Персональний комп'ютер зламаний: Як я можу заблокувати цього користувача знову входити в систему? Як дізнатися, як вони входять?

Я на 99,9% впевнений, що моя система на моєму персональному комп’ютері проникла. Дозвольте спочатку дати свої міркування, щоб ситуація стала зрозумілою:

Приблизний графік підозрілої діяльності та вжитих подальших дій:

4-26 23:00
Я закінчив усі програми і закрив ноутбук.

4-27 12:00
Я відкрив свій ноутбук після того, як він був у режимі призупинення близько 13 годин. Було відкрито кілька вікон, включаючи: два хромованих вікна, системні налаштування, програмний центр. На моєму робочому столі був установник git (я перевірив, він не встановлений).

4-27 13:00
Історія Chrome відображає входи в електронну пошту та іншу історію пошуку, яку я не ініціював (між 01:00 та 03:00 4-27), включаючи "встановлення git". У моєму браузері відкрилася вкладка "Цифровий океан", як налаштувати підказку ". Він знову відкрився кілька разів після того, як я закрив його. Я посилив безпеку в Chrome.

Я відключився від Wi-Fi, але коли я знову підключився, замість стандартного символу з'явився символ стрілки вгору, і в спадному меню Wifi в розділі
"Редагувати з'єднання" більше не було списку мереж, я помітив, що мій ноутбук підключився до мережі під назвою "GFiberSetup 1802" о ~ 05: 30 4-27. У моїх сусідів на 1802 хх Драйві просто встановлено волокно Google, тому я здогадуюсь, що це пов'язано.

4-27 20:30 команди показали , що другий користувач з ім'ям гостя-g20zoo був зареєстрований в моїй системі. Це мій приватний ноутбук, який працює на Ubuntu, в моїй системі не повинно бути нікого. Панікуючи, я побіг і відключив Мережі та Wi-Fi
whosudo pkill -9 -u guest-g20zoo

Я заглянув /var/log/auth.logі виявив таке:

Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999  
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash    
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root  
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo  
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.  
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.  
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)  
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session

Вибачте, що це багато результатів, але це основна частина активності гостей-g20zoo в журналі, і все це за пару хвилин.

Я також перевірив /etc/passwd:

guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash

І /etc/shadow:

root:!:16669:0:99999:7:::  
daemon:*:16547:0:99999:7:::  
.  
.  
.   
nobody:*:16547:0:99999:7:::  
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::  
guest-G4J7WQ:*:16689:0:99999:7:::  
.  
.

Я не зовсім розумію, що цей результат означає для моєї ситуації. Ти guest-g20zooі guest-G4J7WQтой самий користувач?

lastlog показує:

guest-G4J7WQ      Never logged in

Однак, lastпоказує:

guest-g20zoo      Wed Apr 27 06:55 - 20:33 (13:37)

Тож здається, що вони не той самий користувач, але гостя-g20zoo ніде не було знайдено у виході lastlog.

Я хотів би заблокувати доступ для користувача guest-g20zoo, але оскільки він не з'являється, /etc/shadowі я припускаю, що не використовує пароль для входу, але використовує ssh, буде passwd -l guest-g20zooпрацювати?

Я спробував systemctl stop sshd, але отримав це повідомлення про помилку:

Failed to stop sshd.service: Unit sshd.service not loaded

Чи означає це, що віддалений вхід був уже відключений у моїй системі, і тому наведена вище команда є зайвою?

Я намагався знайти більше інформації про цього нового користувача, як, наприклад, з якою IP-адресою вони увійшли, але я не можу знайти нічого.

Деякі потенційно важливі відомості: На
даний момент я підключений до мережі свого університету, і мій значок WiFi виглядає чудово, я бачу всі мої параметри мережі, і немає жодних дивних браузерів, які спливають самостійно. Чи означає це, що той, хто заходить у мою систему, знаходиться в межах мого Wi-Fi маршрутизатора у мене вдома?

Я побіг chkrootkitі все здавалося нормально, але я також не знаю, як інтерпретувати всі результати. Я не знаю, що тут робити. Я просто хочу бути абсолютно впевненим, що ця людина (або хтось інший з цього питання) більше ніколи не зможе отримати доступ до моєї системи, і я хочу знайти та видалити всі приховані файли, створені ними. Будь ласка і дякую!

PS - Я вже змінив пароль і зашифрував важливі файли, коли WiFi та Мережа були відключені.

Схоже, хтось відкрив гостьову сесію на своєму ноутбуці, поки ви знаходитесь далеко від своєї кімнати. Якби я був ти, я б поцікавився, це може бути друг.

Облікові записи гостей, які ви бачите, /etc/passwdі /etc/shadowне підозрілі для мене, вони створюються системою, коли хтось відкриває гостьову сесію.

27 квітня 06:55:55 Rho su [23881]: Успішне рішення для гостя-g20zoo від root

Цей рядок означає, що rootмає доступ до облікового запису гостей, який може бути нормальним, але його слід вивчити. Я спробував на своєму ubuntu1404LTS і не бачу такої поведінки. Вам слід спробувати увійти за допомогою гостьового сеансу та auth.logперегляньте, чи з’являється цей рядок кожного разу, коли гостьовий користувач увійде.

Усі відкриті вікна з хрому, які ви бачили, коли ви відкривали ноутбук. Можливо, ви бачили робочий стіл гостьової сесії?

Протріть жорсткий диск та встановіть операційну систему з нуля.

У будь-якому випадку несанкціонованого доступу існує можливість зловмиснику отримати кореневі привілеї, тому доцільно припустити, що це сталося. У цьому випадку auth.log, начебто, підтверджує, що це справді було так - якщо тільки ви не переключили користувача:

27 квітня 06:55:55 Rho su [23881]: Успішне рішення для гостя-g20zoo від root

Зокрема, з привілеями root, вони, можливо, поспішали з системою способами, які практично неможливо виправити без перевстановлення, наприклад, змінивши сценарії завантаження або встановивши нові сценарії та програми, які працюють під час завантаження тощо. Це може робити такі дії, як запуск несанкціонованого мережевого програмного забезпечення (тобто, щоб стати частиною ботнету) або залишити на задньому плані вашої системи. Намагання виявити та відремонтувати подібні речі без перевстановлення в кращому випадку безладно, і не гарантовано позбавить вас від усього.

Я просто хочу зазначити, що "відкрито кілька вкладок / вікон браузера, відкрито Центр програмного забезпечення, файли завантажуються на робочий стіл" не дуже відповідає тому, хто хтось увійшов у вашу машину через SSH. Зловмисник, який веде реєстрацію через SSH, отримає текстову консоль, повністю відокремлену від того, що ви бачите на робочому столі. Їм також не потрібно було б google "як встановити git" зі свого робочого столу, тому що вони сидять перед власним комп'ютером, правда? Навіть якби вони хотіли встановити Git (чому?), Їм не потрібно було б завантажувати інсталятор, оскільки Git знаходиться у сховищах Ubuntu, про це знає кожен, хто щось знає про Git чи Ubuntu. І чому вони повинні були в Google, як налаштувати підказку bash?

Я також підозрюю, що "в моєму браузері була вкладка ... відкрита. Вона знову відкрилася кілька разів після того, як я її закрив", насправді було відкрито кілька однакових вкладок, тож вам довелося закривати їх по черзі.

Що я тут намагаюся сказати, це те, що схема діяльності нагадує "мавпу з машинкою".

Ви також не згадали, що навіть у вас був встановлений SSH-сервер - він не встановлений за замовчуванням.

Отже, якщо ви абсолютно впевнені, що ніхто не мав фізичного доступу вашого ноутбука без вашого відома, і ваш ноутбук має сенсорний екран, і він не призупиняється належним чином, і він провів деякий час у вашому рюкзаку, то я думаю, що все це може бути просто випадок "кишенькового дзвінка" - випадкові дотики до екрана в поєднанні з пропозиціями пошуку та автоматичним виправленням відкрили кілька вікон та здійснили пошук у Google, натиснувши на випадкові посилання та завантажуючи випадкові файли.

Як особистий анекдот - це час від часу відбувається з моїм смартфоном у кишені, включаючи відкриття декількох додатків, зміну системних налаштувань, надсилання напівкогерентних SMS-повідомлень та перегляд випадкових відео на YouTube.

Чи є у вас друзі, які хочуть віддалено / фізично отримувати доступ до свого ноутбука, поки вас немає? Якщо ні:

Протріть жорсткий диск з DBAN та перевстановіть ОС з нуля. Обов’язково спочатку створіть резервну копію.

Щось, можливо, було серйозно порушено в самому Ubuntu. Після перевстановлення:

Шифрувати /home. Якщо сам жорсткий диск / ноутбук фізично вкрадений, вони не можуть отримати доступ до даних усередині /home.

Зашифруйте жорсткий диск. Це не дозволяє людям /bootробити компроміси, не входячи в систему. Також вам доведеться ввести пароль для завантаження (я думаю).

Встановіть надійний пароль. Якщо хтось з'ясує пароль жорсткого диска, він не може отримати доступ /homeабо ввійти в систему.

Зашифруйте свій Wi-Fi. Хтось, можливо, потрапив у близькість маршрутизатора і скористався незашифрованим Wi-Fi та ssh'd у ваш ноутбук.

Вимкнення облікового запису гостей. Зловмисник, можливо, ввійшов у ваш ноутбук, встановив віддалене з'єднання, увійшов через гість і підняв обліковий запис гостя до root. Це небезпечна ситуація. Якщо це сталося, зловмисник може запустити цю ДУЖЕ ЗАБЕЗПЕЧНУ команду:

rm -rf --no-preserve-root / 

Це стирає МНОГО даних на жорсткому диску, сміття /homeта ще гірше, залишає Ubuntu повністю нездатним навіть завантажуватися. Ви просто кинетеся на рятувальну допомогу, і ви не зможете оговтатися від цього. Зловмисник також міг повністю знищити /homeкаталог тощо. Якщо у вас є домашня мережа, зловмисник також може не працювати з іншими комп'ютерами в цій мережі (якщо вони працюють під Linux).

Я сподіваюся, що це допомагає. :)

"Підозріла" активність пояснюється наступним: мій ноутбук більше не призупиняється, коли кришка закрита, ноутбук є сенсорним екраном і реагує на тиск (можливо, мої коти). Надані рядки з /var/log/auth.logта whoкоманда виводяться у відповідність із входом у гостьовий сеанс. Хоча я відключив вхід у гостьовий сеанс із привітання, він все ще доступний у спадному меню у верхньому правому куті Unity DE. Ерго, гостьову сесію можна відкрити, коли я ввійду в систему.

Я перевірив теорію "прикладного тиску"; вікна можуть і відкриватися, поки кришка закрита. Я також увійшов у новий гостьовий сеанс. Рядки журналу, ідентичні тому, що я сприймав як підозрілу діяльність, був присутній /var/log/auth.logпісля того, як я це зробив. Я переключив користувачів, повернувся до свого облікового запису і запустив whoкоманду - у висновку вказано, що гість увійшов до системи.

Стрілка вгору вниз по логотипу WiFi повернута до стандартного логотипу WiFi, і всі доступні з'єднання видно. Це була проблема з нашою мережею і не пов'язана між собою.

Вийміть бездротову карту / палку і подивіться на сліди. Зробіть запис своїх журналів, щоб askbuntu може допомогти далі. Після цього протріть свої накопичувачі та спробуйте інший дистрибутив, спробуйте живий компакт-диск, залиште його запущеним, щоб побачити, чи є схема для атак.