Я на 99,9% уверен, что моя система на моем персональном компьютере была заражена. Позвольте мне сначала высказать свое мнение, чтобы ситуация была ясна:
Грубые сроки подозрительной активности и предпринятых последующих действий:
4-26 23:00
Я закончил все программы и закрыл свой ноутбук.
4-27 12:00
Я открыл свой ноутбук после того, как он находился в режиме ожидания около 13 часов. Было открыто несколько окон, включая: два хромированных окна, системные настройки, центр программного обеспечения. На моем рабочем столе был установщик git (я проверил, он не был установлен).
4-27 13:00
История Chrome отображала логины на мою электронную почту и другую историю поиска, которую я не инициировал (с 01:00 до 03:00 4-27), включая «установку git». В моем браузере открылась вкладка Digital Ocean «Как настроить приглашение bash». Это открывалось несколько раз после того, как я закрыл это. Я ужесточил безопасность в Chrome.
Я отключился от Wi-Fi, но при повторном подключении вместо стандартного символа появился символ стрелки вверх-вниз, и в раскрывающемся меню Wi-Fi больше не было списка сетей.
В разделе «Редактировать подключения» я заметил, что ноутбук подключен в сеть под названием "GFiberSetup 1802" в ~ 05:30 на 4-27. Мои соседи на 1802 xx Drive только что установили Google Fibre, поэтому я предполагаю, что это связано.
4-27 20:30
Команда who
показала, что второй пользователь с именем guest-g20zoo вошел в мою систему. Это мой частный ноутбук, на котором работает Ubuntu, в моей системе не должно быть никого другого. Запаниковал, я запустил sudo pkill -9 -u guest-g20zoo
и отключил сеть и вайфай
Я заглянул /var/log/auth.log
и нашел это:
Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session
Извините, это большой вывод, но это основная часть активности guest-g20zoo в журнале, и все это за пару минут.
Я также проверил /etc/passwd
:
guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash
И /etc/shadow
:
root:!:16669:0:99999:7:::
daemon:*:16547:0:99999:7:::
.
.
.
nobody:*:16547:0:99999:7:::
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::
guest-G4J7WQ:*:16689:0:99999:7:::
.
.
Я не совсем понимаю, что этот вывод означает для моей ситуации. Есть guest-g20zoo
и guest-G4J7WQ
тот же пользователь?
lastlog
шоу:
guest-G4J7WQ Never logged in
Тем не менее, last
показывает:
guest-g20zoo Wed Apr 27 06:55 - 20:33 (13:37)
Так что, похоже, что они не тот же пользователь, но guest-g20zoo нигде не было найдено в выводе lastlog
.
Я хотел бы заблокировать доступ для пользователя guest-g20zoo, но так как он не появляется в, /etc/shadow
и я предполагаю, что не использует пароль для входа в систему, но использует ssh, будет passwd -l guest-g20zoo
работать?
Я пытался systemctl stop sshd
, но получил это сообщение об ошибке:
Failed to stop sshd.service: Unit sshd.service not loaded
Означает ли это, что удаленный вход в систему уже отключен в моей системе, и поэтому приведенная выше команда является избыточной?
Я пытался найти дополнительную информацию об этом новом пользователе, например, с какого IP-адреса он вошел в систему, но, похоже, ничего не могу найти.
Некоторая потенциально важная информация: в
настоящее время я подключен к сети моего университета, и мой значок WiFi выглядит нормально, я вижу все параметры сети, и нет никаких странных браузеров, которые появляются самостоятельно. Означает ли это, что тот, кто входит в мою систему, находится в пределах досягаемости моего WiFi-маршрутизатора в моем доме?
Я побежал, chkrootkit
и все выглядело нормально, но я также не знаю, как интерпретировать весь вывод. Я действительно не знаю, что здесь делать. Я просто хочу быть абсолютно уверенным, что этот человек (или кто-либо еще в этом отношении) никогда не сможет снова получить доступ к моей системе, и я хочу найти и удалить любые скрытые файлы, созданные ими. Пожалуйста и спасибо!
PS - я уже изменил свой пароль и зашифровал важные файлы, когда WiFi и сеть были отключены.
sshd
после имени сервера, но я согласен, что удаление этой информации, но все еще оставляя следы себя странно. Есть ли другой способ проверить, есть ли у кого-нибудь ssh'd в моей системе?
sshd
после имени сервера? Если нет, то определенно не было доступа по ssh ... если только они не очистили эту часть журнала и не потрудились очистить другие записи, что было бы странно.