Я на 99,9% уверен, что моя система на моем персональном компьютере была заражена. Позвольте мне сначала высказать свое мнение, чтобы ситуация была ясна:
Грубые сроки подозрительной активности и предпринятых последующих действий:
4-26 23:00
Я закончил все программы и закрыл свой ноутбук.
4-27 12:00
Я открыл свой ноутбук после того, как он находился в режиме ожидания около 13 часов. Было открыто несколько окон, включая: два хромированных окна, системные настройки, центр программного обеспечения. На моем рабочем столе был установщик git (я проверил, он не был установлен).
4-27 13:00
История Chrome отображала логины на мою электронную почту и другую историю поиска, которую я не инициировал (с 01:00 до 03:00 4-27), включая «установку git». В моем браузере открылась вкладка Digital Ocean «Как настроить приглашение bash». Это открывалось несколько раз после того, как я закрыл это. Я ужесточил безопасность в Chrome.
Я отключился от Wi-Fi, но при повторном подключении вместо стандартного символа появился символ стрелки вверх-вниз, и в раскрывающемся меню Wi-Fi больше не было списка сетей.
В разделе «Редактировать подключения» я заметил, что ноутбук подключен в сеть под названием "GFiberSetup 1802" в ~ 05:30 на 4-27. Мои соседи на 1802 xx Drive только что установили Google Fibre, поэтому я предполагаю, что это связано.
4-27 20:30
Команда who
показала, что второй пользователь с именем guest-g20zoo вошел в мою систему. Это мой частный ноутбук, на котором работает Ubuntu, в моей системе не должно быть никого другого. Запаниковал, я запустил sudo pkill -9 -u guest-g20zoo
и отключил сеть и вайфай
Я заглянул /var/log/auth.log
и нашел это:
Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session
Извините, это большой вывод, но это основная часть активности guest-g20zoo в журнале, и все это за пару минут.
Я также проверил /etc/passwd
:
guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash
И /etc/shadow
:
root:!:16669:0:99999:7:::
daemon:*:16547:0:99999:7:::
.
.
.
nobody:*:16547:0:99999:7:::
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::
guest-G4J7WQ:*:16689:0:99999:7:::
.
.
Я не совсем понимаю, что этот вывод означает для моей ситуации. Есть guest-g20zoo
и guest-G4J7WQ
тот же пользователь?
lastlog
шоу:
guest-G4J7WQ Never logged in
Тем не менее, last
показывает:
guest-g20zoo Wed Apr 27 06:55 - 20:33 (13:37)
Так что, похоже, что они не тот же пользователь, но guest-g20zoo нигде не было найдено в выводе lastlog
.
Я хотел бы заблокировать доступ для пользователя guest-g20zoo, но так как он не появляется в, /etc/shadow
и я предполагаю, что не использует пароль для входа в систему, но использует ssh, будет passwd -l guest-g20zoo
работать?
Я пытался systemctl stop sshd
, но получил это сообщение об ошибке:
Failed to stop sshd.service: Unit sshd.service not loaded
Означает ли это, что удаленный вход в систему уже отключен в моей системе, и поэтому приведенная выше команда является избыточной?
Я пытался найти дополнительную информацию об этом новом пользователе, например, с какого IP-адреса он вошел в систему, но, похоже, ничего не могу найти.
Некоторая потенциально важная информация: в
настоящее время я подключен к сети моего университета, и мой значок WiFi выглядит нормально, я вижу все параметры сети, и нет никаких странных браузеров, которые появляются самостоятельно. Означает ли это, что тот, кто входит в мою систему, находится в пределах досягаемости моего WiFi-маршрутизатора в моем доме?
Я побежал, chkrootkit
и все выглядело нормально, но я также не знаю, как интерпретировать весь вывод. Я действительно не знаю, что здесь делать. Я просто хочу быть абсолютно уверенным, что этот человек (или кто-либо еще в этом отношении) никогда не сможет снова получить доступ к моей системе, и я хочу найти и удалить любые скрытые файлы, созданные ими. Пожалуйста и спасибо!
PS - я уже изменил свой пароль и зашифровал важные файлы, когда WiFi и сеть были отключены.
источник
sshd
после имени сервера? Если нет, то определенно не было доступа по ssh ... если только они не очистили эту часть журнала и не потрудились очистить другие записи, что было бы странно.sshd
после имени сервера, но я согласен, что удаление этой информации, но все еще оставляя следы себя странно. Есть ли другой способ проверить, есть ли у кого-нибудь ssh'd в моей системе?Ответы:
Похоже, кто-то открыл сеанс гостя на вашем ноутбуке, пока вы находитесь вдали от вашей комнаты. Если бы я был тобой, я бы спросил, это может быть другом.
Гостевые учетные записи, которые вы видите
/etc/passwd
и/etc/shadow
не подозрительны для меня, они создаются системой, когда кто-то открывает гостевую сессию.Эта строка означает, что
root
имеет доступ к гостевой учетной записи, которая может быть нормальной, но должна быть исследована. Я пробовал на своем Ubuntu1404LTS и не вижу этого поведения. Вы должны попытаться войти с гостевой сессией и grep your,auth.log
чтобы видеть, появляется ли эта строка каждый раз, когда гостевой пользователь входит в систему.Все открытые окна Chrome, которые вы видели, когда открывали свой ноутбук. Возможно ли, что вы видели рабочий стол гостевой сессии?
источник
lightdm.conf.d
файл, чтобы запретить вход в гостевую сессию некоторое время назад. Я думаю, что я видел рабочий стол гостевой сессии. Однако я понял, что мой ноутбук больше не зависает, когда крышка закрывается, и это сенсорный экран. Так возможно ли, чтобы окна на моем рабочем столе (не вкладки в Chrome) могли быть открыты, если на части экрана давили, когда он был закрыт? Просто пытаюсь понять, что здесь есть.Протрите жесткий диск и переустановите операционную систему с нуля.
В любом случае несанкционированного доступа существует вероятность того, что злоумышленник сможет получить root-права, поэтому разумно предположить, что это произошло. В этом случае auth.log, кажется, подтверждает, что это действительно так - если только вы не переключили пользователя:
В частности, с правами суперпользователя они могли испортить систему способами, которые практически невозможно исправить без переустановки, такими как изменение загрузочных сценариев или установка новых сценариев и приложений, запускаемых при загрузке, и так далее. Это может делать такие вещи, как запуск неавторизованного сетевого программного обеспечения (т. Е. Для формирования части ботнета) или оставлять черные ходы в вашей системе. Попытка обнаружить и исправить подобные вещи без переустановки в лучшем случае бесполезна и не гарантирует избавления вас от всего.
источник
root
пользователь переключилсяguest-g20zoo
, а не наоборот.su
на другой счет от корня, это означает , что они являются корнем.Я просто хочу упомянуть, что «несколько вкладок / окон браузера открыты, Центр программного обеспечения открыт, файлы загружены на рабочий стол» не очень согласуется с тем, что кто-то входит в вашу машину через SSH. Злоумышленник, входящий в систему через SSH, получит текстовую консоль, которая полностью отделена от того, что вы видите на своем рабочем столе. Им также не нужно гуглить «как установить git» с вашего рабочего стола, потому что они будут сидеть перед своим компьютером, верно? Даже если бы они хотели установить Git (почему?), Им не нужно было загружать установщик, потому что Git находится в репозиториях Ubuntu, любой, кто знает что-нибудь о Git или Ubuntu, знает это. И почему они должны были Google, как настроить приглашение Bash?
Я также подозреваю, что «В моем браузере была открыта вкладка. Она открывалась несколько раз после того, как я закрыл ее», на самом деле было открыто несколько идентичных вкладок, поэтому вам пришлось закрывать их одну за другой.
То, что я пытаюсь здесь сказать, это то, что модель деятельности напоминает «обезьяну с пишущей машинкой».
Вы также не упомянули, что у вас даже был установлен SSH сервер - он не установлен по умолчанию.
Итак, если вы абсолютно уверены, что никто не имел физического доступа к вашему ноутбуку без вашего ведома, и у вашего ноутбука есть сенсорный экран, и он не зависает должным образом, и провел некоторое время в вашем рюкзаке, то я думаю, что все это может быть просто случай «карманного вызова» - случайные касания экрана в сочетании с поисковыми подсказками и автокоррекцией открывают несколько окон и выполняют поиск в Google, нажимая на случайные ссылки и загружая случайные файлы.
В качестве личного анекдота - это происходит время от времени с моим смартфоном в кармане, включая открытие нескольких приложений, изменение системных настроек, отправку полусвязных SMS-сообщений и просмотр случайных видео на YouTube.
источник
Есть ли у вас друзья, которым нравится удаленный / физический доступ к вашему ноутбуку, пока вас нет? Если не:
Протрите жесткий диск с DBAN и переустановите ОС с нуля. Обязательно сделайте резервную копию в первую очередь.
Возможно, что-то было серьезно скомпрометировано в самой Ubuntu. При переустановке:
Шифрование
/home
. Если сам жесткий диск / ноутбук физически украден, они не смогут получить доступ к данным внутри/home
.Зашифруйте жесткий диск. Это предотвращает компрометацию людей
/boot
без входа в систему. Вам также нужно будет ввести пароль при загрузке (я думаю).Установите надежный пароль. Если кто-то узнает пароль жесткого диска, он не сможет получить доступ
/home
или войти в систему.Зашифруйте свой WiFi. Кто-то, возможно, оказался в непосредственной близости от роутера и воспользовался незашифрованным Wi-Fi и ssh'd на вашем ноутбуке.
Отключить гостевую учетную запись. Злоумышленник может подключить ssh'd к вашему ноутбуку, получить удаленное соединение, войти в систему через гостя и повысить уровень учетной записи гостя до уровня root. Это опасная ситуация. Если это произошло, злоумышленник может выполнить ОЧЕНЬ ОПАСНУЮ команду:
Это стирает ОГРОМНОЕ количество данных на жестком диске, мусор
/home
и, что еще хуже, делает Ubuntu совершенно неспособным даже загружаться. Вы просто окажетесь в спасении, и вы не сможете оправиться от этого. Злоумышленник также может полностью уничтожить/home
каталог и так далее. Если у вас есть домашняя сеть, злоумышленник также может загрузить все остальные компьютеры в этой сети (если они работают под управлением Linux).Надеюсь, это поможет. :)
источник
rm -rf /
? он собирается захватить все ваши данные. уничтожение данных не имеет никакого смысла.rm -rf /
это может привести к поломке всей вашей машины, поскольку старые версии linux (старше 4.5) не защищают UEFI, и вы можете повредить его, если удаляете несколько файлов из/sys/firmware/efi/efivars/
.«Подозрительная» активность объясняется следующим: мой ноутбук больше не зависает, когда крышка закрыта, ноутбук является сенсорным экраном и реагирует на приложенное давление (возможно, мои кошки). Предоставленные строки
/var/log/auth.log
и выходные данныеwho
команды соответствуют входу в гостевой сеанс. Хотя я отключил вход в гостевую сессию от приветствующего, он все еще доступен из выпадающего меню в верхнем правом углу Unity DE. Ergo, гостевая сессия может быть открыта, пока я вхожу в систему.Я проверил теорию "приложенного давления"; окна могут открываться, а крышка закрыта. Я также вошел в новую гостевую сессию. Строки журнала, идентичные тому, что я воспринимал как подозрительную активность, присутствовали
/var/log/auth.log
после того, как я это сделал. Я переключил пользователей обратно в свою учетную запись и выполнилwho
команду - вывод показал, что в систему вошел гость.Стрелка вверх-вниз Логотип WiFi вернулся к стандартному логотипу WiFi, и все доступные подключения видны. Это была проблема с нашей сетью, и она не связана.
источник
Вытащите беспроводную карту / флешку и осмотрите следы. Сделайте запись своих журналов, чтобы askbuntu мог помочь в дальнейшем. После этого вытрите ваши диски и попробуйте другой дистрибутив, попробуйте live cd и оставьте его включенным, чтобы увидеть, есть ли паттерн для атак.
источник