一些奇怪的用户

tag-icon tag-icon 14.04 xubuntu firefox security users
一些奇怪的用户

这里出了点问题。 这是我的 htop 屏幕截图。 我没有启动任何 Firefox 或 Firefox 插件。事实上,我刚刚删除了 Firefox。

这是我的 /etc/passwd

$ cat /etc/passwd
...
guest-v2ZwkB:x:119:127:Guest,,,:/tmp/guest-v2ZwkB:/bin/bash
guest-CoeJOG:x:120:128:Guest,,,:/tmp/guest-CoeJOG:/bin/bash
guest-GBapg4:x:121:129:Guest,,,:/tmp/guest-GBapg4:/bin/bash
guest-oqAb2e:x:122:130:Guest,,,:/tmp/guest-oqAb2e:/bin/bash

到底 guest-* 是谁?我没有创建这些用户。

这是 w cmd 输出

$ w
 03:06:54 up 12:50,  6 users,  load average: 3,45, 3,29, 2,82
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
m0x35    :0       :0               Сб.14   ?xdm?   9:45m  0.11s init --user
m0x35    pts/6    :0.0             Сб.14    0.00s  0.11s  0.01s w
guest-v2 :1       :1               17:52   ?xdm?   9:45m  0.09s init --user
guest-Co :2       :2               18:04   ?xdm?   9:45m  0.09s init --user
guest-GB :3       :3               23:36   ?xdm?   9:45m  0.10s init --user
guest-oq :4       :4               23:58   ?xdm?   9:45m  0.08s init --user

到底发生了什么事?我被黑客入侵了?我有必要担心这个吗?

$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 14.04.3 LTS
Release:    14.04
Codename:   trusty

我很乐意提供更多信息。谢谢。

sudo netstat -natp没什么特别的。只是为 nfs 服务、cupsd、dnsmasq 开放了一些端口。但有两个端口绑定到了其他服务,我无法从 netstat 获取 pid/programm 名称。

tcp        0      0 0.0.0.0:2049            0.0.0.0:*               LISTEN      -               
tcp        0      0 0.0.0.0:44483           0.0.0.0:*               LISTEN      -

我使用 tcpdump 监控了我的接口大约一分钟 - 没有什么奇怪的。

更新:

03:32:42.455320 IP le-in-f93.1e100.net.https > m0x35-pc.47065: tcp 727
03:32:42.455334 IP m0x35-pc.47065 > le-in-f93.1e100.net.https: tcp 0
03:32:42.455339 IP le-in-f93.1e100.net.https > m0x35-pc.47065: tcp 46
03:32:42.455662 IP m0x35-pc.47065 > le-in-f93.1e100.net.https: tcp 46
03:32:42.456394 IP m0x35-pc.63482 > 192.168.35.4.domain: UDP, length 47
03:32:42.456428 IP m0x35-pc.25024 > 192.168.35.4.domain: UDP, length 47
03:32:42.456453 IP m0x35-pc.20231 > 192.168.35.4.domain: UDP, length 47
03:32:42.463492 IP 192.168.35.4.domain > m0x35-pc.63482: UDP, length 314
03:32:42.463547 IP 192.168.35.4.domain > m0x35-pc.25024: UDP, length 246
03:32:42.463566 IP 192.168.35.4.domain > m0x35-pc.20231: UDP, length 314
03:32:42.463926 IP m0x35-pc.39292 > lj-in-f100.1e100.net.https: tcp 0
03:32:42.468759 IP lj-in-f100.1e100.net.https > m0x35-pc.39292: tcp 0
03:32:42.468802 IP m0x35-pc.39292 > lj-in-f100.1e100.net.https: tcp 0
03:32:42.468940 IP m0x35-pc.39292 > lj-in-f100.1e100.net.https: tcp 517
03:32:42.473731 IP lj-in-f100.1e100.net.https > m0x35-pc.39292: tcp 0
03:32:42.473899 IP lj-in-f100.1e100.net.https > m0x35-pc.39292: tcp 152
03:32:42.473913 IP m0x35-pc.39292 > lj-in-f100.1e100.net.https: tcp 0
03:32:42.474249 IP m0x35-pc.39292 > lj-in-f100.1e100.net.https: tcp 51
03:32:42.474523 IP m0x35-pc.39292 > lj-in-f100.1e100.net.https: tcp 157
03:32:42.474585 IP m0x35-pc.39292 > lj-in-f100.1e100.net.https: tcp 301

我关闭了所有可以(或应该)与互联网通信的东西。Ps 看起来像是谷歌服务器。

答案1

看起来您自己或有权访问您计算机的其他人以访客身份登录了系统。

您可以使用以下方式删除这些来宾用户:

sudo deluser username

像这样:

sudo deluser guest-v2ZwkB

您可以通过编辑以下文件来禁用访客会话:

sudo nano /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf

添加以下行,保存并关闭。

allow-guest=false

相关内容