我退出了 Ubuntu 笔记本电脑,然后返回到访客会话打开状态,询问是否继续退出访客会话,这将导致临时信息丢失。显然,在我离开时可能有人登录了。
以下是来自 auth 文件的屏幕截图,但我不知道如何分析它。
我从下午 3 点 39 分到 4 点 35 分一直在外面。
下午 3 点 50 分,似乎有一个新的组和用户被创建。我的系统是否存在漏洞?
答案1
不,没有证据表明攻击者获得了对您系统的访问权。
我们来看一下相关的日志条目:
new group: name=guest-slrfad, GID=999
new user: name=guest-slrfad, UID=999, GID=999, home=/tmp/guest-slrfad, shell=/bin/bash
Successful su for guest-slrfad by root
+ ??? root:guest-slrfad
session opened for user guest-slrfad by (uid=0)
New session c3 of user guest-slrfad.
[more "session opened/closed" messages]
攻击者不是创建此帐户;系统是。攻击者只是登录到访客会话,而您无法在访客会话中对系统执行任何操作(您甚至没有硬盘上的主目录;您只有 RAM 中的临时目录,当您注销时它会被删除)。
session opened for user root by (uid=1001)
Executing command [USER=root] [TTY=unknown] [CWD=/home/sachithra] [COMMAND=/usr/lib/update-notifier/package-system-locked]
再次强调,这是正常现象,是由系统执行的,而不是攻击者执行的。
CRON[13099]: pam_unix(cron:session): session opened for user root by (uid=0)
CRON[13099]: pam_unix(cron:session): session closed for user root
CRON[13203]: pam_unix(cron:session): session opened for user root by (uid=0)
CRON[13203]: pam_unix(cron:session): session closed for user root
这也是正常的;系统只是在执行常规任务。这与访客会话无关。
其余都是下午 4:35 之后发生的。因此,没有证据表明攻击者对您的系统做了任何事情。