Jestem 99,9% pewien, że mój system na moim komputerze osobistym został infiltrowany. Pozwólcie, że najpierw przedstawię uzasadnienie, aby sytuacja była jasna:
Szorstki harmonogram podejrzanych działań i podjętych później działań:
4-26 23:00
Zakończyłem wszystkie programy i zamknąłem laptopa.
4-27 12:00
Otworzyłem laptopa po tym, jak był w trybie zawieszenia przez około 13 godzin. Wiele okien było otwartych, w tym: Dwa okna chromowane, ustawienia systemowe, centrum oprogramowania. Na moim pulpicie był instalator git (sprawdziłem, że nie został zainstalowany).
4-27 13:00
Historia Chrome wyświetlała loginy na mój e-mail i inną historię wyszukiwania, której nie zainicjowałem (między 01:00 a 03:00 w dniach 4-27), w tym „instalowanie git”. W mojej przeglądarce była otwarta karta „Ocean” „Jak dostosować monit bash”. Ponownie otworzyło się kilka razy po zamknięciu. Zaostrzyłem zabezpieczenia w Chrome.
Odłączyłem się od Wi-Fi, ale po ponownym połączeniu pojawił się symbol strzałki w górę zamiast symbolu standardowego, a w rozwijanym menu Wi-Fi nie było już listy sieci W sekcji
„Edytuj połączenia” zauważyłem, że mój laptop się połączył do sieci o nazwie „GFiberSetup 1802” o godzinie ~ 05: 30 w dniach 4-27. Moi sąsiedzi na 1802 xx Drive właśnie zainstalowali Google Fibre, więc zgaduję, że jest to powiązane.
4-27 20:30 komenda ujawnił, że drugi użytkownik o nazwie guest-g20zoo był zalogowany do mojego systemu. To jest mój prywatny laptop z systemem Ubuntu, w moim systemie nie powinno być nikogo innego. Panikowałem, uruchomiłem i wyłączyłem sieć i Wi-Fiwho
sudo pkill -9 -u guest-g20zoo
Zajrzałem /var/log/auth.log
i znalazłem to:
Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session
Przepraszam, że to dużo danych wyjściowych, ale to większość aktywności gościa g20zoo w dzienniku, wszystko w ciągu kilku minut.
Sprawdziłem także /etc/passwd
:
guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash
I /etc/shadow
:
root:!:16669:0:99999:7:::
daemon:*:16547:0:99999:7:::
.
.
.
nobody:*:16547:0:99999:7:::
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::
guest-G4J7WQ:*:16689:0:99999:7:::
.
.
Nie do końca rozumiem, co ten wynik oznacza dla mojej sytuacji. Czy guest-g20zoo
i guest-G4J7WQ
ten sam użytkownik?
lastlog
przedstawia:
guest-G4J7WQ Never logged in
Jednak last
pokazy:
guest-g20zoo Wed Apr 27 06:55 - 20:33 (13:37)
Wygląda więc na to, że nie są oni tym samym użytkownikiem, ale gościa g20zoo nigdzie nie znaleziono lastlog
.
Chciałbym zablokować dostęp dla użytkownika guest-g20zoo, ale ponieważ on (y) nie pojawia się /etc/shadow
i zakładam, że nie używa hasła do logowania, ale używa ssh, passwd -l guest-g20zoo
zadziała?
Próbowałem systemctl stop sshd
, ale dostałem ten komunikat o błędzie:
Failed to stop sshd.service: Unit sshd.service not loaded
Czy to oznacza, że zdalne logowanie zostało już wyłączone w moim systemie i dlatego powyższe polecenie jest zbędne?
Próbowałem znaleźć więcej informacji o tym nowym użytkowniku, na przykład z jakiego adresu IP się zalogowali, ale nie mogę nic znaleźć.
Kilka potencjalnie istotnych informacji:
obecnie jestem podłączony do sieci mojej uczelni, a moja ikona Wi-Fi wygląda dobrze, widzę wszystkie opcje sieciowe i nie ma żadnych dziwnych przeglądarek pojawiających się na własną rękę. Czy to oznacza, że ktokolwiek loguje się do mojego systemu, znajduje się w zasięgu mojego routera WiFi w moim domu?
Pobiegłem chkrootkit
i wszystko wydawało się w porządku, ale nie wiem też, jak interpretować wszystkie dane wyjściowe. Naprawdę nie wiem, co tu robić. Chcę mieć absolutną pewność, że ta osoba (lub ktokolwiek inny w tej sprawie) nigdy nie będzie mogła uzyskać dostępu do mojego systemu i chcę znaleźć i usunąć wszelkie utworzone przez nią ukryte pliki. Proszę i dziękuję!
PS - już zmieniłem hasło i zaszyfrowałem ważne pliki, gdy Wi-Fi i sieć były wyłączone.
źródło
sshd
nazwę serwera? Jeśli nie, to zdecydowanie nie ma dostępu do ssh ... chyba że wyczyścili tę część dziennika i nie zawracali sobie głowy czyszczeniem innych wpisów, co byłoby dziwne.sshd
nazwę serwera, ale zgadzam się, że usunięcie tych informacji, ale pozostawianie śladów jest dziwne. Czy jest jakiś inny sposób sprawdzenia śladu, który mój ktoś ssh zapisał w moim systemie?Odpowiedzi:
Wygląda na to, że ktoś otworzył sesję gościa na twoim laptopie, gdy jesteś z dala od pokoju. Gdybym był tobą, zapytałbym wokoło, to może być przyjaciel.
Konta gości, które widzisz
/etc/passwd
i/etc/shadow
nie są dla mnie podejrzane, są tworzone przez system, gdy ktoś otworzy sesję gościa.Ta linia oznacza, że
root
ma dostęp do konta gościa, co może być normalne, ale należy je zbadać. Próbowałem na moim ubuntu1404LTS i nie widzę tego zachowania. Powinieneś spróbować zalogować się w sesji gościa i grep,auth.log
aby zobaczyć, czy ten wiersz pojawia się przy każdym logowaniu użytkownika gościa.Wszystkie otwarte okna Chrome, które widziałeś po otwarciu laptopa. Czy to możliwe, że widziałeś pulpit sesji gościa?
źródło
lightdm.conf.d
plik, aby jakiś czas temu uniemożliwić logowanie do sesji gościa. Myślę, że widziałem pulpit sesji gościa. Jednak zdałem sobie sprawę, że mój laptop nie zawiesza się już po zamknięciu pokrywy i jest to ekran dotykowy. Czy to możliwe, że okna na moim pulpicie (nie karty w chromie) mogłyby zostać otwarte, gdyby obszary ekranu były dociskane, gdy były zamknięte? Próbuję tylko dowiedzieć się, co tu jest.Wyczyść dysk twardy i ponownie zainstaluj system operacyjny od podstaw.
W każdym przypadku nieautoryzowanego dostępu istnieje możliwość uzyskania uprawnień roota, więc można założyć, że tak się stało. W tym przypadku auth.log wydaje się potwierdzać, że rzeczywiście tak było - chyba że tak było ty użytkownika:
W szczególności z uprawnieniami roota mogą mieć problemy z systemem w sposób, który jest praktycznie niemożliwy do naprawienia bez ponownej instalacji, na przykład poprzez modyfikację skryptów rozruchowych lub instalowanie nowych skryptów i aplikacji, które działają podczas rozruchu i tak dalej. Mogą to być np. Uruchamianie nieautoryzowanego oprogramowania sieciowego (np. W celu utworzenia części botnetu) lub pozostawienie tylnych drzwi w systemie. Próba wykrycia i naprawienia tego rodzaju rzeczy bez ponownej instalacji jest w najlepszym przypadku nieuporządkowana i nie gwarantuje, że pozbędziesz się wszystkiego.
źródło
root
użytkownik się zmieniłguest-g20zoo
, a nie na odwrót.su
na innym koncie z konta root, oznacza to, że są rootami .Chcę tylko wspomnieć, że „wiele kart / okien przeglądarki jest otwartych, otwarte Centrum oprogramowania, pliki pobrane na pulpit” nie jest zbyt spójne z osobą logującą się na twoim komputerze przez SSH. Osoba atakująca logująca się przez SSH otrzyma konsolę tekstową, która jest całkowicie oddzielona od tego, co widzisz na pulpicie. Nie będą też musieli wyszukiwać w Google „jak zainstalować git” z sesji na komputerze, ponieważ będą siedzieć przed własnym komputerem, prawda? Nawet gdyby chcieli zainstalować Git (dlaczego?), Nie musieliby pobierać instalatora, ponieważ Git znajduje się w repozytoriach Ubuntu, każdy, kto wie coś o Git lub Ubuntu, wie o tym. I dlaczego musieli google, jak dostosować monit bash?
Podejrzewam również, że „W mojej przeglądarce była otwarta karta. Ponownie otworzyła się kilka razy po jej zamknięciu” było w rzeczywistości wiele identycznych otwartych kart, więc trzeba było je zamykać jeden po drugim.
Próbuję tu powiedzieć, że wzorzec aktywności przypomina „małpę z maszyną do pisania”.
Nie wspomniałeś również, że masz zainstalowany serwer SSH - nie jest on instalowany domyślnie.
Tak więc, jeśli jesteś absolutnie pewien, że nikt nie miał fizycznego dostępu do twojego laptopa bez twojej wiedzy, a twój laptop ma ekran dotykowy i nie zawiesza się odpowiednio, i spędził trochę czasu w plecaku, myślę, że wszystko może być po prostu przypadek „wywołania kieszonkowego” - przypadkowe dotknięcia ekranu w połączeniu z sugestiami wyszukiwania i automatyczną korektą otworzyły wiele okien i przeprowadziły wyszukiwania google, klikając losowe linki i pobierając losowe pliki.
Jako osobista anegdota - zdarza się to od czasu do czasu z moim smartfonem w kieszeni, obejmującym otwieranie wielu aplikacji, zmianę ustawień systemowych, wysyłanie częściowo spójnych wiadomości SMS i oglądanie losowych filmów z YouTube.
źródło
Czy masz znajomych, którzy lubią zdalnie / fizycznie uzyskiwać dostęp do laptopa, gdy Cię nie ma? Jeśli nie:
Przetrzyj dysk twardy za pomocą DBAN i ponownie zainstaluj system operacyjny od zera. Najpierw wykonaj kopię zapasową.
Coś mogło zostać poważnie zagrożone w samym Ubuntu. Po ponownej instalacji:
Szyfruj
/home
. Jeśli sam dysk twardy / laptop zostanie kiedykolwiek fizycznie skradziony, nie mogą uzyskać dostępu do danych w nim zawartych/home
.Zaszyfruj dysk twardy. Zapobiega to kompromisom
/boot
bez logowania. Musisz także podać hasło startowe (tak myślę).Ustaw silne hasło. Jeśli ktoś odkryje hasło dysku twardego, nie może uzyskać dostępu
/home
ani się zalogować.Zaszyfruj swoje WiFi. Ktoś mógł dostać się w pobliżu routera i skorzystać z niezaszyfrowanego Wi-Fi i ssh'd na twoim laptopie.
Wyłącz konto gościa. Osoba atakująca mogła ssh'd na twoim laptopie, uzyskać zdalne połączenie, zalogować się przez gościa i podnieść konto gościa do rootowania. To niebezpieczna sytuacja. Jeśli tak się stanie, osoba atakująca może uruchomić polecenie BARDZO NIEBEZPIECZNE :
To usuwa DUŻO danych na dysku twardym, niszczy
/home
, a nawet gorzej, pozostawia Ubuntu całkowicie niezdolnym nawet do rozruchu. Zostaniesz po prostu wrzucony na ratunek gruba i nie będziesz w stanie się z tego zregenerować. Atakujący może również całkowicie zniszczyć/home
katalog i tak dalej. Jeśli masz sieć domową, osoba atakująca może również nie być w stanie uruchomić wszystkich innych komputerów w tej sieci (jeśli działają na systemie Linux).Mam nadzieję, że to pomoże. :)
źródło
rm -rf /
? zbierze wszystkie twoje dane. usunięcie danych nie ma żadnego sensu.rm -rf /
, może to zepsuć całą maszynę, ponieważ stare wersje systemu Linux (starsze niż 4.5) nie chronią UEFI i zniszczyłbyś ją, jeśli usuniesz z niej kilka plików/sys/firmware/efi/efivars/
.„Podejrzane” działanie tłumaczy się następująco: mój laptop nie zawiesza się już po zamknięciu pokrywy, laptop jest ekranem dotykowym i zareagował na wywierany nacisk (prawdopodobnie moje koty). Podane wiersze
/var/log/auth.log
i dane wyjściowewho
polecenia są zgodne z loginem sesji gościa. Podczas gdy wyłączyłem logowanie sesji gościa z powitania, jest ono nadal dostępne z menu rozwijanego w prawym górnym rogu w Unity DE. Ergo, sesję gościa można otworzyć, gdy jestem zalogowany.Przetestowałem teorię „nacisku wywieranego”; okna mogą i otwierają się, gdy pokrywa jest zamknięta. Zalogowałem się także do nowej sesji gościa. Linie logów identyczne z tym, co postrzegałem jako podejrzane działanie, były obecne
/var/log/auth.log
po tym, jak to zrobiłem. Przełączyłem użytkowników z powrotem na moje konto i uruchomiłemwho
polecenie - dane wyjściowe wskazywały, że w systemie zalogowany jest gość.Logo WiFi strzałki w górę wróciło do standardowego logo WiFi, a wszystkie dostępne połączenia są widoczne. To był problem z naszą siecią i jest niezwiązany.
źródło
Wyciągnij kartę / kartę sieci bezprzewodowej i spójrz na ślady. Zanotuj swoje dzienniki, aby askbuntu mogło pomóc. Następnie wyczyść dyski i wypróbuj inną dystrybucję, wypróbuj płytę CD na żywo i pozostaw ją uruchomioną, aby sprawdzić, czy nie ma wzorca ataków.
źródło