881]:透過 root 成功 su guest-g20zoo
特別是對於 root 權限,他們可能會以不重新安裝實際上無法修復的方式擾亂系統,例如透過修改啟動腳本或安裝在啟動時運行的新腳本和應用程式等。這些可以執行諸如運行未經授權的網路軟體(即形成殭屍網路的一部分)或在您的系統中留下後門之類的事情。嘗試在不重新安裝的情況下檢測和修復此類問題充其量是混亂的,並且不能保證消除所有內容。
答案2
當您離開房間時,似乎有人在您的筆記型電腦上打開了訪客會話。如果我是你,我會四處打聽,那可能是朋友。
您看到的訪客帳戶對我來說/etc/passwd並不/etc/shadow可疑,它們是當有人打開訪客會話時由系統建立的。
4 月 27 日 06:55:55 Rho su[23881]:透過 root 成功 su guest-g20zoo
此行表示root可以存取訪客帳戶,這可能是正常的,但應進行調查。我已經在我的 ubuntu1404LTS 上嘗試過,但沒有看到這種行為。您應該嘗試使用訪客會話登入並 grep 您的命令auth.log以查看每次訪客使用者登入時是否都會出現此行。
當您開啟筆記型電腦時看到的所有開啟的 chrome 視窗。您是否有可能看到訪客會話桌面?
答案3
我只想提一下,「開啟多個瀏覽器標籤/視窗、開啟軟體中心、將檔案下載到桌面」與某人透過 SSH 登入您的電腦不太一致。透過 SSH 登入的攻擊者將獲得一個文字控制台,該控制台與您在桌面上看到的內容完全分開。他們也不需要從桌面會話中搜尋“如何安裝 git”,因為他們會坐在自己的電腦前,對吧?即使他們想安裝 Git(為什麼?),他們也不需要下載安裝程序,因為 Git 位於 Ubuntu 儲存庫中,任何了解 Git 或 Ubuntu 的人都知道這一點。為什麼他們必須用谷歌搜尋如何自訂 bash 提示符號?
我還懷疑“有一個選項卡...在我的瀏覽器中打開。我關閉它後它重新打開了好幾次”實際上是打開了多個相同的選項卡,因此您必須將它們一一關閉。
我在這裡想說的是,這種活動模式類似「拿著打字機的猴子」。
您也沒有提到您甚至安裝了 SSH 伺服器 - 預設未安裝它。
所以,如果你絕對確定沒有人有實體訪問在您不知情的情況下,您的筆記型電腦,並且您的筆記型電腦有觸控屏,並且它無法正確掛起,並且它在您的背包中呆了一段時間,那麼我認為這一切都可能只是“口袋通話”的情況- 隨機屏幕觸摸與搜索建議和自動更正打開多個窗口並執行谷歌搜索,單擊隨機鏈接並下載隨機文件。
作為個人軼事 - 當我的智慧型手機放在口袋裡時,這種情況時常發生,包括打開多個應用程式、更改系統設定、發送半連貫的簡訊和觀看隨機的 YouTube 影片。
答案4
「可疑」活動的解釋如下:當蓋子關閉時,我的筆記型電腦不再暫停,筆記型電腦是觸控屏,並對施加的壓力做出反應(可能是我的貓)。提供的行/var/log/auth.log以及命令的輸出who與訪客會話登入一致。雖然我禁用了來自歡迎程式的訪客會話登錄,但仍然可以透過 Unity DE 右上角的下拉式選單進行存取。因此,當我登入時可以開啟訪客會話。
我已經測試了“施加壓力”理論;當蓋子關閉時,窗戶可以並且確實可以打開。我還登入了一個新的訪客會話。/var/log/auth.log執行此操作後,出現與我認為可疑活動相同的日誌行。我切換用戶,返回我的帳戶,然後運行命令who- 輸出表明有一位訪客登入系統。
上下箭頭 WiFi 徽標已恢復為標準 WiFi 徽標,並且所有可用連接均可見。這是我們的網路問題,與此無關。