Komputer osobisty zaatakowany przez hakera: Jak zablokować ponowne logowanie tego użytkownika? Jak mogę się dowiedzieć, jak się logują?

25

Jestem 99,9% pewien, że mój system na moim komputerze osobistym został infiltrowany. Pozwólcie, że najpierw przedstawię uzasadnienie, aby sytuacja była jasna:

Szorstki harmonogram podejrzanych działań i podjętych później działań:

4-26 23:00
Zakończyłem wszystkie programy i zamknąłem laptopa.

4-27 12:00
Otworzyłem laptopa po tym, jak był w trybie zawieszenia przez około 13 godzin. Wiele okien było otwartych, w tym: Dwa okna chromowane, ustawienia systemowe, centrum oprogramowania. Na moim pulpicie był instalator git (sprawdziłem, że nie został zainstalowany).

4-27 13:00
Historia Chrome wyświetlała loginy na mój e-mail i inną historię wyszukiwania, której nie zainicjowałem (między 01:00 a 03:00 w dniach 4-27), w tym „instalowanie git”. W mojej przeglądarce była otwarta karta „Ocean” „Jak dostosować monit bash”. Ponownie otworzyło się kilka razy po zamknięciu. Zaostrzyłem zabezpieczenia w Chrome.

Odłączyłem się od Wi-Fi, ale po ponownym połączeniu pojawił się symbol strzałki w górę zamiast symbolu standardowego, a w rozwijanym menu Wi-Fi nie było już listy sieci W sekcji
„Edytuj połączenia” zauważyłem, że mój laptop się połączył do sieci o nazwie „GFiberSetup 1802” o godzinie ~ 05: 30 w dniach 4-27. Moi sąsiedzi na 1802 xx Drive właśnie zainstalowali Google Fibre, więc zgaduję, że jest to powiązane.

4-27 20:30 komenda ujawnił, że drugi użytkownik o nazwie guest-g20zoo był zalogowany do mojego systemu. To jest mój prywatny laptop z systemem Ubuntu, w moim systemie nie powinno być nikogo innego. Panikowałem, uruchomiłem i wyłączyłem sieć i Wi-Fi
whosudo pkill -9 -u guest-g20zoo

Zajrzałem /var/log/auth.logi znalazłem to:

Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999  
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash    
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root  
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo  
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.  
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.  
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)  
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session

Przepraszam, że to dużo danych wyjściowych, ale to większość aktywności gościa g20zoo w dzienniku, wszystko w ciągu kilku minut.

Sprawdziłem także /etc/passwd:

guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash

I /etc/shadow:

root:!:16669:0:99999:7:::  
daemon:*:16547:0:99999:7:::  
.  
.  
.   
nobody:*:16547:0:99999:7:::  
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::  
guest-G4J7WQ:*:16689:0:99999:7:::  
.  
.

Nie do końca rozumiem, co ten wynik oznacza dla mojej sytuacji. Czy guest-g20zooi guest-G4J7WQten sam użytkownik?

lastlog przedstawia:

guest-G4J7WQ      Never logged in

Jednak lastpokazy:

guest-g20zoo      Wed Apr 27 06:55 - 20:33 (13:37)

Wygląda więc na to, że nie są oni tym samym użytkownikiem, ale gościa g20zoo nigdzie nie znaleziono lastlog.

Chciałbym zablokować dostęp dla użytkownika guest-g20zoo, ale ponieważ on (y) nie pojawia się /etc/shadowi zakładam, że nie używa hasła do logowania, ale używa ssh, passwd -l guest-g20zoozadziała?

Próbowałem systemctl stop sshd, ale dostałem ten komunikat o błędzie:

Failed to stop sshd.service: Unit sshd.service not loaded

Czy to oznacza, że ​​zdalne logowanie zostało już wyłączone w moim systemie i dlatego powyższe polecenie jest zbędne?

Próbowałem znaleźć więcej informacji o tym nowym użytkowniku, na przykład z jakiego adresu IP się zalogowali, ale nie mogę nic znaleźć.

Kilka potencjalnie istotnych informacji:
obecnie jestem podłączony do sieci mojej uczelni, a moja ikona Wi-Fi wygląda dobrze, widzę wszystkie opcje sieciowe i nie ma żadnych dziwnych przeglądarek pojawiających się na własną rękę. Czy to oznacza, że ​​ktokolwiek loguje się do mojego systemu, znajduje się w zasięgu mojego routera WiFi w moim domu?

Pobiegłem chkrootkiti wszystko wydawało się w porządku, ale nie wiem też, jak interpretować wszystkie dane wyjściowe. Naprawdę nie wiem, co tu robić. Chcę mieć absolutną pewność, że ta osoba (lub ktokolwiek inny w tej sprawie) nigdy nie będzie mogła uzyskać dostępu do mojego systemu i chcę znaleźć i usunąć wszelkie utworzone przez nią ukryte pliki. Proszę i dziękuję!

PS - już zmieniłem hasło i zaszyfrowałem ważne pliki, gdy Wi-Fi i sieć były wyłączone.

Rosemary S.
źródło
Czy są jakieś wpisy w dzienniku uwierzytelniania, które mają sshdnazwę serwera? Jeśli nie, to zdecydowanie nie ma dostępu do ssh ... chyba że wyczyścili tę część dziennika i nie zawracali sobie głowy czyszczeniem innych wpisów, co byłoby dziwne.
Arroniczny
17
Nuke to z orbity !
Boris the Spider
1
a następnie zmień wszystkie swoje hasła
njzk2 30.04.16
@Arronical Nie ma wpisów, które mają sshdnazwę serwera, ale zgadzam się, że usunięcie tych informacji, ale pozostawianie śladów jest dziwne. Czy jest jakiś inny sposób sprawdzenia śladu, który mój ktoś ssh zapisał w moim systemie?
Rosemary S
1
Jeśli masz rozwiązanie, prześlij je jako odpowiedź i oznacz jako zaakceptowane.
muru

Odpowiedzi:

26

Wygląda na to, że ktoś otworzył sesję gościa na twoim laptopie, gdy jesteś z dala od pokoju. Gdybym był tobą, zapytałbym wokoło, to może być przyjaciel.

Konta gości, które widzisz /etc/passwdi /etc/shadownie są dla mnie podejrzane, są tworzone przez system, gdy ktoś otworzy sesję gościa.

27 kwietnia 06:55:55 Rho su [23881]: Udane su dla gościa-g20zoo przez root

Ta linia oznacza, że rootma dostęp do konta gościa, co może być normalne, ale należy je zbadać. Próbowałem na moim ubuntu1404LTS i nie widzę tego zachowania. Powinieneś spróbować zalogować się w sesji gościa i grep, auth.logaby zobaczyć, czy ten wiersz pojawia się przy każdym logowaniu użytkownika gościa.

Wszystkie otwarte okna Chrome, które widziałeś po otwarciu laptopa. Czy to możliwe, że widziałeś pulpit sesji gościa?

Daniel
źródło
To jedyna rozsądna, poinformowana i nie wymagająca odpowiedzi odpowiedź.
rura
Jedyną inną osobą, która ma dostęp do mojego laptopa, jest mój mąż, nigdy nie pozostawiam go bez opieki w szkole lub w miejscach publicznych. Zmodyfikowałem też lightdm.conf.dplik, aby jakiś czas temu uniemożliwić logowanie do sesji gościa. Myślę, że widziałem pulpit sesji gościa. Jednak zdałem sobie sprawę, że mój laptop nie zawiesza się już po zamknięciu pokrywy i jest to ekran dotykowy. Czy to możliwe, że okna na moim pulpicie (nie karty w chromie) mogłyby zostać otwarte, gdyby obszary ekranu były dociskane, gdy były zamknięte? Próbuję tylko dowiedzieć się, co tu jest.
Rosemary S
1
Wiele okien otwieranych po przebudzeniu z trybu wstrzymania to [ROZWIĄZANE]. Mój laptop nie zawiesza się już po zamknięciu pokrywy, to ekran dotykowy. Wchodzi mi do plecaka i przyłapałem moje koty na nim w domu. Przetestowałem moją teorię, okna zostały otwarte z powodu tego problemu. Nie widziałem pulpitu sesji gościa.
Rosemary S
33

Wyczyść dysk twardy i ponownie zainstaluj system operacyjny od podstaw.

W każdym przypadku nieautoryzowanego dostępu istnieje możliwość uzyskania uprawnień roota, więc można założyć, że tak się stało. W tym przypadku auth.log wydaje się potwierdzać, że rzeczywiście tak było - chyba że tak było ty użytkownika:

27 kwietnia 06:55:55 Rho su [23881]: Udane su dla gościa-g20zoo przez root

W szczególności z uprawnieniami roota mogą mieć problemy z systemem w sposób, który jest praktycznie niemożliwy do naprawienia bez ponownej instalacji, na przykład poprzez modyfikację skryptów rozruchowych lub instalowanie nowych skryptów i aplikacji, które działają podczas rozruchu i tak dalej. Mogą to być np. Uruchamianie nieautoryzowanego oprogramowania sieciowego (np. W celu utworzenia części botnetu) lub pozostawienie tylnych drzwi w systemie. Próba wykrycia i naprawienia tego rodzaju rzeczy bez ponownej instalacji jest w najlepszym przypadku nieuporządkowana i nie gwarantuje, że pozbędziesz się wszystkiego.

thomasrutter
źródło
6
Nawet to nie zadziała, jeśli zainstalują jakieś złośliwe oprogramowanie na sprzęcie, na przykład, jeśli sflashują oprogramowanie układowe dysku twardego.
John Dvorak
7
Ten cytowany wiersz dziennika oznacza, że rootużytkownik się zmienił guest-g20zoo, a nie na odwrót.
Dmitrij Grigoriew
4
@JanDvorak Czy masz przykład oprogramowania wewnętrznego dysku twardego działającego jako backdoor w systemie Linux?
Dmitrij Grigoriew
1
Musiałbym się zgodzić, jeśli w ogóle nie masz pewności co do niezawodności swojego systemu operacyjnego i boisz się, że coś przegapisz, po prostu wykonaj kopię zapasową danych i ponownie zainstaluj system operacyjny, osobiście zmieniłbym dyski twarde, ale tylko po to, by wyciągnąć informacje ze starego systemu operacyjnego i dowiedz się, kto mnie zhakował :)
GMasucci,
9
@DmitryGrigoryev, ale jeśli mogą suna innym koncie z konta root, oznacza to, że rootami .
Léo Lam,
3

Chcę tylko wspomnieć, że „wiele kart / okien przeglądarki jest otwartych, otwarte Centrum oprogramowania, pliki pobrane na pulpit” nie jest zbyt spójne z osobą logującą się na twoim komputerze przez SSH. Osoba atakująca logująca się przez SSH otrzyma konsolę tekstową, która jest całkowicie oddzielona od tego, co widzisz na pulpicie. Nie będą też musieli wyszukiwać w Google „jak zainstalować git” z sesji na komputerze, ponieważ będą siedzieć przed własnym komputerem, prawda? Nawet gdyby chcieli zainstalować Git (dlaczego?), Nie musieliby pobierać instalatora, ponieważ Git znajduje się w repozytoriach Ubuntu, każdy, kto wie coś o Git lub Ubuntu, wie o tym. I dlaczego musieli google, jak dostosować monit bash?

Podejrzewam również, że „W mojej przeglądarce była otwarta karta. Ponownie otworzyła się kilka razy po jej zamknięciu” było w rzeczywistości wiele identycznych otwartych kart, więc trzeba było je zamykać jeden po drugim.

Próbuję tu powiedzieć, że wzorzec aktywności przypomina „małpę z maszyną do pisania”.

Nie wspomniałeś również, że masz zainstalowany serwer SSH - nie jest on instalowany domyślnie.

Tak więc, jeśli jesteś absolutnie pewien, że nikt nie miał fizycznego dostępu do twojego laptopa bez twojej wiedzy, a twój laptop ma ekran dotykowy i nie zawiesza się odpowiednio, i spędził trochę czasu w plecaku, myślę, że wszystko może być po prostu przypadek „wywołania kieszonkowego” - przypadkowe dotknięcia ekranu w połączeniu z sugestiami wyszukiwania i automatyczną korektą otworzyły wiele okien i przeprowadziły wyszukiwania google, klikając losowe linki i pobierając losowe pliki.

Jako osobista anegdota - zdarza się to od czasu do czasu z moim smartfonem w kieszeni, obejmującym otwieranie wielu aplikacji, zmianę ustawień systemowych, wysyłanie częściowo spójnych wiadomości SMS i oglądanie losowych filmów z YouTube.

Siergiej
źródło
... lub w moim przypadku ... usuwając wszystkie wiadomości od jednego przyjaciela ...
andy256
2

Czy masz znajomych, którzy lubią zdalnie / fizycznie uzyskiwać dostęp do laptopa, gdy Cię nie ma? Jeśli nie:

Przetrzyj dysk twardy za pomocą DBAN i ponownie zainstaluj system operacyjny od zera. Najpierw wykonaj kopię zapasową.

Coś mogło zostać poważnie zagrożone w samym Ubuntu. Po ponownej instalacji:

Szyfruj /home. Jeśli sam dysk twardy / laptop zostanie kiedykolwiek fizycznie skradziony, nie mogą uzyskać dostępu do danych w nim zawartych /home.

Zaszyfruj dysk twardy. Zapobiega to kompromisom /bootbez logowania. Musisz także podać hasło startowe (tak myślę).

Ustaw silne hasło. Jeśli ktoś odkryje hasło dysku twardego, nie może uzyskać dostępu /homeani się zalogować.

Zaszyfruj swoje WiFi. Ktoś mógł dostać się w pobliżu routera i skorzystać z niezaszyfrowanego Wi-Fi i ssh'd na twoim laptopie.

Wyłącz konto gościa. Osoba atakująca mogła ssh'd na twoim laptopie, uzyskać zdalne połączenie, zalogować się przez gościa i podnieść konto gościa do rootowania. To niebezpieczna sytuacja. Jeśli tak się stanie, osoba atakująca może uruchomić polecenie BARDZO NIEBEZPIECZNE :

rm -rf --no-preserve-root / 

To usuwa DUŻO danych na dysku twardym, niszczy /home, a nawet gorzej, pozostawia Ubuntu całkowicie niezdolnym nawet do rozruchu. Zostaniesz po prostu wrzucony na ratunek gruba i nie będziesz w stanie się z tego zregenerować. Atakujący może również całkowicie zniszczyć /homekatalog i tak dalej. Jeśli masz sieć domową, osoba atakująca może również nie być w stanie uruchomić wszystkich innych komputerów w tej sieci (jeśli działają na systemie Linux).

Mam nadzieję, że to pomoże. :)

TheComputerGeek010101001
źródło
1
Dlaczego DBAN? Odtworzenie tablicy partycji powinno być całkowicie wystarczające, nie wspominając o tym, że DBAN poważnie zaszkodzi SSD, jeśli OP ma taki dysk.
gronostaj
dlaczego haker powinien biec rm -rf /? zbierze wszystkie twoje dane. usunięcie danych nie ma żadnego sensu.
LittleByBlue 30.04.16
btw. NIGDY nie uruchamiaj rm -rf /, może to zepsuć całą maszynę, ponieważ stare wersje systemu Linux (starsze niż 4.5) nie chronią UEFI i zniszczyłbyś ją, jeśli usuniesz z niej kilka plików /sys/firmware/efi/efivars/.
LittleByBlue
1

„Podejrzane” działanie tłumaczy się następująco: mój laptop nie zawiesza się już po zamknięciu pokrywy, laptop jest ekranem dotykowym i zareagował na wywierany nacisk (prawdopodobnie moje koty). Podane wiersze /var/log/auth.logi dane wyjściowe whopolecenia są zgodne z loginem sesji gościa. Podczas gdy wyłączyłem logowanie sesji gościa z powitania, jest ono nadal dostępne z menu rozwijanego w prawym górnym rogu w Unity DE. Ergo, sesję gościa można otworzyć, gdy jestem zalogowany.

Przetestowałem teorię „nacisku wywieranego”; okna mogą i otwierają się, gdy pokrywa jest zamknięta. Zalogowałem się także do nowej sesji gościa. Linie logów identyczne z tym, co postrzegałem jako podejrzane działanie, były obecne /var/log/auth.logpo tym, jak to zrobiłem. Przełączyłem użytkowników z powrotem na moje konto i uruchomiłem whopolecenie - dane wyjściowe wskazywały, że w systemie zalogowany jest gość.

Logo WiFi strzałki w górę wróciło do standardowego logo WiFi, a wszystkie dostępne połączenia są widoczne. To był problem z naszą siecią i jest niezwiązany.

Rosemary S.
źródło
-1

Wyciągnij kartę / kartę sieci bezprzewodowej i spójrz na ślady. Zanotuj swoje dzienniki, aby askbuntu mogło pomóc. Następnie wyczyść dyski i wypróbuj inną dystrybucję, wypróbuj płytę CD na żywo i pozostaw ją uruchomioną, aby sprawdzić, czy nie ma wzorca ataków.

Jim
źródło
3
Dlaczego miałby chcieć oglądać ślady karty Wi-Fi ...?
Keith M
4
Jeśli o to chodzi, dlaczego miałby w ogóle wyciągać swoją kartę Wi-Fi
Keith M
1
@ KeithM czy kiedykolwiek wyciągnąłeś kartę Wi-Fi laptopa? ten laptop już nigdy nie zostanie zainfekowany .... ;-) wykonaj kopię zapasową przed wyciągnięciem karty ...
LittleByBlue 30.04.2016