Персональный компьютер взломан: как заблокировать этому пользователю повторный вход в систему? Как мне узнать, как они входят в систему?

Question 1

Я на 99,9% уверен, что моя система на моем персональном компьютере была заражена. Позвольте мне сначала привести мои аргументы, чтобы ситуация прояснилась:

Грубый график подозрительной активности и предпринятых последующих действий:

4-26 23:00
Я закончил все программы и закрыли мой ноутбук.

4-27 12:00
Я открыл свой ноутбук после того, как он находился в режиме ожидания около 13 часов. Было открыто несколько окон, включая: два хромированных окна, системные настройки, центр программного обеспечения. На моем рабочем столе был установщик git (я проверил, он не был установлен).

4-27 13:00
История Chrome отображала логины на мою электронную почту и другую историю поиска, которую я не инициировал (с 01:00 до 03:00 4-27), включая «установку мерзавец». В моем браузере открылась вкладка Digital Ocean «Как настроить приглашение bash». Это открывалось несколько раз после того, как я закрыл это. Я усилил безопасность в Chrome.

Я отключился от Wi-Fi, но при повторном подключении вместо стандартного символа появился символ стрелки вверх-вниз, и в раскрывающемся меню для Wi-Fi больше не было списка сетей
«Под» Редактирование подключений «Я заметил, что мой ноутбук подключился к сети под названием« GFiberSetup 1802 »в ~ 05:30 на 4-27. У моих соседей по адресу 1802 xx Drive только что было установлено устройство Google Fiber, поэтому я предполагаю, что это связано.

4-27 20:30
Команда who показала, что второй пользователь с именем guest-g20zoo вошел в мою систему. Это мой частный ноутбук, на котором работает Ubuntu, в моей системе не должно быть никого другого. Паникуя, я запустил sudo pkill -9 -u guest-g20zoo и отключил сеть и Wi-Fi

Я посмотрел в /var/log/auth.log и нашел это:

Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999  
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash    
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root  
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo  
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.  
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.  
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)  
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session

Извините, это много выходных, но это основная часть деятельности от guest-g20zoo в журнале, все за пару минут.

Я также проверил /etc/passwd:

guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash

И /etc/shadow:

root:!:16669:0:99999:7:::  
daemon:*:16547:0:99999:7:::  
.  
.  
.   
nobody:*:16547:0:99999:7:::  
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::  
guest-G4J7WQ:*:16689:0:99999:7:::  
.  
.

Я не совсем понимаю, что этот вывод означает для моей ситуации. Являются ли guest-g20zoo и guest-G4J7WQ одним и тем же пользователем?

lastlog показывает:

guest-G4J7WQ      Never logged in

Однако, last показывает:

guest-g20zoo      Wed Apr 27 06:55 - 20:33 (13:37)

Так что похоже, что они не тот же пользователь, но guest-g20zoo нигде не было найдено в выходных данных lastlog.

Я хотел бы заблокировать доступ для пользователя guest-g20zoo, но так как он не появляется в /etc/shadow, и я предполагаю, что не использует пароль для входа в систему, но использует ssh, will passwd -l guest-g20zoo работать?

Я попытался systemctl stop sshd, но получил это сообщение об ошибке:

Failed to stop sshd.service: Unit sshd.service not loaded

Означает ли это, что удаленный вход в систему уже отключен в моей системе, и поэтому приведенная выше команда является избыточной?

Я пытался найти больше информации об этом новом пользователе, например, с какого IP-адреса он вошел в систему, но я не могу ничего найти.

Некоторая потенциально релевантная информация:
В настоящее время я подключен к сети моего университета, и мой значок WiFi выглядит нормально, я могу видеть все свои параметры сети, и нет никаких странных браузеров, появляющихся на их собственный. Означает ли это, что тот, кто входит в мою систему, находится в пределах досягаемости моего WiFi-маршрутизатора в моем доме?

Я запустил chkrootkit, и все показалось нормальным, но я также не знаю как интерпретировать весь вывод. Я действительно не знаю, что здесь делать. Я просто хочу быть абсолютно уверенным, что этот человек (или кто-либо еще в этом отношении) никогда не сможет снова получить доступ к моей системе, и я хочу найти и удалить любые скрытые файлы, созданные ими. Пожалуйста и спасибо!

П.С. - Я уже изменил свой пароль и зашифровал важные файлы, когда WiFi и сеть были отключены.

Question 2

Похоже, что кто-то открыл гостевую сессию на Вашем ноутбуке в то время как Вы где далеко от Вашей комнаты. На вашем месте я расспросил бы тут и там, который может быть другом.

гостевые учетные записи Вы видите в /etc/passwd, и /etc/shadow не подозрительны мне, они создаются системой, когда кто-то открывает гостевую сессию.

27 апреля 6:55:55 ро su [23881]: Успешный su для гостя-g20zoo корнем

Это средство строки root имеет доступ к гостевой учетной записи, которая могла быть нормальной, но должна быть исследована. Я примерил свой ubuntu1404LTS и не вижу это поведение. Необходимо попытаться войти с гостевой сессией и grep в Ваш auth.log, чтобы видеть, появляется ли эта строка каждый раз, гостевой пользователь входит в систему.

Все открытые окна хрома, который Вы видели при открытии ноутбука. Действительно ли возможно, что Вы видели гостевой рабочий стол сессии?

Question 3

Question 4

У Вас есть какие-либо друзья, которым нравится получать доступ к Вашему ноутбуку удаленно/физически, в то время как Вы ушли? Если нет:

Очистка жесткий диск с DBAN и переустанавливают ОС с нуля. Обязательно скопируйте сначала.

Что-то, возможно, было сильно поставлено под угрозу в рамках самой Ubuntu. Когда Вы переустанавливаете:

Шифруют /home. , Если сам жесткий диск/ноутбук когда-либо физически крадется, они не могут получить доступ к данным в /home.

Шифруют жесткий диск. Это препятствует тому, чтобы люди шли на компромисс /boot без входа в систему. Необходимо будет также ввести пароль времени начальной загрузки (я думаю).

Набор сильный пароль. , Если кто-то выясняет пароль жесткого диска, они не могут получить доступ /home или вход в систему.

Шифруют Ваш WiFi. Кто-то, возможно, добрался в близости маршрутизатора и использовал в своих интересах незашифрованный Wi-Fi и ssh'd в Ваш ноутбук.

Отключают гостевую учетную запись. взломщик может иметь ssh'd в Ваш ноутбук, полученный удаленное соединение, зарегистрированное на пути Гость, и поднял Гостевую учетную запись для укоренения. Это - опасная ситуация. Если бы это произошло, то взломщик мог бы выполнить этот команда VERY DANGEROUS :

rm -rf --no-preserve-root /

Это стирается МНОГО из данных по жесткому диску, мусор /home, и еще хуже, листовая Ubuntu, абсолютно не могущая даже загружаться. Вы будете просто брошены в спасение личинки, и Вы не сможете восстановиться с этого. Взломщик мог также полностью уничтожить /home каталог и так далее. Если у Вас есть домашняя сеть, взломщик мог также все другие компьютеры в той сети, не могущей загружаться (если они запускают Linux).

я надеюсь, что это помогает. :)

Question 5

"Подозрительное" действие объяснено следующим: мой ноутбук больше не приостанавливает, когда крышка закрывается, ноутбук является сенсорным экраном и реагировал на приложенное давление (возможно мои кошки). Обеспеченные строки от /var/log/auth.log, и вывод эти who команда согласовываются с гостевым входом в систему сессии. В то время как я отключил гостевой вход в систему сессии от зазывалы, это все еще доступно из выпадающего меню в верхнем правом угле в Единице DE. Следовательно, гостевая сессия может быть открыта, в то время как я зарегистрирован.

я протестировал теорию "приложенного давления"; окна могут и действительно открываться, в то время как крышка закрывается. Я также вошел в новую гостевую сессию. Строки журнала, идентичные тому, что я чувствовал как подозрительное действие, присутствовали в /var/log/auth.log после того, как я сделал это. Я переключил пользователей, назад в мою учетную запись, и работал эти who команда - вывод указал, что был гость, вошел в систему.

-стрелка-вниз логотип WiFi вернулся к стандартному логотипу WiFi, и все доступные соединения видимы. Это было проблемой с нашей сетью и не связано.

Question 6

Я просто хочу упомянуть, что "несколько вкладок/окон браузера открываются, открытый Центр программного обеспечения, файлы, загруженные на рабочий стол", не очень согласовываются с кем-то входящим в Вашу машину через SSH. Взломщик, регистрирующийся через SSH, получил бы текстовую консоль, которая является абсолютно отдельной от того, что Вы видите на своем рабочем столе. Они также не должны были бы гуглить, "как установить мерзавца" от Вашей настольной сессии, потому что они будут находиться в передней стороне их собственного компьютера, правильно? Даже если они хотели установить Мерзавца (почему?), они не должны были бы загружать установщик, потому что Мерзавец находится в репозиториях Ubuntu, любой, кто знает что-либо о Мерзавце, или Ubuntu знает это. И почему они должны были погуглить, как настроить подсказку удара?

я также подозреваю, что "Была вкладка... открываются в моем браузере. Это несколько раз вновь открылось после того, как я закрылся, это" были на самом деле несколько идентичных вкладок, открытых, таким образом, необходимо было закрыть их один за другим.

, Что я пытаюсь сказать, вот то, что шаблон действия напоминает "обезьяну с печатающим устройством".

Вы также не упоминали, что у Вас даже был установленный сервер SSH - он не установлен по умолчанию.

Так, если Вы абсолютно уверены, что никто не имел физический доступ , Ваш ноутбук без Вашего ведома и Ваш ноутбук имеют сенсорный экран, и это не приостанавливает правильно, и это провело некоторое время в Вашем рюкзаке затем, я думаю, что все это может быть просто случай "вызова кармана" - случайные экранные касания, объединенные с поисковыми предложениями и автоисправлением, открыли несколько окон и выполнили поиски Google, нажимание на случайные ссылки и загрузку случайных файлов.

Как персональная история - это время от времени происходит с моим смартфоном в моем кармане, включая открытие нескольких приложений, изменение параметров настройки системы, отправку полукогерентных SMS-сообщений и просмотр случайных роликов YouTube.

Question 7

Question 8

Очистка жесткий диск и переустанавливают Вашу операционную систему с нуля.

В любом случае несанкционированного доступа существует возможность, взломщик смог получить права пользователя root, таким образом, разумно предположить, что это произошло. В этом случае auth.log, кажется, подтверждает, что это действительно имело место - если это не было Вы , который переключил пользователя:

27 апреля 6:55:55 ро su [23881]: Успешный su для гостя-g20zoo корнем

С полномочиями пользователя root, в частности, они, возможно, смешали с системой способами, которые практически невозможно зафиксировать без переустанавливания, такой как путем изменения сценариев начальной загрузки или установки новых сценариев и приложений, которые работают при начальной загрузке и так далее. Они могли сделать вещи как выполненное несанкционированное сетевое программное обеспечение (т.е. являться частью ботнета), или бэкдоры отпуска в Вашу систему. Попытка обнаружить и восстановить этот вид вещи без переустанавливания грязна в лучшем случае и не гарантируемая избавить Вас от всего.

Question 9

Вытащите беспроводную карту/палку и просмотрите трассировки. Сделайте запись своих журналов, таким образом, askbuntu может помочь далее. После той очистки Ваши диски и попытка другой дистрибутив, попробуйте живой отпуск CD это работающий, чтобы видеть, существует ли шаблон к нападениям.

daniel · Accepted Answer · 4 May 2016 в 23:03

Похоже, что кто-то открыл гостевую сессию на Вашем ноутбуке в то время как Вы где далеко от Вашей комнаты. На вашем месте я расспросил бы тут и там, который может быть другом.

гостевые учетные записи Вы видите в /etc/passwd, и /etc/shadow не подозрительны мне, они создаются системой, когда кто-то открывает гостевую сессию.

27 апреля 6:55:55 ро su [23881]: Успешный su для гостя-g20zoo корнем

Это средство строки root имеет доступ к гостевой учетной записи, которая могла быть нормальной, но должна быть исследована. Я примерил свой ubuntu1404LTS и не вижу это поведение. Необходимо попытаться войти с гостевой сессией и grep в Ваш auth.log, чтобы видеть, появляется ли эта строка каждый раз, гостевой пользователь входит в систему.

Все открытые окна хрома, который Вы видели при открытии ноутбука. Действительно ли возможно, что Вы видели гостевой рабочий стол сессии?

heemayl · Answer 2 · 4 May 2016 в 23:03