Персональный компьютер взломан: как заблокировать этому пользователю повторный вход в систему? Как мне узнать, как они входят в систему?

25

Я на 99,9% уверен, что моя система на моем персональном компьютере была заражена. Позвольте мне сначала высказать свое мнение, чтобы ситуация была ясна:

Грубые сроки подозрительной активности и предпринятых последующих действий:

4-26 23:00
Я закончил все программы и закрыл свой ноутбук.

4-27 12:00
Я открыл свой ноутбук после того, как он находился в режиме ожидания около 13 часов. Было открыто несколько окон, включая: два хромированных окна, системные настройки, центр программного обеспечения. На моем рабочем столе был установщик git (я проверил, он не был установлен).

4-27 13:00
История Chrome отображала логины на мою электронную почту и другую историю поиска, которую я не инициировал (с 01:00 до 03:00 4-27), включая «установку git». В моем браузере открылась вкладка Digital Ocean «Как настроить приглашение bash». Это открывалось несколько раз после того, как я закрыл это. Я ужесточил безопасность в Chrome.

Я отключился от Wi-Fi, но при повторном подключении вместо стандартного символа появился символ стрелки вверх-вниз, и в раскрывающемся меню Wi-Fi больше не было списка сетей.
В разделе «Редактировать подключения» я заметил, что ноутбук подключен в сеть под названием "GFiberSetup 1802" в ~ 05:30 на 4-27. Мои соседи на 1802 xx Drive только что установили Google Fibre, поэтому я предполагаю, что это связано.

4-27 20:30
Команда whoпоказала, что второй пользователь с именем guest-g20zoo вошел в мою систему. Это мой частный ноутбук, на котором работает Ubuntu, в моей системе не должно быть никого другого. Запаниковал, я запустил sudo pkill -9 -u guest-g20zooи отключил сеть и вайфай

Я заглянул /var/log/auth.logи нашел это:

Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999  
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash    
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root  
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo  
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.  
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.  
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)  
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session

Извините, это большой вывод, но это основная часть активности guest-g20zoo в журнале, и все это за пару минут.

Я также проверил /etc/passwd:

guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash

И /etc/shadow:

root:!:16669:0:99999:7:::  
daemon:*:16547:0:99999:7:::  
.  
.  
.   
nobody:*:16547:0:99999:7:::  
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::  
guest-G4J7WQ:*:16689:0:99999:7:::  
.  
.

Я не совсем понимаю, что этот вывод означает для моей ситуации. Есть guest-g20zooи guest-G4J7WQтот же пользователь?

lastlog шоу:

guest-G4J7WQ      Never logged in

Тем не менее, lastпоказывает:

guest-g20zoo      Wed Apr 27 06:55 - 20:33 (13:37)

Так что, похоже, что они не тот же пользователь, но guest-g20zoo нигде не было найдено в выводе lastlog.

Я хотел бы заблокировать доступ для пользователя guest-g20zoo, но так как он не появляется в, /etc/shadowи я предполагаю, что не использует пароль для входа в систему, но использует ssh, будет passwd -l guest-g20zooработать?

Я пытался systemctl stop sshd, но получил это сообщение об ошибке:

Failed to stop sshd.service: Unit sshd.service not loaded

Означает ли это, что удаленный вход в систему уже отключен в моей системе, и поэтому приведенная выше команда является избыточной?

Я пытался найти дополнительную информацию об этом новом пользователе, например, с какого IP-адреса он вошел в систему, но, похоже, ничего не могу найти.

Некоторая потенциально важная информация: в
настоящее время я подключен к сети моего университета, и мой значок WiFi выглядит нормально, я вижу все параметры сети, и нет никаких странных браузеров, которые появляются самостоятельно. Означает ли это, что тот, кто входит в мою систему, находится в пределах досягаемости моего WiFi-маршрутизатора в моем доме?

Я побежал, chkrootkitи все выглядело нормально, но я также не знаю, как интерпретировать весь вывод. Я действительно не знаю, что здесь делать. Я просто хочу быть абсолютно уверенным, что этот человек (или кто-либо еще в этом отношении) никогда не сможет снова получить доступ к моей системе, и я хочу найти и удалить любые скрытые файлы, созданные ими. Пожалуйста и спасибо!

PS - я уже изменил свой пароль и зашифровал важные файлы, когда WiFi и сеть были отключены.

Розмарин с
источник
Есть ли в журнале авторизации записи, которые имеют sshdпосле имени сервера? Если нет, то определенно не было доступа по ssh ... если только они не очистили эту часть журнала и не потрудились очистить другие записи, что было бы странно.
Arronical
1
а затем смените все свои пароли
njzk2
@ Arronical Нет записей, которые имеют sshdпосле имени сервера, но я согласен, что удаление этой информации, но все еще оставляя следы себя странно. Есть ли другой способ проверить, есть ли у кого-нибудь ssh'd в моей системе?
Розмари С
1
Если у вас есть решение, опубликуйте его как ответ и отметьте его как принятое.
Муру

Ответы:

26

Похоже, кто-то открыл сеанс гостя на вашем ноутбуке, пока вы находитесь вдали от вашей комнаты. Если бы я был тобой, я бы спросил, это может быть другом.

Гостевые учетные записи, которые вы видите /etc/passwdи /etc/shadowне подозрительны для меня, они создаются системой, когда кто-то открывает гостевую сессию.

27 апреля 06:55:55 Rho su [23881]: успешный su для guest-g20zoo от root

Эта строка означает, что rootимеет доступ к гостевой учетной записи, которая может быть нормальной, но должна быть исследована. Я пробовал на своем Ubuntu1404LTS и не вижу этого поведения. Вы должны попытаться войти с гостевой сессией и grep your, auth.logчтобы видеть, появляется ли эта строка каждый раз, когда гостевой пользователь входит в систему.

Все открытые окна Chrome, которые вы видели, когда открывали свой ноутбук. Возможно ли, что вы видели рабочий стол гостевой сессии?

Даниил
источник
Это единственный разумный, информированный и не коленный ответ.
труба
Единственный человек, который имеет доступ к моему ноутбуку, - это мой муж, я никогда не оставляю его без присмотра в школе или на публике. Кроме того, я изменил lightdm.conf.dфайл, чтобы запретить вход в гостевую сессию некоторое время назад. Я думаю, что я видел рабочий стол гостевой сессии. Однако я понял, что мой ноутбук больше не зависает, когда крышка закрывается, и это сенсорный экран. Так возможно ли, чтобы окна на моем рабочем столе (не вкладки в Chrome) могли быть открыты, если на части экрана давили, когда он был закрыт? Просто пытаюсь понять, что здесь есть.
Розмари С
1
Несколько окон, которые открываются после выхода из режима ожидания, [РЕШЕНО]. Мой ноутбук больше не зависает при закрытии крышки, это сенсорный экран. Его роняют в моем рюкзаке, и я ловлю своих кошек, гуляющих по нему дома. Я проверил свою теорию, окна были открыты из-за этой проблемы. Я не видел рабочий стол гостевой сессии.
Розмари С
33

Протрите жесткий диск и переустановите операционную систему с нуля.

В любом случае несанкционированного доступа существует вероятность того, что злоумышленник сможет получить root-права, поэтому разумно предположить, что это произошло. В этом случае auth.log, кажется, подтверждает, что это действительно так - если только вы не переключили пользователя:

27 апреля 06:55:55 Rho su [23881]: успешный su для guest-g20zoo от root

В частности, с правами суперпользователя они могли испортить систему способами, которые практически невозможно исправить без переустановки, такими как изменение загрузочных сценариев или установка новых сценариев и приложений, запускаемых при загрузке, и так далее. Это может делать такие вещи, как запуск неавторизованного сетевого программного обеспечения (т. Е. Для формирования части ботнета) или оставлять черные ходы в вашей системе. Попытка обнаружить и исправить подобные вещи без переустановки в лучшем случае бесполезна и не гарантирует избавления вас от всего.

thomasrutter
источник
6
Даже это не будет работать, если они установили какое-либо вредоносное ПО на аппаратное обеспечение, например, если они прошивали прошивку жесткого диска.
Джон Дворжак
7
Эта строка журнала, на которую вы ссылаетесь, означает, что rootпользователь переключился guest-g20zoo, а не наоборот.
Дмитрий Григорьев
4
@JanDvorak У вас есть пример прошивки жесткого диска в качестве бэкдора для Linux?
Дмитрий Григорьев
1
Я должен согласиться, если вы совсем не уверены в надежности своей ОС и боитесь, что можете что-то упустить, просто сделайте резервную копию ваших данных и переустановите ОС, лично я бы переключил hdds, но только так, чтобы я мог извлекать информацию со старой ОС и
узнай
9
@DmitryGrigoryev , но если они могут suна другой счет от корня, это означает , что они являются корнем.
Лео Лам
3

Я просто хочу упомянуть, что «несколько вкладок / окон браузера открыты, Центр программного обеспечения открыт, файлы загружены на рабочий стол» не очень согласуется с тем, что кто-то входит в вашу машину через SSH. Злоумышленник, входящий в систему через SSH, получит текстовую консоль, которая полностью отделена от того, что вы видите на своем рабочем столе. Им также не нужно гуглить «как установить git» с вашего рабочего стола, потому что они будут сидеть перед своим компьютером, верно? Даже если бы они хотели установить Git (почему?), Им не нужно было загружать установщик, потому что Git находится в репозиториях Ubuntu, любой, кто знает что-нибудь о Git или Ubuntu, знает это. И почему они должны были Google, как настроить приглашение Bash?

Я также подозреваю, что «В моем браузере была открыта вкладка. Она открывалась несколько раз после того, как я закрыл ее», на самом деле было открыто несколько идентичных вкладок, поэтому вам пришлось закрывать их одну за другой.

То, что я пытаюсь здесь сказать, это то, что модель деятельности напоминает «обезьяну с пишущей машинкой».

Вы также не упомянули, что у вас даже был установлен SSH сервер - он не установлен по умолчанию.

Итак, если вы абсолютно уверены, что никто не имел физического доступа к вашему ноутбуку без вашего ведома, и у вашего ноутбука есть сенсорный экран, и он не зависает должным образом, и провел некоторое время в вашем рюкзаке, то я думаю, что все это может быть просто случай «карманного вызова» - случайные касания экрана в сочетании с поисковыми подсказками и автокоррекцией открывают несколько окон и выполняют поиск в Google, нажимая на случайные ссылки и загружая случайные файлы.

В качестве личного анекдота - это происходит время от времени с моим смартфоном в кармане, включая открытие нескольких приложений, изменение системных настроек, отправку полусвязных SMS-сообщений и просмотр случайных видео на YouTube.

Сергей
источник
... или в моем случае ... удаление всех текстов от одного друга ...
andy256
2

Есть ли у вас друзья, которым нравится удаленный / физический доступ к вашему ноутбуку, пока вас нет? Если не:

Протрите жесткий диск с DBAN и переустановите ОС с нуля. Обязательно сделайте резервную копию в первую очередь.

Возможно, что-то было серьезно скомпрометировано в самой Ubuntu. При переустановке:

Шифрование /home. Если сам жесткий диск / ноутбук физически украден, они не смогут получить доступ к данным внутри /home.

Зашифруйте жесткий диск. Это предотвращает компрометацию людей /bootбез входа в систему. Вам также нужно будет ввести пароль при загрузке (я думаю).

Установите надежный пароль. Если кто-то узнает пароль жесткого диска, он не сможет получить доступ /homeили войти в систему.

Зашифруйте свой WiFi. Кто-то, возможно, оказался в непосредственной близости от роутера и воспользовался незашифрованным Wi-Fi и ssh'd на вашем ноутбуке.

Отключить гостевую учетную запись. Злоумышленник может подключить ssh'd к вашему ноутбуку, получить удаленное соединение, войти в систему через гостя и повысить уровень учетной записи гостя до уровня root. Это опасная ситуация. Если это произошло, злоумышленник может выполнить ОЧЕНЬ ОПАСНУЮ команду:

rm -rf --no-preserve-root / 

Это стирает ОГРОМНОЕ количество данных на жестком диске, мусор /homeи, что еще хуже, делает Ubuntu совершенно неспособным даже загружаться. Вы просто окажетесь в спасении, и вы не сможете оправиться от этого. Злоумышленник также может полностью уничтожить /homeкаталог и так далее. Если у вас есть домашняя сеть, злоумышленник также может загрузить все остальные компьютеры в этой сети (если они работают под управлением Linux).

Надеюсь, это поможет. :)

TheComputerGeek010101001
источник
1
Почему DBAN? Воссоздание таблицы разделов должно быть вполне достаточным, не говоря уже о том, что DBAN серьезно повредил бы SSD, если бы OP его имел.
Гроностай
почему хакер должен бежать rm -rf /? он собирается захватить все ваши данные. уничтожение данных не имеет никакого смысла.
LittleByBlue
Кстати. НИКОГДА не запускайте, rm -rf /это может привести к поломке всей вашей машины, поскольку старые версии linux (старше 4.5) не защищают UEFI, и вы можете повредить его, если удаляете несколько файлов из /sys/firmware/efi/efivars/.
LittleByBlue
1

«Подозрительная» активность объясняется следующим: мой ноутбук больше не зависает, когда крышка закрыта, ноутбук является сенсорным экраном и реагирует на приложенное давление (возможно, мои кошки). Предоставленные строки /var/log/auth.logи выходные данные whoкоманды соответствуют входу в гостевой сеанс. Хотя я отключил вход в гостевую сессию от приветствующего, он все еще доступен из выпадающего меню в верхнем правом углу Unity DE. Ergo, гостевая сессия может быть открыта, пока я вхожу в систему.

Я проверил теорию "приложенного давления"; окна могут открываться, а крышка закрыта. Я также вошел в новую гостевую сессию. Строки журнала, идентичные тому, что я воспринимал как подозрительную активность, присутствовали /var/log/auth.logпосле того, как я это сделал. Я переключил пользователей обратно в свою учетную запись и выполнил whoкоманду - вывод показал, что в систему вошел гость.

Стрелка вверх-вниз Логотип WiFi вернулся к стандартному логотипу WiFi, и все доступные подключения видны. Это была проблема с нашей сетью, и она не связана.

Розмарин с
источник
-1

Вытащите беспроводную карту / флешку и осмотрите следы. Сделайте запись своих журналов, чтобы askbuntu мог помочь в дальнейшем. После этого вытрите ваши диски и попробуйте другой дистрибутив, попробуйте live cd и оставьте его включенным, чтобы увидеть, есть ли паттерн для атак.

Джим
источник
3
Почему он хочет посмотреть на следы Wi-Fi карты?
Кит М,
4
Впрочем, зачем ему вообще вытаскивать свою карту Wi-Fi
Кейт М,
1
@KeithM вы когда-нибудь тянули карту Wi-Fi ноутбука? этот ноутбук больше никогда не заразится .... ;-) обязательно сделайте резервную копию, прежде чем вытащить карту ...
LittleByBlue