这里出了点问题。 这是我的 htop 屏幕截图。 我没有启动任何 Firefox 或 Firefox 插件。事实上,我刚刚删除了 Firefox。
这是我的 /etc/passwd
$ cat /etc/passwd
...
guest-v2ZwkB:x:119:127:Guest,,,:/tmp/guest-v2ZwkB:/bin/bash
guest-CoeJOG:x:120:128:Guest,,,:/tmp/guest-CoeJOG:/bin/bash
guest-GBapg4:x:121:129:Guest,,,:/tmp/guest-GBapg4:/bin/bash
guest-oqAb2e:x:122:130:Guest,,,:/tmp/guest-oqAb2e:/bin/bash
到底 guest-* 是谁?我没有创建这些用户。
这是 w cmd 输出
$ w
03:06:54 up 12:50, 6 users, load average: 3,45, 3,29, 2,82
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
m0x35 :0 :0 Сб.14 ?xdm? 9:45m 0.11s init --user
m0x35 pts/6 :0.0 Сб.14 0.00s 0.11s 0.01s w
guest-v2 :1 :1 17:52 ?xdm? 9:45m 0.09s init --user
guest-Co :2 :2 18:04 ?xdm? 9:45m 0.09s init --user
guest-GB :3 :3 23:36 ?xdm? 9:45m 0.10s init --user
guest-oq :4 :4 23:58 ?xdm? 9:45m 0.08s init --user
到底发生了什么事?我被黑客入侵了?我有必要担心这个吗?
$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 14.04.3 LTS
Release: 14.04
Codename: trusty
我很乐意提供更多信息。谢谢。
sudo netstat -natp
没什么特别的。只是为 nfs 服务、cupsd、dnsmasq 开放了一些端口。但有两个端口绑定到了其他服务,我无法从 netstat 获取 pid/programm 名称。
tcp 0 0 0.0.0.0:2049 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:44483 0.0.0.0:* LISTEN -
我使用 tcpdump 监控了我的接口大约一分钟 - 没有什么奇怪的。
更新:
03:32:42.455320 IP le-in-f93.1e100.net.https > m0x35-pc.47065: tcp 727
03:32:42.455334 IP m0x35-pc.47065 > le-in-f93.1e100.net.https: tcp 0
03:32:42.455339 IP le-in-f93.1e100.net.https > m0x35-pc.47065: tcp 46
03:32:42.455662 IP m0x35-pc.47065 > le-in-f93.1e100.net.https: tcp 46
03:32:42.456394 IP m0x35-pc.63482 > 192.168.35.4.domain: UDP, length 47
03:32:42.456428 IP m0x35-pc.25024 > 192.168.35.4.domain: UDP, length 47
03:32:42.456453 IP m0x35-pc.20231 > 192.168.35.4.domain: UDP, length 47
03:32:42.463492 IP 192.168.35.4.domain > m0x35-pc.63482: UDP, length 314
03:32:42.463547 IP 192.168.35.4.domain > m0x35-pc.25024: UDP, length 246
03:32:42.463566 IP 192.168.35.4.domain > m0x35-pc.20231: UDP, length 314
03:32:42.463926 IP m0x35-pc.39292 > lj-in-f100.1e100.net.https: tcp 0
03:32:42.468759 IP lj-in-f100.1e100.net.https > m0x35-pc.39292: tcp 0
03:32:42.468802 IP m0x35-pc.39292 > lj-in-f100.1e100.net.https: tcp 0
03:32:42.468940 IP m0x35-pc.39292 > lj-in-f100.1e100.net.https: tcp 517
03:32:42.473731 IP lj-in-f100.1e100.net.https > m0x35-pc.39292: tcp 0
03:32:42.473899 IP lj-in-f100.1e100.net.https > m0x35-pc.39292: tcp 152
03:32:42.473913 IP m0x35-pc.39292 > lj-in-f100.1e100.net.https: tcp 0
03:32:42.474249 IP m0x35-pc.39292 > lj-in-f100.1e100.net.https: tcp 51
03:32:42.474523 IP m0x35-pc.39292 > lj-in-f100.1e100.net.https: tcp 157
03:32:42.474585 IP m0x35-pc.39292 > lj-in-f100.1e100.net.https: tcp 301
我关闭了所有可以(或应该)与互联网通信的东西。Ps 看起来像是谷歌服务器。
答案1
看起来您自己或有权访问您计算机的其他人以访客身份登录了系统。
您可以使用以下方式删除这些来宾用户:
sudo deluser username
像这样:
sudo deluser guest-v2ZwkB
您可以通过编辑以下文件来禁用访客会话:
sudo nano /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf
添加以下行,保存并关闭。
allow-guest=false