Kişisel bilgisayar hacklendi: Bu kullanıcının tekrar giriş yapmasını nasıl engelleyebilirim? Nasıl giriş yaptıklarını nasıl öğrenirim?

Kişisel bilgisayarımdaki sistemime sızıldığından% 99,9 eminim. İlk önce nedenimi açıklamama izin verin ki durum netleşsin:

Şüpheli etkinlik ve sonraki eylemlerin kaba zaman çizelgesi:

4-26 23:00
Tüm programları bitirdim ve dizüstü bilgisayarımı kapattım.

4-27 12:00
Dizüstü bilgisayarımı yaklaşık 13 saat bekleme modunda kaldıktan sonra açtım. Aşağıdakileri içeren birden fazla pencere açıktı: İki krom penceresi, sistem ayarları, yazılım merkezi. Masaüstümde bir git yükleyici vardı (kontrol ettim, kurulmadı).

4-27 13:00
Chrome geçmişi e-posta adresime girişler ve başlatmadığım diğer arama geçmişini (4-27'de 01:00 - 03:00 arası) "yükleme git" dahil olmak üzere görüntüledi. Tarayıcımda "Dijital Bash isteminizi nasıl özelleştirirsiniz" sekmesi olan Digital Ocean adlı bir sekme vardı. Kapattıktan sonra birkaç kez yeniden açıldı. Chrome'daki güvenliği sıkılaştırdım.

WiFi bağlantım kesildi, ancak yeniden bağlandığımda standart sembol yerine bir yukarı ok simgesi vardı ve artık Wifi
Bağlantısı Düzenle altında açılan menüde artık bir ağ listesi yoktu. Dizüstü bilgisayarımın bağlandığını fark ettim. "GFiberSetup 1802" adlı bir ağa 4-27 tarihinde ~ 05: 30'da. Komşularım 1802 xx Drive'da sadece google fiber kurdu, sanırım bununla ilgili olduğunu düşünüyorum.

4-27 20:30 komut ikinci bir kullanıcı adında konuk-g20zoo benim sisteme giriş yapmış olduğunu ortaya çıkardı. Bu Ubuntu'yu çalıştıran özel dizüstü bilgisayarım, sistemimde başka biri olmamalı. Panik yaptım, çalıştırdım ve devre dışı bıraktım Ağ ve Wifi
whosudo pkill -9 -u guest-g20zoo

Baktım /var/log/auth.logve şunu buldum:

Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999  
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash    
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root  
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo  
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.  
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.  
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)  
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session

Maalesef, çok fazla çıktı, ancak birkaç dakika içinde, günlük g'daki misafir g20zoo'nun yoğunluğu budur.

Ben de kontrol ettim /etc/passwd:

guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash

Ve /etc/shadow:

root:!:16669:0:99999:7:::  
daemon:*:16547:0:99999:7:::  
.  
.  
.   
nobody:*:16547:0:99999:7:::  
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::  
guest-G4J7WQ:*:16689:0:99999:7:::  
.  
.

Bu çıktının durumum için ne anlama geldiğini tam olarak anlamıyorum. Are guest-g20zoove guest-G4J7WQaynı kullanıcı?

lastlog gösterileri:

guest-G4J7WQ      Never logged in

Ancak şunu lastgösterir:

guest-g20zoo      Wed Apr 27 06:55 - 20:33 (13:37)

Bu yüzden aynı kullanıcı değiller gibi görünüyor, ancak guest-g20zoo çıktılarında bulunamadı lastlog.

Ben kullanıcı konuk-g20zoo için değil (ler) o görünmüyor çünkü erişimi engellemek istiyorum /etc/shadowve ben giriş için bir şifre kullanmayan farz ediyorum, ama kullanımları olacak SSH passwd -l guest-g20zooişe?

Denedim systemctl stop sshdama bu hata mesajını aldım:

Failed to stop sshd.service: Unit sshd.service not loaded

Bu, sisteme uzaktan giriş yapmanın zaten devre dışı bırakıldığı anlamına mı geliyor ve bu nedenle yukarıdaki komut gereksiz mi?

Bu yeni kullanıcı hakkında daha fazla bilgi bulmaya çalıştım, hangi ip adreslerinden giriş yaptıkları gibi, ancak hiçbir şey bulamıyorum.

Bazı potansiyel olarak alakalı bilgiler:
Şu anda üniversitemin ağına bağlıyım ve WiFi ikonum iyi görünüyor, tüm ağ seçeneklerini görebiliyorum ve kendi başlarına ortaya çıkan tuhaf tarayıcılar yok. Bu, sistemime kimin giriş yaptığını evimdeki WiFi yönlendiricimin kapsama alanında olduğunu mu gösteriyor?

Koştum chkrootkitve her şey yolunda görünüyordu , ama aynı zamanda tüm çıktıları nasıl yorumlayacağımı da bilmiyorum. Burada ne yapacağımı bilemiyorum. Sadece bu kişinin (veya bu konuda başkasının) sistemime bir daha asla erişemeyeceğinden emin olmak istiyorum ve onlar tarafından oluşturulan gizli dosyaları bulmak ve kaldırmak istiyorum. Lütfen ve teşekkür ederim!

PS - WiFi ve Ağ bağlantısı devre dışıyken şifremi zaten değiştirdim ve önemli dosyalarımı şifreledim.

Birisi dizüstü bilgisayarınız üzerinde, siz odanızdan uzaktayken bir misafir oturumu açmışa benziyor. Yerinde olsam etrafta sorardım, bu bir arkadaş olabilir.

İçinde gördüğünüz /etc/passwdve /etc/shadowbana şüpheli olmayan misafir hesapları , birisi misafir oturumu açtığında sistem tarafından oluşturulur.

Apr 27 06:55:55 Rho su [23881]: Misafir g20zoo için root tarafından başarılı bir su

Bu hat root, normal olabilecek ancak araştırılması gereken konuk hesabına erişimi olduğu anlamına gelir . Ben ubuntu1404LTS üzerinde denedim ve bu davranışı görmüyorum. Bir misafir oturumu ile giriş yapmayı denemeli ve auth.logkonuk bir kullanıcı her oturum açtığında bu çizginin görünüp görünmediğini görmek için sizi aramalısınız .

Dizüstü bilgisayarınızı açtığınızda gördüğünüz tüm açılan krom pencereler. Konuk oturum masaüstünü görmeniz mümkün mü?

Sabit sürücüyü silin ve işletim sisteminizi sıfırdan yükleyin.

Her yetkisiz erişim durumunda, saldırganın kök ayrıcalıklarına sahip olma olasılığı vardır, bu yüzden bunun gerçekleştiğini varsaymak mantıklıdır. Bu durumda, auth.log, bunun gerçekten böyle olduğunu onaylıyor gibi görünüyor - bu siz değiştiren kullanıcı olmadığınız sürece :

Apr 27 06:55:55 Rho su [23881]: Misafir g20zoo için root tarafından başarılı bir su

Özellikle kök ayrıcalıklarıyla, sisteme önyükleme komut dosyalarını değiştirme veya önyükleme sırasında çalışan yeni komut dosyaları ve uygulamalar yükleme vb. Gibi, yeniden yükleme olmadan düzeltilmesi neredeyse imkansız yollarla sisteme bulaşmış olabilirler. Bunlar, yetkisiz ağ yazılımı çalıştırmak (örneğin bir botnet'in bir bölümünü oluşturmak için) veya sisteminizi arkada bırakma gibi şeyler yapabilir. Bu tür bir şeyi yeniden yüklemeden algılayıp onarmaya çalışmak en iyi ihtimalle dağınıktır ve sizi her şeyden kurtarmanız garanti edilmez.

Sadece "çoklu tarayıcı sekmeleri / pencereleri açık, Software Center açık, masaüstüne indirilen dosyaların" SSH aracılığıyla makinenize giriş yapan biriyle çok tutarlı olmadığını belirtmek istiyorum. SSH üzerinden giriş yapan bir saldırgan, masaüstünüzde gördüklerinizden tamamen farklı bir metin konsolu alır. Ayrıca kendi oturumlarının başında oturacakları için masaüstünüzden "git nasıl kurulur" google'a ihtiyaçları olmaz, değil mi? Git'i yüklemek isteseler bile (neden?), Git'i Ubuntu depolarında bulunduğundan, bir yükleyici indirmeleri gerekmeyecekti, Git veya Ubuntu hakkında bir şey bilen herkes bunu biliyor. Ve neden bash isteminin nasıl özelleştirileceğini google yapmak zorunda kaldılar?

Ayrıca "Tarayıcımda bir sekme var ... tarayıcımda aç. Kapattıktan sonra birkaç kez yeniden açıldığını" da açıkladım, aslında birden fazla aynı sekme açıldı, bu yüzden onları birer birer kapatmak zorunda kaldınız.

Burada söylemeye çalıştığım şey, faaliyet düzeninin "daktilo içeren bir maymuna" benzemesidir.

Ayrıca, SSH sunucusu yüklü bile olduğundan bahsetmediniz - varsayılan olarak yüklenmemiş.

Öyleyse, sizin bilginiz olmadan kimsenin dizüstü bilgisayarınıza fiziksel olarak erişemeyeceğinden eminseniz ve dizüstü bilgisayarınızın bir dokunmatik ekranına sahip olduğundan ve düzgün şekilde askıya alınmadığından ve sırt çantanızda biraz zaman geçirdikten sonra her şeyin basit bir şekilde olabileceğini düşünüyorum. "cep arama" durumu - arama önerileri ve otomatik düzeltme ile birlikte rastgele ekran dokunuşları, birden fazla pencere açtı ve google aramaları gerçekleştirdi, rastgele bağlantıları tıklayarak ve rastgele dosyaları indiriyor.

Kişisel bir anekdot olarak, zaman zaman birden fazla uygulama açmak, sistem ayarlarını değiştirmek, yarı uyumlu SMS mesajları göndermek ve rastgele youtube videoları izlemek de dahil olmak üzere cep telefonumla cebimde oluyor.

Gittiğinizde dizüstü bilgisayarınıza uzaktan / fiziksel olarak erişmek isteyen arkadaşlarınız var mı? Değilse:

HDD'yi DBAN ile silin ve işletim sistemini sıfırdan yeniden yükleyin. İlk önce yedeklediğinizden emin olun.

Bir şey Ubuntu'nun içinde ciddi şekilde ele geçirilmiş olabilir. Yeniden yüklediğinizde:

Şifrele /home. HDD / dizüstü bilgisayarın kendisi fiziksel olarak çalınırsa, içindeki verilere erişemezler /home.

HDD'yi şifreleyin. Bu, insanların /bootgiriş yapmadan ödün vermelerini önler . Bir önyükleme zamanı şifresi de girmeniz gerekir (sanırım).

Güçlü bir şifre belirleyin. Birisi HDD şifresini çözerse, erişemez /homeveya giriş yapamaz .

WiFi'nizi şifreleyin. Birisi yönlendiricinin yakınına girmiş ve şifrelenmemiş Wifi'den faydalanmış ve dizüstü bilgisayarınıza ssh'd.

Konuk hesabını devre dışı bırak. Saldırgan, dizüstü bilgisayarınızı ssh'd etmiş, uzak bir bağlantı kurmuş, Konuk aracılığıyla giriş yapmış ve Konuk hesabını kökten yükseltmiş olabilir. Bu tehlikeli bir durum. Bu olursa, saldırgan bu ÇOK TEHLİKELİ komutunu çalıştırabilir :

rm -rf --no-preserve-root / 

Bu , HDD’deki bir LOT veriyi siler , çöker /homeve daha da kötüsü, Ubuntu’yu önyükleme yapamaz hale getirir . Sadece grubun kurtarılmasına atılacaksınız ve bundan kurtulamayacaksınız. Saldırgan ayrıca /homedizini tamamen imha edebilir . Ev ağınız varsa, saldırgan aynı ağdaki diğer tüm bilgisayarları da önyükleme yapamaz (Linux kullanıyorsa).

Umarım bu yardımcı olur. :)

"Şüpheli" etkinlik şu şekilde açıklanmaktadır: dizüstü bilgisayar kapak kapandığında artık askıda kalmıyor, dizüstü bilgisayar bir dokunmatik ekran ve uygulanan basınca tepki veriyor (muhtemelen kedilerim). Verilen satırlar /var/log/auth.logve whokomutun çıktısı bir misafir oturumu giriş bilgileri ile tutarlıdır. Konuk oturumunu karşılama oturumundan devre dışı bırakırken, Unity DE'deki sağ üst köşedeki açılır menüden hala erişilebilir. Ergo, ben giriş yaparken misafir oturumu açılabilir.

"Uygulanan basınç" teorisini test ettim; Kapak kapalıyken camlar açılabilir ve açılabilir. Ayrıca yeni bir misafir oturumuna girdim. Şüpheli etkinlik olarak algıladığımın özdeş log satırları, /var/log/auth.logbunu yaptıktan sonra mevcuttu . Kullanıcıları değiştirdim, hesabıma geri döndüm ve whokomutu çalıştırdım - çıktı sisteme giriş yapmış bir misafir olduğunu belirtti.

Yukarı ok aşağı WiFi logosu standart WiFi logosuna geri döndü ve mevcut tüm bağlantılar görülebilir. Bu bizim ağımızda bir sorun oldu ve ilgisiz.

Kablosuz kartı / çubuğu çıkarın ve izlere bakın. Günlüklerinizi kaydettirin, böylece askbuntu daha fazla yardımcı olabilir. Bundan sonra sürücülerinizi silin ve farklı bir dağıtım deneyin, saldırılarda bir kalıp olup olmadığını görmek için canlı bir cd deneyin.