Komputer osobisty zaatakowany przez hakera: Jak zablokować ponowne logowanie tego użytkownika? Jak mogę się dowiedzieć, jak się logują?

Jestem 99,9% pewien, że mój system na moim komputerze osobistym został infiltrowany. Pozwólcie, że najpierw przedstawię uzasadnienie, aby sytuacja była jasna:

Szorstki harmonogram podejrzanych działań i podjętych później działań:

4-26 23:00
Zakończyłem wszystkie programy i zamknąłem laptopa.

4-27 12:00
Otworzyłem laptopa po tym, jak był w trybie zawieszenia przez około 13 godzin. Wiele okien było otwartych, w tym: Dwa okna chromowane, ustawienia systemowe, centrum oprogramowania. Na moim pulpicie był instalator git (sprawdziłem, że nie został zainstalowany).

4-27 13:00
Historia Chrome wyświetlała loginy na mój e-mail i inną historię wyszukiwania, której nie zainicjowałem (między 01:00 a 03:00 w dniach 4-27), w tym „instalowanie git”. W mojej przeglądarce była otwarta karta „Ocean” „Jak dostosować monit bash”. Ponownie otworzyło się kilka razy po zamknięciu. Zaostrzyłem zabezpieczenia w Chrome.

Odłączyłem się od Wi-Fi, ale po ponownym połączeniu pojawił się symbol strzałki w górę zamiast symbolu standardowego, a w rozwijanym menu Wi-Fi nie było już listy sieci W sekcji
„Edytuj połączenia” zauważyłem, że mój laptop się połączył do sieci o nazwie „GFiberSetup 1802” o godzinie ~ 05: 30 w dniach 4-27. Moi sąsiedzi na 1802 xx Drive właśnie zainstalowali Google Fibre, więc zgaduję, że jest to powiązane.

4-27 20:30 komenda ujawnił, że drugi użytkownik o nazwie guest-g20zoo był zalogowany do mojego systemu. To jest mój prywatny laptop z systemem Ubuntu, w moim systemie nie powinno być nikogo innego. Panikowałem, uruchomiłem i wyłączyłem sieć i Wi-Fi
whosudo pkill -9 -u guest-g20zoo

Zajrzałem /var/log/auth.logi znalazłem to:

Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999  
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash    
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root  
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo  
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.  
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.  
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)  
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session

Przepraszam, że to dużo danych wyjściowych, ale to większość aktywności gościa g20zoo w dzienniku, wszystko w ciągu kilku minut.

Sprawdziłem także /etc/passwd:

guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash

I /etc/shadow:

root:!:16669:0:99999:7:::  
daemon:*:16547:0:99999:7:::  
.  
.  
.   
nobody:*:16547:0:99999:7:::  
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::  
guest-G4J7WQ:*:16689:0:99999:7:::  
.  
.

Nie do końca rozumiem, co ten wynik oznacza dla mojej sytuacji. Czy guest-g20zooi guest-G4J7WQten sam użytkownik?

lastlog przedstawia:

guest-G4J7WQ      Never logged in

Jednak lastpokazy:

guest-g20zoo      Wed Apr 27 06:55 - 20:33 (13:37)

Wygląda więc na to, że nie są oni tym samym użytkownikiem, ale gościa g20zoo nigdzie nie znaleziono lastlog.

Chciałbym zablokować dostęp dla użytkownika guest-g20zoo, ale ponieważ on (y) nie pojawia się /etc/shadowi zakładam, że nie używa hasła do logowania, ale używa ssh, passwd -l guest-g20zoozadziała?

Próbowałem systemctl stop sshd, ale dostałem ten komunikat o błędzie:

Failed to stop sshd.service: Unit sshd.service not loaded

Czy to oznacza, że ​​zdalne logowanie zostało już wyłączone w moim systemie i dlatego powyższe polecenie jest zbędne?

Próbowałem znaleźć więcej informacji o tym nowym użytkowniku, na przykład z jakiego adresu IP się zalogowali, ale nie mogę nic znaleźć.

Kilka potencjalnie istotnych informacji:
obecnie jestem podłączony do sieci mojej uczelni, a moja ikona Wi-Fi wygląda dobrze, widzę wszystkie opcje sieciowe i nie ma żadnych dziwnych przeglądarek pojawiających się na własną rękę. Czy to oznacza, że ​​ktokolwiek loguje się do mojego systemu, znajduje się w zasięgu mojego routera WiFi w moim domu?

Pobiegłem chkrootkiti wszystko wydawało się w porządku, ale nie wiem też, jak interpretować wszystkie dane wyjściowe. Naprawdę nie wiem, co tu robić. Chcę mieć absolutną pewność, że ta osoba (lub ktokolwiek inny w tej sprawie) nigdy nie będzie mogła uzyskać dostępu do mojego systemu i chcę znaleźć i usunąć wszelkie utworzone przez nią ukryte pliki. Proszę i dziękuję!

PS - już zmieniłem hasło i zaszyfrowałem ważne pliki, gdy Wi-Fi i sieć były wyłączone.

Wygląda na to, że ktoś otworzył sesję gościa na twoim laptopie, gdy jesteś z dala od pokoju. Gdybym był tobą, zapytałbym wokoło, to może być przyjaciel.

Konta gości, które widzisz /etc/passwdi /etc/shadownie są dla mnie podejrzane, są tworzone przez system, gdy ktoś otworzy sesję gościa.

27 kwietnia 06:55:55 Rho su [23881]: Udane su dla gościa-g20zoo przez root

Ta linia oznacza, że rootma dostęp do konta gościa, co może być normalne, ale należy je zbadać. Próbowałem na moim ubuntu1404LTS i nie widzę tego zachowania. Powinieneś spróbować zalogować się w sesji gościa i grep, auth.logaby zobaczyć, czy ten wiersz pojawia się przy każdym logowaniu użytkownika gościa.

Wszystkie otwarte okna Chrome, które widziałeś po otwarciu laptopa. Czy to możliwe, że widziałeś pulpit sesji gościa?

Wyczyść dysk twardy i ponownie zainstaluj system operacyjny od podstaw.

W każdym przypadku nieautoryzowanego dostępu istnieje możliwość uzyskania uprawnień roota, więc można założyć, że tak się stało. W tym przypadku auth.log wydaje się potwierdzać, że rzeczywiście tak było - chyba że tak było ty użytkownika:

27 kwietnia 06:55:55 Rho su [23881]: Udane su dla gościa-g20zoo przez root

W szczególności z uprawnieniami roota mogą mieć problemy z systemem w sposób, który jest praktycznie niemożliwy do naprawienia bez ponownej instalacji, na przykład poprzez modyfikację skryptów rozruchowych lub instalowanie nowych skryptów i aplikacji, które działają podczas rozruchu i tak dalej. Mogą to być np. Uruchamianie nieautoryzowanego oprogramowania sieciowego (np. W celu utworzenia części botnetu) lub pozostawienie tylnych drzwi w systemie. Próba wykrycia i naprawienia tego rodzaju rzeczy bez ponownej instalacji jest w najlepszym przypadku nieuporządkowana i nie gwarantuje, że pozbędziesz się wszystkiego.

Chcę tylko wspomnieć, że „wiele kart / okien przeglądarki jest otwartych, otwarte Centrum oprogramowania, pliki pobrane na pulpit” nie jest zbyt spójne z osobą logującą się na twoim komputerze przez SSH. Osoba atakująca logująca się przez SSH otrzyma konsolę tekstową, która jest całkowicie oddzielona od tego, co widzisz na pulpicie. Nie będą też musieli wyszukiwać w Google „jak zainstalować git” z sesji na komputerze, ponieważ będą siedzieć przed własnym komputerem, prawda? Nawet gdyby chcieli zainstalować Git (dlaczego?), Nie musieliby pobierać instalatora, ponieważ Git znajduje się w repozytoriach Ubuntu, każdy, kto wie coś o Git lub Ubuntu, wie o tym. I dlaczego musieli google, jak dostosować monit bash?

Podejrzewam również, że „W mojej przeglądarce była otwarta karta. Ponownie otworzyła się kilka razy po jej zamknięciu” było w rzeczywistości wiele identycznych otwartych kart, więc trzeba było je zamykać jeden po drugim.

Próbuję tu powiedzieć, że wzorzec aktywności przypomina „małpę z maszyną do pisania”.

Nie wspomniałeś również, że masz zainstalowany serwer SSH - nie jest on instalowany domyślnie.

Tak więc, jeśli jesteś absolutnie pewien, że nikt nie miał fizycznego dostępu do twojego laptopa bez twojej wiedzy, a twój laptop ma ekran dotykowy i nie zawiesza się odpowiednio, i spędził trochę czasu w plecaku, myślę, że wszystko może być po prostu przypadek „wywołania kieszonkowego” - przypadkowe dotknięcia ekranu w połączeniu z sugestiami wyszukiwania i automatyczną korektą otworzyły wiele okien i przeprowadziły wyszukiwania google, klikając losowe linki i pobierając losowe pliki.

Jako osobista anegdota - zdarza się to od czasu do czasu z moim smartfonem w kieszeni, obejmującym otwieranie wielu aplikacji, zmianę ustawień systemowych, wysyłanie częściowo spójnych wiadomości SMS i oglądanie losowych filmów z YouTube.

Czy masz znajomych, którzy lubią zdalnie / fizycznie uzyskiwać dostęp do laptopa, gdy Cię nie ma? Jeśli nie:

Przetrzyj dysk twardy za pomocą DBAN i ponownie zainstaluj system operacyjny od zera. Najpierw wykonaj kopię zapasową.

Coś mogło zostać poważnie zagrożone w samym Ubuntu. Po ponownej instalacji:

Szyfruj /home. Jeśli sam dysk twardy / laptop zostanie kiedykolwiek fizycznie skradziony, nie mogą uzyskać dostępu do danych w nim zawartych /home.

Zaszyfruj dysk twardy. Zapobiega to kompromisom /bootbez logowania. Musisz także podać hasło startowe (tak myślę).

Ustaw silne hasło. Jeśli ktoś odkryje hasło dysku twardego, nie może uzyskać dostępu /homeani się zalogować.

Zaszyfruj swoje WiFi. Ktoś mógł dostać się w pobliżu routera i skorzystać z niezaszyfrowanego Wi-Fi i ssh'd na twoim laptopie.

Wyłącz konto gościa. Osoba atakująca mogła ssh'd na twoim laptopie, uzyskać zdalne połączenie, zalogować się przez gościa i podnieść konto gościa do rootowania. To niebezpieczna sytuacja. Jeśli tak się stanie, osoba atakująca może uruchomić polecenie BARDZO NIEBEZPIECZNE :

rm -rf --no-preserve-root / 

To usuwa DUŻO danych na dysku twardym, niszczy /home, a nawet gorzej, pozostawia Ubuntu całkowicie niezdolnym nawet do rozruchu. Zostaniesz po prostu wrzucony na ratunek gruba i nie będziesz w stanie się z tego zregenerować. Atakujący może również całkowicie zniszczyć /homekatalog i tak dalej. Jeśli masz sieć domową, osoba atakująca może również nie być w stanie uruchomić wszystkich innych komputerów w tej sieci (jeśli działają na systemie Linux).

Mam nadzieję, że to pomoże. :)

„Podejrzane” działanie tłumaczy się następująco: mój laptop nie zawiesza się już po zamknięciu pokrywy, laptop jest ekranem dotykowym i zareagował na wywierany nacisk (prawdopodobnie moje koty). Podane wiersze /var/log/auth.logi dane wyjściowe whopolecenia są zgodne z loginem sesji gościa. Podczas gdy wyłączyłem logowanie sesji gościa z powitania, jest ono nadal dostępne z menu rozwijanego w prawym górnym rogu w Unity DE. Ergo, sesję gościa można otworzyć, gdy jestem zalogowany.

Przetestowałem teorię „nacisku wywieranego”; okna mogą i otwierają się, gdy pokrywa jest zamknięta. Zalogowałem się także do nowej sesji gościa. Linie logów identyczne z tym, co postrzegałem jako podejrzane działanie, były obecne /var/log/auth.logpo tym, jak to zrobiłem. Przełączyłem użytkowników z powrotem na moje konto i uruchomiłem whopolecenie - dane wyjściowe wskazywały, że w systemie zalogowany jest gość.

Logo WiFi strzałki w górę wróciło do standardowego logo WiFi, a wszystkie dostępne połączenia są widoczne. To był problem z naszą siecią i jest niezwiązany.

Wyciągnij kartę / kartę sieci bezprzewodowej i spójrz na ślady. Zanotuj swoje dzienniki, aby askbuntu mogło pomóc. Następnie wyczyść dyski i wypróbuj inną dystrybucję, wypróbuj płytę CD na żywo i pozostaw ją uruchomioną, aby sprawdzić, czy nie ma wzorca ataków.