问题描述
我确定99.9%的个人计算机上的系统已被入侵。请允许我先说明一下,这样情况会很清楚:
可疑活动的大致时间表以及随后采取的措施:
4-26 23:00我结束了所有程序并关闭了笔记本电脑。
4-27 12:00笔记本电脑进入暂停模式约13个小时后,我打开了笔记本电脑。打开了多个窗口,包括:两个chrome窗口,系统设置,软件中心。在我的桌面上有一个git安装程序(我检查过,尚未安装)。
4-27 13:00 Chrome历史记录显示登录到我的电子邮件的登录信息以及其他我未初始化的搜索历史记录(在4-27的01:00到03:00之间),包括”installing git”。在浏览器中打开了一个标签页,“ Digital Ocean”“如何自定义bash提示”。我关闭它后,它又重新打开了好几次。我加强了Chrome的安全性。
我已断开与WiFi的连接,但是当我重新连接时,出现了up-down箭头符号,而不是标准符号,并且在’Edit Connections’下的Wifi下拉菜单中不再有网络列表,我注意到我的笔记本电脑已连接到名为“ GFiberSetup 1802“在4-27的〜05:30。我在1802 xx Drive的邻居刚刚安装了谷歌光纤,所以我想这是相关的。
4-27 20:30 who
命令显示第二个名为guest-g20zoo的用户已登录到我的系统中。这是我运行Ubuntu的私人笔记本电脑,我的系统上不应有其他人。惊慌失措,我运行了sudo pkill -9 -u guest-g20zoo
并禁用了联网和Wifi
我查看了/var/log/auth.log
,发现了这一点:
Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session
抱歉,它的输出很多,但这是日志中guest-g20zoo的大部分活动,所有这些都在几分钟之内完成。
我还检查了/etc/passwd
:
guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash
和/etc/shadow
:
root:!:16669:0:99999:7:::
daemon:*:16547:0:99999:7:::
.
.
.
nobody:*:16547:0:99999:7:::
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::
guest-G4J7WQ:*:16689:0:99999:7:::
.
.
我不完全了解此输出对我的情况意味着什么。 guest-g20zoo
和guest-G4J7WQ
是同一用户吗?
lastlog
显示:
guest-G4J7WQ Never logged in
但是,last
显示:
guest-g20zoo Wed Apr 27 06:55 - 20:33 (13:37)
因此,似乎他们不是同一用户,但在lastlog
的输出中找不到guest-g20zoo。
我想阻止对用户guest-g20zoo的访问,但是由于(s)他未出现在/etc/shadow
中,并且我假设不使用密码登录,而是使用ssh,passwd -l guest-g20zoo
可以工作吗?
我尝试使用systemctl stop sshd
,但收到以下错误消息:
Failed to stop sshd.service: Unit sshd.service not loaded
这是否意味着我的系统上已经禁用了远程登录,因此上述命令是多余的?
我试图找到有关此新用户的更多信息,例如他们从哪个IP地址登录,但是我似乎什么也找不到。
一些潜在的相关信息:目前,我已连接到大学网络,并且我的WiFi图标看起来不错,可以看到我的所有网络选项,并且没有弹出任何奇怪的浏览器。这是否表明任何登录我系统的人都在我家里WiFi路由器的范围内?
我运行了chkrootkit
,一切似乎都很好,但我也不知道如何解释所有输出。我真的不知道该怎么办。我只想绝对确定这个人(或其他任何人)将永远无法再次访问我的系统,并且我想查找并删除由他们创建的任何隐藏文件。谢谢,麻烦您了!
附言-在禁用WiFi和网络功能的情况下,我已经更改了密码并加密了重要文件。
最佳解决方案
好像有人在您离开房间的时候在您的笔记本电脑上打开了访客会话。如果我是你,我想问一下,那就可能是朋友。
您在/etc/passwd
和/etc/shadow
中看到的来宾帐户对我来说并不可疑,它们是由系统在有人打开来宾会话时创建的。
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root
此行表示root
有权访问访客帐户,这可能是正常的,但应进行调查。我已经尝试过ubuntu1404LTS,但没有看到这种行为。您应该尝试通过访客会话登录并grep您的auth.log
,以查看每次访客用户登录时是否都显示此行。
打开笔记本电脑时看到的所有打开的Chrome窗口。您是否有可能看到访客会话桌面?
次佳解决方案
擦拭硬盘驱动器,然后从头开始重新安装操作系统。
在任何未经授权的访问情况下,攻击者都有可能获得root特权,因此明智的做法是假定它发生了。在这种情况下,auth.log似乎确认确实如此-除非您是切换用户:
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root
尤其是具有root特权的用户,它们可能以某种方式混乱了系统,而实际上这些方式如果不重新安装就无法修复,例如通过修改启动脚本或安装新的脚本和在启动时运行的应用程序,等等。这些可能会执行诸如运行未经授权的网络软件(即构成僵尸网络的一部分)或将后门留给系统的行为。尝试在不重新安装的情况下检测和修复此类问题充其量是杂乱无章的,并且不能保证将所有内容都消除掉。
第三种解决方案
我只想提及“打开多个浏览器选项卡/窗口,打开Software Center,将文件下载到桌面”与通过SSH登录到您的计算机的不一致。通过SSH登录的攻击者将获得一个文本控制台,该控制台与您在桌面上看到的完全不同。他们也不需要从您的桌面会话中搜索“如何安装git”,因为他们会坐在自己的计算机前,对吗?即使他们想要安装Git(为什么?),也不需要下载安装程序,因为Git在Ubuntu存储库中,任何对Git或Ubuntu有所了解的人都知道这一点。为什么他们必须在Google上自定义bash提示?
我还怀疑“在我的浏览器中有一个标签页…在关闭后重新打开了几次。”实际上是打开了多个相同的标签页,因此您必须一个个地关闭它们。
我在这里要说的是,活动方式类似于“打字机的猴子”。
您也没有提到您甚至安装了SSH服务器-默认情况下未安装。
因此,如果您完全确定没有人在您不知情的情况下物理访问过您的笔记本电脑,并且您的笔记本电脑带有触摸屏,并且无法正常挂起,并且在背包中花费了一些时间,那么我认为这一切都可以”pocket calling”案例-随机屏幕触摸与搜索建议和auto-correction相结合,打开了多个窗口并执行了google搜索,点击了随机链接并下载了随机文件。
作为个人轶事-它不时出现在我口袋里的智能手机中,包括打开多个应用程序,更改系统设置,发送semi-coherent SMS消息以及观看随机的YouTube视频。
第四种方案
您有没有喜欢在旅途中远程/物理访问笔记本电脑的朋友?如果不:
用DBAN擦拭HDD,然后从头开始重新安装操作系统。确保先备份。
Ubuntu本身可能已经严重破坏了某些功能。重新安装时:
加密/home
。如果HDD /笔记本电脑本身被盗,则它们将无法访问/home
中的数据。
加密硬盘。这样可以防止人们在不登录的情况下破坏/boot
。您还必须输入boot-time密码(我认为)。
设置一个强密码。如果有人指出了HDD密码,则他们将无法访问/home
或登录。
加密您的WiFi。可能有人进入路由器的范围之内,并利用了未加密的Wifi并将其SSH装入笔记本电脑。
禁用访客帐户。攻击者可能已经进入您的笔记本电脑,建立了远程连接,通过Guest登录,并将Guest帐户提升为root。这是危险的情况。如果发生这种情况,攻击者可以运行此VERY DANGEROUS命令:
rm -rf --no-preserve-root /
这会擦除HDD上的大量数据,破坏/home
,更糟糕的是,Ubuntu甚至无法启动。您将被投入抢救,您将无法从中恢复。攻击者还可能完全破坏/home
目录,依此类推。如果您有家庭网络,则攻击者也可能会启动该网络上的所有其他计算机(如果它们运行Linux)。
我希望这有帮助。 🙂