Máy tính cá nhân bị hack: Làm cách nào để chặn người dùng này đăng nhập lại? Làm thế nào để tôi tìm hiểu làm thế nào họ đang đăng nhập?

Tôi chắc chắn 99,9% rằng hệ thống của tôi trên máy tính cá nhân đã bị xâm nhập. Cho phép tôi đưa ra lý do của mình trước để tình hình sẽ rõ ràng:

Dòng thời gian thô sơ của hoạt động đáng ngờ và các hành động tiếp theo được thực hiện:

4-26 23:00
Tôi đã kết thúc tất cả các chương trình và đóng máy tính xách tay của mình.

4-27 12:00
Tôi mở máy tính xách tay của mình sau khi nó ở chế độ treo trong khoảng 13 giờ. Nhiều cửa sổ đã được mở bao gồm: Hai cửa sổ chrome, cài đặt hệ thống, trung tâm phần mềm. Trên máy tính để bàn của tôi có một trình cài đặt git (tôi đã kiểm tra, nó chưa được cài đặt).

4-27 13:00
Lịch sử Chrome hiển thị thông tin đăng nhập vào email của tôi và lịch sử tìm kiếm khác mà tôi không bắt đầu (từ 01:00 đến 03:00 ngày 4-27), bao gồm cả "cài đặt git". Có một tab, Digital Ocean "Cách tùy chỉnh dấu nhắc bash của bạn" mở trong trình duyệt của tôi. Nó mở lại nhiều lần sau khi tôi đóng nó. Tôi thắt chặt bảo mật trong Chrome.

Tôi đã ngắt kết nối WiFi, nhưng khi tôi kết nối lại, có một biểu tượng mũi tên hướng xuống thay vì biểu tượng tiêu chuẩn và không còn danh sách các mạng trong menu thả xuống cho Wifi
Trong 'Chỉnh sửa kết nối' Tôi nhận thấy máy tính xách tay của tôi đã kết nối đến một mạng có tên là "GFiberSetup 1802" lúc ~ 05: 30 ngày 4-27. Hàng xóm của tôi tại 1802 xx Drive vừa cài đặt sợi google, vì vậy tôi đoán nó có liên quan.

27/04 20:30
Các wholệnh tiết lộ rằng một người dùng thứ hai tên khách-g20zoo đã đăng nhập vào hệ thống của tôi. Đây là máy tính xách tay riêng của tôi chạy Ubuntu, không nên có ai khác trên hệ thống của tôi. Hoảng sợ, tôi chạy sudo pkill -9 -u guest-g20zoovà vô hiệu hóa Mạng và Wifi

Tôi nhìn vào /var/log/auth.logvà thấy điều này:

Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999  
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash    
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root  
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo  
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.  
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.  
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)  
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session

Xin lỗi, đó là rất nhiều đầu ra, nhưng đó là phần lớn hoạt động từ khách-g20zoo trong nhật ký, tất cả chỉ trong vài phút.

Tôi cũng đã kiểm tra /etc/passwd:

guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash

Và /etc/shadow:

root:!:16669:0:99999:7:::  
daemon:*:16547:0:99999:7:::  
.  
.  
.   
nobody:*:16547:0:99999:7:::  
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::  
guest-G4J7WQ:*:16689:0:99999:7:::  
.  
.

Tôi hoàn toàn không hiểu ý nghĩa của đầu ra này đối với tình huống của tôi. Được guest-g20zoovà guest-G4J7WQcùng một người dùng?

lastlog trình diễn:

guest-G4J7WQ      Never logged in

Tuy nhiên, lastcho thấy:

guest-g20zoo      Wed Apr 27 06:55 - 20:33 (13:37)

Vì vậy, có vẻ như họ không phải là cùng một người dùng, nhưng khách-g20zoo không tìm thấy ở đâu trong đầu ra của lastlog.

Tôi muốn chặn quyền truy cập cho người dùng khách-g20zoo nhưng vì anh ta không xuất hiện /etc/shadowvà tôi cho rằng không sử dụng mật khẩu để đăng nhập, nhưng sử dụng ssh, sẽ passwd -l guest-g20zoohoạt động?

Tôi đã thử systemctl stop sshd, nhưng nhận được thông báo lỗi này:

Failed to stop sshd.service: Unit sshd.service not loaded

Điều này có nghĩa là đăng nhập từ xa đã bị vô hiệu hóa trên hệ thống của tôi và do đó lệnh trên là không cần thiết?

Tôi đã cố gắng tìm thêm thông tin về người dùng mới này, như địa chỉ IP mà họ đã đăng nhập, nhưng dường như tôi không thể tìm thấy bất cứ điều gì.

Một số thông tin có khả năng liên quan:
Hiện tại tôi đang kết nối với mạng của trường đại học và biểu tượng WiFi của tôi trông ổn, tôi có thể thấy tất cả các tùy chọn mạng của mình và không có bất kỳ trình duyệt kỳ lạ nào tự bật lên. Điều này có cho thấy rằng bất cứ ai đăng nhập vào hệ thống của tôi đều nằm trong phạm vi của bộ định tuyến WiFi tại nhà của tôi không?

Tôi đã chạy chkrootkitvà mọi thứ có vẻ ổn, nhưng tôi cũng không biết làm thế nào để diễn giải tất cả đầu ra. Tôi thực sự không biết phải làm gì ở đây. Tôi chỉ muốn chắc chắn rằng người này (hoặc bất kỳ ai khác cho vấn đề đó) sẽ không bao giờ có thể truy cập lại hệ thống của tôi và tôi muốn tìm và xóa bất kỳ tệp ẩn nào được tạo bởi họ. Xin vui lòng và cảm ơn bạn!

Tái bút - Tôi đã thay đổi mật khẩu và mã hóa các tệp quan trọng của mình trong khi WiFi và Mạng bị tắt.

Có vẻ như ai đó đã mở một phiên khách trên máy tính xách tay của bạn trong khi bạn ở xa phòng của bạn. Nếu tôi là bạn tôi muốn hỏi xung quanh, đó có thể là một người bạn.

Các tài khoản khách mà bạn nhìn thấy /etc/passwdvà /etc/shadowkhông nghi ngờ gì với tôi, chúng được hệ thống tạo ra khi ai đó mở một phiên khách.

27 tháng 4 06:55:55 Rho su [23881]: su thành công cho khách-g20zoo bằng root

Dòng này có nghĩa là rootcó quyền truy cập vào tài khoản khách, có thể là bình thường nhưng nên được điều tra. Tôi đã thử trên ubfox1404LTS của tôi và không thấy hành vi này. Bạn nên thử đăng nhập với một phiên khách và grep của bạn auth.logđể xem dòng này xuất hiện mỗi khi người dùng khách đăng nhập.

Tất cả các cửa sổ chrome đã mở, mà bạn đã thấy khi bạn mở máy tính xách tay của mình. Có thể là bạn đã nhìn thấy máy tính để bàn phiên khách?

Lau sạch ổ cứng và cài đặt lại hệ điều hành của bạn từ đầu.

Trong mọi trường hợp truy cập trái phép, có khả năng kẻ tấn công đã có thể nhận được quyền root, do đó, có thể giả định rằng điều đó đã xảy ra. Trong trường hợp này, auth.log xuất hiện để xác nhận đây thực sự là trường hợp - trừ khi đây là bạn đã chuyển người dùng:

27 tháng 4 06:55:55 Rho su [23881]: su thành công cho khách-g20zoo bằng root

Đặc biệt với quyền root, họ có thể đã làm rối hệ thống theo những cách mà thực tế không thể sửa nếu không cài đặt lại, chẳng hạn như sửa đổi tập lệnh khởi động hoặc cài đặt tập lệnh và ứng dụng mới chạy khi khởi động, v.v. Chúng có thể làm những việc như chạy phần mềm mạng trái phép (nghĩa là tạo thành một phần của mạng botnet) hoặc để lại các hệ thống ngược vào hệ thống của bạn. Cố gắng phát hiện và sửa chữa loại điều này mà không cài đặt lại là tốt nhất, và không đảm bảo để loại bỏ bạn mọi thứ.

Tôi chỉ muốn đề cập rằng "nhiều tab / cửa sổ trình duyệt mở, Trung tâm phần mềm mở, các tệp được tải xuống máy tính để bàn" không nhất quán với ai đó đăng nhập vào máy của bạn thông qua SSH. Kẻ tấn công đăng nhập qua SSH sẽ nhận được bảng điều khiển văn bản hoàn toàn tách biệt với những gì bạn thấy trên máy tính để bàn của mình. Họ cũng sẽ không cần google "cách cài đặt git" từ phiên máy tính để bàn của bạn vì họ sẽ ngồi trước máy tính của mình, phải không? Ngay cả khi họ muốn cài đặt Git (tại sao?), Họ sẽ không cần tải xuống trình cài đặt vì Git nằm trong kho Ubuntu, bất kỳ ai biết bất cứ điều gì về Git hoặc Ubuntu đều biết điều đó. Và tại sao họ phải google làm thế nào để tùy chỉnh dấu nhắc bash?

Tôi cũng nghi ngờ rằng "Có một tab ... mở trong trình duyệt của tôi. Nó đã mở lại nhiều lần sau khi tôi đóng" thực ra là nhiều tab giống hệt nhau mở ra nên bạn phải đóng từng cái một.

Điều tôi đang cố gắng nói ở đây là mô hình hoạt động giống như một "con khỉ có máy đánh chữ".

Bạn cũng không đề cập đến việc bạn đã cài đặt máy chủ SSH - mặc định nó không được cài đặt.

Vì vậy, nếu bạn hoàn toàn chắc chắn rằng không ai có quyền truy cập vật lý vào máy tính xách tay của bạn mà bạn không biết và máy tính xách tay của bạn có màn hình cảm ứng và nó không bị treo đúng cách và nó đã dành một chút thời gian trong ba lô của bạn thì tôi nghĩ tất cả chỉ có thể là một trường hợp "gọi điện thoại bỏ túi" - chạm màn hình ngẫu nhiên kết hợp với đề xuất tìm kiếm và tự động sửa đã mở nhiều cửa sổ và thực hiện tìm kiếm google, nhấp vào liên kết ngẫu nhiên và tải xuống các tệp ngẫu nhiên.

Như một giai thoại cá nhân - thỉnh thoảng nó xảy ra với điện thoại thông minh trong túi của tôi, bao gồm mở nhiều ứng dụng, thay đổi cài đặt hệ thống, gửi tin nhắn SMS bán kết hợp và xem video youtube ngẫu nhiên.

Bạn có người bạn nào muốn truy cập máy tính xách tay của bạn từ xa / vật lý trong khi bạn đi không? Nếu không:

Xóa ổ cứng bằng DBAN và cài đặt lại hệ điều hành từ đầu. Hãy chắc chắn để sao lưu đầu tiên.

Một cái gì đó có thể đã bị xâm phạm nghiêm trọng trong chính Ubuntu. Khi bạn cài đặt lại:

Mã hóa /home. Nếu bản thân ổ cứng / máy tính xách tay bị đánh cắp về mặt vật lý, họ không thể truy cập được vào dữ liệu bên trong /home.

Mã hóa ổ cứng. Điều này ngăn mọi người thỏa hiệp /bootmà không cần đăng nhập. Bạn cũng sẽ phải nhập mật khẩu thời gian khởi động (tôi nghĩ).

Đặt mật khẩu mạnh. Nếu ai đó tìm ra mật khẩu ổ cứng, họ không thể truy cập /homehoặc đăng nhập.

Mã hóa WiFi của bạn. Ai đó có thể đã nhận được trong phạm vi gần của bộ định tuyến và tận dụng Wifi không được mã hóa và ssh'd vào máy tính xách tay của bạn.

Vô hiệu hóa tài khoản khách. Kẻ tấn công có thể đã ssh'd vào máy tính xách tay của bạn, nhận được kết nối từ xa, đăng nhập qua Guest và nâng tài khoản Guest lên root. Đây là một tình huống nguy hiểm. Nếu điều này xảy ra, kẻ tấn công có thể chạy lệnh RẤT NGUY HIỂM này :

rm -rf --no-preserve-root / 

Đây xóa RẤT NHIỀU dữ liệu trên ổ cứng, xé vụn /home, và thậm chí tồi tệ hơn, lá Ubuntu hoàn toàn không có khả năng khởi động chẵn. Bạn sẽ chỉ bị ném vào cứu hộ, và bạn sẽ không thể phục hồi sau đó. Kẻ tấn công cũng có thể phá hủy hoàn toàn /homethư mục, v.v. Nếu bạn có một mạng gia đình, kẻ tấn công cũng có thể tất cả các máy tính khác trong mạng đó không thể khởi động (nếu chúng chạy Linux).

Tôi hi vọng cái này giúp được. :)

Hoạt động "đáng ngờ" được giải thích bằng cách sau: máy tính xách tay của tôi không còn bị treo khi đóng nắp, máy tính xách tay là màn hình cảm ứng và phản ứng với áp lực (có thể là mèo của tôi). Các dòng được cung cấp từ /var/log/auth.logvà đầu ra của wholệnh phù hợp với thông tin đăng nhập phiên khách. Trong khi tôi vô hiệu hóa đăng nhập phiên của khách từ người chào, nó vẫn có thể truy cập được từ menu thả xuống ở góc trên bên phải trong Unity DE. Ergo, một phiên khách có thể được mở trong khi tôi đăng nhập.

Tôi đã thử nghiệm lý thuyết "áp lực"; cửa sổ có thể và làm mở trong khi nắp được đóng lại. Tôi cũng đăng nhập vào một phiên khách mới. Các dòng nhật ký giống hệt với những gì tôi cho là hoạt động đáng ngờ đã có mặt /var/log/auth.logsau khi tôi làm điều này. Tôi đã chuyển người dùng, quay lại tài khoản của mình và chạy wholệnh - đầu ra cho biết có một khách đã đăng nhập vào hệ thống.

Logo mũi tên hướng lên xuống đã trở lại logo WiFi tiêu chuẩn và tất cả các kết nối có sẵn đều hiển thị. Đây là một vấn đề với mạng của chúng tôi và không liên quan.

Rút thẻ / thanh không dây và nhìn qua dấu vết. Tạo một bản ghi nhật ký của bạn để Askbfox có thể giúp thêm. Sau đó xóa sạch các ổ đĩa của bạn và thử một bản phân phối khác, hãy thử một đĩa CD trực tiếp để nó chạy để xem liệu có một mô hình cho các cuộc tấn công.