我 99.9% 确信我的个人电脑系统已被入侵。首先,请允许我给出我的理由,以便让大家清楚了解情况:
可疑活动和后续行动的大致时间表:
4-26 23:00
我结束所有程序并关闭笔记本电脑。
4-27 12:00
我打开笔记本电脑,它已经处于挂起模式约 13 小时了。打开了多个窗口,包括:两个 chrome 窗口、系统设置、软件中心。我的桌面上有一个 git 安装程序(我检查了一下,它还没有安装)。
4 月 27 日 13:00
Chrome 历史记录显示了我的电子邮件登录记录,以及我未启动的其他搜索记录(4 月 27 日 01:00 至 03:00 之间),包括“安装 git”。我的浏览器中打开了一个标签,Digital Ocean“如何自定义您的 bash 提示符”。我关闭它后,它多次重新打开。我加强了 Chrome 的安全性。
我断开了 WiFi 连接,但当我重新连接时,出现了一个上下箭头符号,而不是标准符号,并且 Wifi 下拉菜单中不再有网络列表。
在“编辑连接”下,我注意到我的笔记本电脑已在 4 月 27 日 05:30 左右连接到名为“GFiberSetup 1802”的网络。我住在 1802 xx Drive 的邻居刚刚安装了谷歌光纤,所以我猜这与此有关。
4-27 20:30
命令who显示,第二个名为 guest-g20zoo 的用户已登录我的系统。这是我运行 Ubuntu 的私人笔记本电脑,我的系统上不应该有其他人。惊慌失措的我跑去sudo pkill -9 -u guest-g20zoo禁用了网络和 Wifi
我查看了一下/var/log/auth.log,发现了这一点:
Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session
抱歉,输出内容太多了,但这是日志中 guest-g20zoo 的大部分活动,都在几分钟内完成。
我还检查了/etc/passwd:
guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash
和/etc/shadow:
root:!:16669:0:99999:7:::
daemon:*:16547:0:99999:7:::
.
.
.
nobody:*:16547:0:99999:7:::
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::
guest-G4J7WQ:*:16689:0:99999:7:::
.
.
我不完全理解这个输出对我的情况意味着什么。guest-g20zoo和是guest-G4J7WQ同一个用户吗?
lastlog显示:
guest-G4J7WQ Never logged in
然而,last显示:
guest-g20zoo Wed Apr 27 06:55 - 20:33 (13:37)
因此看起来他们不是同一个用户,但是在输出中却找不到 guest-g20zoo lastlog。
我想阻止用户 guest-g20zoo 的访问,但由于他/她没有出现,/etc/shadow并且我假设他/她没有使用密码登录,而是使用 ssh,这样可以passwd -l guest-g20zoo吗?
我尝试过systemctl stop sshd,但收到此错误信息:
Failed to stop sshd.service: Unit sshd.service not loaded
这是否意味着我的系统上已禁用远程登录,因此上述命令是多余的?
我试图找到有关这个新用户的更多信息,比如他们从哪个 IP 地址登录,但似乎什么也找不到。
一些可能相关的信息:
目前我已连接到我所在大学的网络,并且我的 WiFi 图标看起来不错,我可以看到我的所有网络选项,并且没有任何奇怪的浏览器自动弹出。这是否表明登录我系统的人都在我家的 WiFi 路由器范围内?
我跑了chkrootkit,什么都没有似乎很好,但我也不知道如何解释所有输出。我真的不知道该怎么做。我只想绝对确保这个人(或任何其他人)永远无法再次访问我的系统,我想找到并删除他们创建的任何隐藏文件。谢谢!
PS-我已经更改了密码并加密了重要文件,同时禁用了 WiFi 和网络。
答案1
清除硬盘并从头开始重新安装操作系统。
在任何未经授权的访问情况下,攻击者都有可能获得 root 权限,因此可以合理地假设这种情况发生了。在这种情况下,auth.log 似乎证实了情况确实如此 - 除非你切换用户:
4 月 27 日 06:55:55 Rho su[23881]: root 用户成功对 guest-g20zoo 执行 su
尤其是使用 root 权限时,他们可能会以不重新安装就无法修复的方式干扰系统,例如修改启动脚本或安装启动时运行的新脚本和应用程序等。这些操作可能会运行未经授权的网络软件(即成为僵尸网络的一部分),或者在您的系统中留下后门。如果不重新安装,尝试检测和修复此类问题充其量也是一件麻烦事,而且不能保证能帮您摆脱一切。
答案2
似乎有人在您离开房间时在您的笔记本电脑上开启了访客会话。如果我是您,我会四处打听,那人可能是朋友。
您看到的访客帐户对我来说/etc/passwd并不/etc/shadow可疑,它们是由系统在有人打开访客会话时创建的。
4 月 27 日 06:55:55 Rho su[23881]: root 用户成功对 guest-g20zoo 执行 su
此行表示root有权访问来宾帐户,这可能是正常的,但应该进行调查。我在我的 ubuntu1404LTS 上试过了,没有看到这种行为。您应该尝试使用来宾会话登录,然后 grep 您的auth.log以查看此行是否在来宾用户每次登录时都出现。
您打开笔记本电脑时看到的所有已打开的 chrome 窗口。您是否有可能看到访客会话桌面?
答案3
我只想说,“打开多个浏览器选项卡/窗口,打开软件中心,将文件下载到桌面”与通过 SSH 登录到您的计算机的人不太一致。通过 SSH 登录的攻击者将获得一个文本控制台,该控制台与您在桌面上看到的完全不同。他们也不需要从您的桌面会话中谷歌搜索“如何安装 git”,因为他们会坐在自己的电脑前,对吧?即使他们想安装 Git(为什么?),他们也不需要下载安装程序,因为 Git 在 Ubuntu 存储库中,任何了解 Git 或 Ubuntu 的人都知道这一点。为什么他们必须谷歌搜索如何自定义 bash 提示符?
我还怀疑“我的浏览器中打开了一个选项卡...。在我关闭它之后,它重新打开了几次”实际上是打开了多个相同的选项卡,所以你必须一个接一个地关闭它们。
我在这里想要说的是,这种活动模式类似于“拿着打字机的猴子”。
您还没有提到您已经安装了 SSH 服务器 - 它不是默认安装的。
所以,如果你绝对确定没有人物理访问在您不知情的情况下窃取了您的笔记本电脑,并且您的笔记本电脑有触摸屏,无法正常挂起,并且它在您的背包里放了一段时间,那么我认为这一切都可能只是“口袋呼叫”的一个例子 - 随机屏幕触摸结合搜索建议和自动更正打开了多个窗口并执行谷歌搜索,点击随机链接并下载随机文件。
作为个人轶事 - 当我的智能手机放在口袋中时,这种情况时有发生,包括打开多个应用程序、更改系统设置、发送半连贯的短信和观看随机的 YouTube 视频。
答案4
“可疑”活动解释如下:我的笔记本电脑在合上盖子时不再挂起,笔记本电脑是触摸屏,对施加的压力(可能是我的猫)有反应。提供的行/var/log/auth.log和命令的输出who与访客会话登录一致。虽然我从欢迎程序禁用了访客会话登录,但仍然可以从 Unity DE 右上角的下拉菜单中访问它。因此,在我登录时可以打开访客会话。
我已经测试了“施加压力”理论;当盖子关闭时,窗户可以打开并且确实会打开。我还登录了一个新的访客会话。/var/log/auth.log在我这样做之后,出现了与我认为可疑活动相同的日志行。我切换用户,返回我的帐户,然后运行命令who- 输出表明有一位访客登录了系统。
上下箭头 WiFi 徽标已恢复为标准 WiFi 徽标,并且所有可用连接都可见。这是我们网络的问题,与此无关。